Google Security Operations 的 CMEK

本文說明如何為 Google Security Operations 設定客戶自行管理的加密金鑰 (CMEK)。根據預設，Google SecOps 會使用 Google 預設加密功能，為客戶的靜態資料加密，您無需採取任何額外行動。不過，如要進一步控管加密金鑰，或機構有相關規定，Google SecOps 執行個體可使用 CMEK。

CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 的加密金鑰。使用 CMEK 可全權掌控加密金鑰，包括管理金鑰的生命週期、輪替和存取政策。設定 CMEK 後，服務會自動使用指定的金鑰加密所有資料。進一步瞭解 CMEK。

在 Cloud KMS 中使用 CMEK

如要控管加密金鑰，您可以在 Cloud KMS 中使用 CMEK，搭配整合 CMEK 的服務 (包括 Google SecOps)，方法如下：

• 您可以在 Cloud KMS 中管理及儲存這些金鑰。
• Google SecOps Data Lake 中的靜態資料會經過加密。
• 使用 CMEK 設定 Google SecOps 執行個體時，系統會使用選取的 Cloud KMS 金鑰，加密資料湖中的靜態資料。
• 視使用模式而定，搭配 Cloud KMS 使用 CMEK 可能會產生額外費用。

進一步瞭解 Cloud KMS 定價。

各區域的 CMEK 支援情形

下列區域支援 CMEK：

• africa-south1 (南非約翰尼斯堡)
• asia-northeast1 (日本東京)
• asia-south1 (印度孟買)
• asia-southeast1 (新加坡裕廊西)
• asia-southeast2 (印尼雅加達)

• eu (多個歐盟區域)

• europe-west2 (英國倫敦)

• europe-west3 (德國法蘭克福)

• europe-west12 (義大利杜林)

• me-central2 (沙烏地阿拉伯達曼)

啟用 CMEK

以下步驟概略說明如何透過 Google SecOps 導入 CMEK：

1. 設定 Google SecOps 專案：接受佈建邀請即可開始。 Google Cloud Google SecOps 專家團隊會負責處理專門的設定和整合作業。
2. 在您打算代管執行個體的區域中建立 Cloud KMS 金鑰。
3. 建立新的 Google SecOps 執行個體，然後選取您在步驟 2 中建立的 CMEK 金鑰。建立執行個體時，系統會提示您授予 Google SecOps 這項金鑰的存取權。
4. 選用：為每個金鑰排定金鑰輪替時間。建議您採用這項安全做法，盡量降低金鑰遭盜用的影響。

完成新手上路程序後，您就不再需要透過 API 或使用者介面為該執行個體提供金鑰。

金鑰管理

您可以使用 Cloud KMS 管理金鑰。在 Cloud KMS 傳播金鑰變更之前，Google SecOps 無法偵測或採取任何行動。權限變更通常很快就會生效，但重大變更 (例如停用或刪除金鑰) 最多可能需要 12 小時，才會在 Google SecOps 中生效。進一步瞭解 Cloud KMS 和 Cloud KMS 服務等級目標。

停用 CMEK 金鑰後，Google SecOps 就無法存取及處理您的資料。也就是說，Google SecOps 無法讀取、寫入或更新現有資料，也無法擷取任何新資料。如果未重新啟用金鑰，資料將在 30 天後刪除。重新啟用 KMS 金鑰存取權後，Google SecOps 會自動開始擷取及處理金鑰停用後的新資料。

Google SecOps 支援下列兩種金鑰管理方式：

• 建立 Cloud KMS 金鑰 (建議)
• 使用 Cloud External Key Manager (Cloud EKM)：使用 Cloud EKM 金鑰時，由於需要依賴外部系統，可用性可能會受到影響。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。