Configurar a CMEK

Compatível com:

Este documento descreve como configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para o Google Security Operations. Por padrão, o Google SecOps criptografa dados do cliente em repouso usando a criptografia padrão do Google sem que você precise executar outras ações. No entanto, para ter mais controle sobre as chaves de criptografia ou quando exigido por uma organização, a CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service. O uso de CMEKs oferece controle total sobre as chaves de criptografia, incluindo o gerenciamento do ciclo de vida, da rotação e das políticas de acesso. Ao configurar a CMEK, o serviço criptografa automaticamente todos os dados usando a chave especificada. Saiba mais sobre CMEK.

A CMEK está disponível em todas as regiões em que o Google SecOps é compatível. Para uma lista completa das regiões compatíveis com o Google SecOps, consulte a página de locais dos serviços do SecOps.

Usar CMEKs no Cloud KMS

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps, da seguinte maneira:

  • Você gerencia e armazena essas chaves no Cloud KMS.
  • Os dados no Data Lake do Google SecOps são criptografados em repouso.
  • Ao configurar a instância do Google SecOps com uma CMEK, ela usa a chave do Cloud KMS selecionada para criptografar dados em repouso no Data Lake.
  • O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso.

Saiba mais sobre os preços do Cloud KMS.

Ativar a CMEK

As etapas a seguir descrevem o processo geral para integrar a CMEK ao Google SecOps:

  1. Configure um Google Cloud projeto para o Google SecOps: aceite o convite de provisionamento para começar. Nossa equipe especializada do Google SecOps vai cuidar da configuração e integração.
  2. Crie uma chave do Cloud KMS na região em que você planeja hospedar sua instância.
  3. Crie uma instância do Google SecOps e selecione a chave CMEK criada na etapa 2. Você vai precisar conceder acesso do Google SecOps a essa chave durante a criação da instância.
  4. Opcional: defina uma programação de rotação de chaves para cada chave. O Google recomenda essa prática de segurança para minimizar o impacto de uma possível violação de chave.

Depois de concluir a integração, não será mais necessário fornecer uma chave usando a API ou UI para essa instância.

Gerenciamento de chaves

O Google recomenda que você gerencie suas chaves usando o Cloud KMS. O Google SecOps não pode detectar nem agir sobre nenhuma alteração de chave até que seja propagado pelo Cloud KMS.

O Google SecOps é compatível com dois tipos de gerenciamento de chaves:

Gerenciar a rotação de chaves

Você precisa destruir a chave antes de excluí-la da seguinte maneira:

  1. Desative a chave ou a versão dela. Essa etapa geralmente é opcional, mas algumas políticas da organização exigem que a chave seja desativada antes da destruição.
  2. Destrua a versão da chave.
  3. Exclua a chave.

Acesso aos dados e perda permanente de dados

O Google recomenda que você monitore os registros para detectar chaves que ficaram indisponíveis enquanto ainda há tempo para evitar a perda de dados.

Depois que o Google SecOps perde o acesso aos dados, eles são excluídos após 30 dias.

O Google SecOps pode perder o acesso aos dados devido a uma ação intencional de um usuário (por exemplo, revogação de chave) ou uma ação não intencional (por exemplo, uma queda de conectividade do EKM). Isso significa que o Google SecOps não pode ler, gravar ou atualizar dados atuais, e não pode ingerir, armazenar ou processar novos dados.

Se o Google SecOps recuperar o acesso aos dados (por exemplo, quando você reativar a chave), ele vai começar a ingerir e processar novos dados automaticamente. No entanto, pode levar até duas semanas para que o sistema retome totalmente essas operações.

Restrições da política da organização CMEK

Para aplicar o uso da CMEK no Google SecOps, aplique as seguintes restrições de política da organização no nível da organização, da pasta ou do projeto:

  • constraints/gcp.restrictNonCmekServices: exige que os serviços usem a CMEK. Se você aplicar constraints/gcp.restrictNonCmekServices a uma organização e listar o Google SecOps como um serviço restrito, selecione uma chave CMEK ao criar a instância do Google SecOps.

  • constraints/gcp.restrictCmekCryptoKeyProjects: exige que a chave CMEK do Google SecOps venha de um projeto ou conjunto de projetos específicos.

Se você aplicar as duas restrições à organização que contém a instância do Google SecOps, é necessário ativar a CMEK usando uma chave de um projeto especificado ao aplicar as políticas da organização.

Para informações sobre como as políticas da organização são avaliadas na Google Cloud hierarquia de recursos (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação da hierarquia.

Para informações gerais sobre o uso de políticas da organização CMEK, consulte Políticas da organização CMEK.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.