Google SecOps 的 CMEK

支持的服务:

本文档介绍了如何为 Google Security Operations 配置客户管理的加密密钥 (CMEK)。Google SecOps 默认使用 Google 默认加密 对存储中的客户数据(静态数据)进行加密,无需您执行任何额外操作。不过,为了更好地控制加密密钥或在组织要求的情况下,Google SecOps 实例可以使用 CMEK。

CMEK 是您拥有、管理和存储在 Cloud Key Management Service 中的加密密钥。使用 CMEK 可以完全控制加密密钥,包括管理其生命周期、轮替和访问政策。配置 CMEK 后,该服务会自动使用指定的密钥加密所有数据。详细了解 CMEK

CMEK 在所有支持 Google SecOps 的区域均可用。如需查看 Google SecOps 支持的区域的完整列表,请参阅 SecOps 服务位置页面

在 Cloud KMS 中使用 CMEK

如需控制加密密钥,您可以将 Cloud KMS 中的 CMEK 与集成 CMEK 的服务(包括 Google SecOps)搭配使用,具体如下:

  • 您可以在 Cloud KMS 中管理和存储这些密钥。
  • Google SecOps Data Lake 中的数据处于静态加密状态。
  • 当您使用 CMEK 配置 Google SecOps 实例时,该实例会使用所选的 Cloud KMS 密钥对 Data Lake 中的静态数据进行加密。
  • 将 CMEK 与 Cloud KMS 搭配使用可能会产生额外费用,具体取决于您的使用模式。

详细了解 Cloud KMS 定价

启用 CMEK

以下步骤概要介绍了将 CMEK 与 Google SecOps 关联的过程:

  1. 为 Google SecOps 配置 Google Cloud 项目:接受预配邀请以开始。我们的 Google SecOps 专家团队将处理专门的配置和集成。
  2. 在您计划托管实例的区域中创建 Cloud KMS 密钥。
  3. 创建新的 Google SecOps 实例,然后选择您在第 2 步中创建的 CMEK 密钥。系统会在实例创建期间提示您授予 Google SecOps 对此密钥的访问权限。
  4. 可选:为每个密钥安排密钥轮替。我们建议您采用这种安全做法,以最大限度地减少潜在密钥泄露的影响。

完成关联后,您不再需要使用 API 或界面为该实例提供密钥。

密钥管理

Google 建议您使用 Cloud KMS 管理密钥。在 Cloud KMS 传播任何密钥更改之前,Google SecOps 无法检测或处理任何密钥更改。

Google SecOps 支持两种类型的密钥管理:

密钥轮替

虽然权限更改通常很快,但密钥轮替要求您在轮替开始两周后才能删除或停用旧密钥。详细了解 Cloud KMSCloud KMS 服务等级目标

密钥停用

停用当前 CMEK 密钥后,Google SecOps 将无法再访问您的数据,也无法再处理这些数据。这意味着,Google SecOps 无法读取、写入或更新现有数据,也无法注入、存储或处理任何新数据。如果您不重新启用该密钥,数据将在 30 天后被删除。重新启用该密钥后,Google SecOps 会自动开始提取和处理新数据。不过,系统可能需要长达两周的时间才能完全恢复这些操作。

CMEK 组织政策限制条件

如需强制 Google SecOps 使用 CMEK,您可以在组织、文件夹或项目级层应用以下组织政策限制条件:

  • constraints/gcp.restrictNonCmekServices:要求服务使用 CMEK。如果您在组织上强制执行 constraints/gcp.restrictNonCmekServices 并将 Google SecOps 列为受限服务,则在创建 Google SecOps 实例时,您必须选择 CMEK 密钥。

  • constraints/gcp.restrictCmekCryptoKeyProjects:要求 Google SecOps 的 CMEK 密钥来自特定项目或一组项目。

如果您对将包含 Google SecOps 实例的组织同时强制执行这两个限制条件,则必须使用您在应用组织政策时指定的项目中的密钥启用 CMEK。

如需了解如何在 Google Cloud 资源层次结构(组织、文件夹和项目)中评估组织政策,请参阅 了解层次结构评估

如需了解有关使用 CMEK 组织政策的一般信息,请参阅 CMEK 组织政策

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。