Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK para o Google SecOps

Compatível com:

Google SecOps

Este documento descreve como configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para o Google Security Operations. Por padrão, o Google SecOps criptografa dados do cliente em repouso usando a criptografia padrão do Google sem que você precise executar outras ações. No entanto, para ter mais controle sobre as chaves de criptografia ou quando exigido por uma organização, a CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service. O uso de CMEKs oferece controle total sobre as chaves de criptografia, incluindo o gerenciamento do ciclo de vida, da rotação e das políticas de acesso. Ao configurar a CMEK, o serviço criptografa automaticamente todos os dados usando a chave especificada. Saiba mais sobre CMEK.

A CMEK está disponível em todas as regiões em que o Google SecOps é compatível. Para uma lista completa das regiões compatíveis com o Google SecOps, consulte a página de locais dos serviços do SecOps.

Usar CMEKs no Cloud KMS

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps, da seguinte maneira:

Você gerencia e armazena essas chaves no Cloud KMS.
Os dados no Data Lake do Google SecOps são criptografados em repouso.
Ao configurar a instância do Google SecOps com uma CMEK, ela usa a chave do Cloud KMS selecionada para criptografar dados em repouso no Data Lake.
O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso.

Saiba mais sobre os preços do Cloud KMS.

Ativar a CMEK

As etapas a seguir descrevem o processo geral para integrar a CMEK ao Google SecOps:

Configure um Google Cloud projeto para o Google SecOps: aceite o convite de provisionamento para começar. Nossa equipe especializada do Google SecOps vai cuidar da configuração e integração.
Crie uma chave do Cloud KMS na região em que você planeja hospedar sua instância.
Crie uma instância do Google SecOps e selecione a chave CMEK criada na etapa 2. Você vai precisar conceder acesso do Google SecOps a essa chave durante a criação da instância.
Opcional: programe uma rotação de chaves para cada chave. Recomendamos essa prática de segurança para minimizar o impacto de uma possível violação de chave.

Depois de concluir a integração, não será mais necessário fornecer uma chave usando a API ou UI para essa instância.

Gerenciamento de chaves

O Google recomenda que você gerencie suas chaves usando o Cloud KMS. O Google SecOps não pode detectar nem agir sobre nenhuma alteração de chave até que seja propagada pelo Cloud KMS.

O Google SecOps oferece suporte a dois tipos de gerenciamento de chaves:

Criar uma chave do Cloud KMS: é o que o Google recomenda.
Usar o Cloud External Key Manager (Cloud EKM): o uso de chaves do Cloud EKM pode afetar a disponibilidade devido à dependência de sistemas externos.

Rotação de chaves

Embora as mudanças de permissão sejam normalmente rápidas, a rotação de chaves exige que você aguarde duas semanas após o início da rotação antes de excluir ou desativar a chave mais antiga. Saiba mais sobre o Cloud KMS e os objetivos de nível de serviço do Cloud KMS.

Desativação de chaves

Quando você desativa a chave CMEK atual, o Google SecOps perde o acesso aos seus dados e não pode mais processá-los. Isso significa que o Google SecOps não pode ler, gravar ou atualizar dados atuais, nem ingerir, armazenar ou processar novos dados. Se você não reativar a chave, os dados serão excluídos após 30 dias. Quando você reativa a chave, o Google SecOps começa automaticamente a ingerir e processar novos dados. No entanto, pode levar até duas semanas para que o sistema retome totalmente essas operações.

Restrições de política da organização da CMEK

Para aplicar o uso da CMEK no Google SecOps, aplique as seguintes restrições de política da organização no nível da organização, da pasta ou do projeto:

constraints/gcp.restrictNonCmekServices: exige que os serviços usem a CMEK. Se você aplicar constraints/gcp.restrictNonCmekServices a uma organização e listar o Google SecOps como um serviço restrito, selecione uma chave CMEK ao criar a instância do Google SecOps.

Importante: se você aplicar essa restrição com o Google SecOps como um serviço restrito, mas não fornecer uma CMEK ao criar uma instância, então o Google SecOps não será provisionado.
constraints/gcp.restrictCmekCryptoKeyProjects: exige que a chave CMEK do Google SecOps venha de um projeto ou conjunto de projetos específico.

Se você aplicar as duas restrições à organização que contém a instância do Google SecOps, será necessário ativar a CMEK usando uma chave de um projeto especificado ao aplicar as políticas da organização.

Para informações sobre como as políticas da organização são avaliadas na Google Cloud hierarquia de recursos (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação da hierarquia.

Para informações gerais sobre o uso de políticas da organização da CMEK, consulte Políticas da organização da CMEK.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.