Google SecOps 的 CMEK

支援的國家/地區:

本文說明如何為 Google Security Operations 設定客戶自行管理的加密金鑰 (CMEK)。根據預設,Google SecOps 會使用 Google 預設加密功能,為客戶的靜態資料加密,您無需採取任何額外行動。不過,如要進一步控管加密金鑰,或機構有相關規定,Google SecOps 執行個體可使用 CMEK。

CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 的加密金鑰。使用 CMEK 可完全控管加密金鑰,包括管理金鑰的生命週期、輪替和存取政策。設定 CMEK 後,服務會自動使用指定的金鑰加密所有資料。進一步瞭解 CMEK

CMEK 適用於所有支援 Google SecOps 的區域。如要查看 Google SecOps 支援的完整區域清單,請參閱 SecOps 服務位置頁面

在 Cloud KMS 中使用 CMEK

如要控管加密金鑰,您可以在 Cloud KMS 中使用 CMEK,搭配整合 CMEK 的服務 (包括 Google SecOps),方法如下:

  • 您可以在 Cloud KMS 中管理及儲存這些金鑰。
  • Google SecOps Data Lake 中的靜態資料會經過加密。
  • 使用 CMEK 設定 Google SecOps 執行個體時,系統會使用選取的 Cloud KMS 金鑰,加密資料湖中的靜態資料。
  • 視使用模式而定,搭配 Cloud KMS 使用 CMEK 可能會產生額外費用。

進一步瞭解 Cloud KMS 定價

啟用 CMEK

以下步驟概略說明如何透過 Google SecOps 導入 CMEK:

  1. 設定 Google SecOps 專案:接受佈建邀請即可開始。 Google Cloud Google SecOps 專家團隊會負責處理專門的設定和整合作業。
  2. 在您打算代管執行個體的區域中建立 Cloud KMS 金鑰
  3. 建立新的 Google SecOps 執行個體,然後選取您在步驟 2 中建立的 CMEK 金鑰。建立執行個體時,系統會提示您授予 Google SecOps 這項金鑰的存取權。
  4. 選用:為每個金鑰排定金鑰輪替時間。建議您採取這項安全措施,盡量降低金鑰遭盜用的影響。

完成新手上路程序後,您就不再需要透過 API 或使用者介面為該執行個體提供金鑰。

金鑰管理

Google 建議您使用 Cloud KMS 管理金鑰。在 Cloud KMS 傳播金鑰變更之前,Google SecOps 無法偵測或採取任何行動。

Google SecOps 支援下列兩種金鑰管理方式:

金鑰輪替

雖然權限變更通常很快就能完成,但金鑰輪替後,您必須等待兩週才能刪除或停用舊金鑰。進一步瞭解 Cloud KMSCloud KMS 服務等級目標

停用金鑰

停用目前的 CMEK 金鑰後,Google SecOps 就無法存取您的資料,也無法再處理資料。也就是說,Google SecOps 無法讀取、寫入或更新現有資料,也無法擷取、儲存或處理任何新資料。如果未重新啟用金鑰,資料將在 30 天後刪除。重新啟用金鑰後,Google SecOps 會自動開始擷取及處理新資料。不過,系統最多可能需要兩週的時間,才能完全恢復這些作業。

CMEK 組織政策限制

如要強制 Google SecOps 使用 CMEK,您可以在機構、資料夾或專案層級套用下列機構政策限制:

  • constraints/gcp.restrictNonCmekServices:要求服務使用 CMEK。如果您對機構強制執行 constraints/gcp.restrictNonCmekServices,並將 Google SecOps 列為受限制的服務,則建立 Google SecOps 執行個體時,必須選取 CMEK 金鑰。

  • constraints/gcp.restrictCmekCryptoKeyProjects:規定 Google SecOps 的 CMEK 金鑰必須來自特定專案或一組專案。

如果您在包含 Google SecOps 執行個體的組織中,同時強制執行這兩項限制,則必須使用您套用組織政策時指定的專案金鑰,啟用 CMEK。

如要瞭解如何評估Google Cloud 資源階層 (機構、資料夾和專案) 的組織政策,請參閱「瞭解階層評估」。

如要瞭解如何使用 CMEK 組織政策的一般資訊,請參閱「CMEK 組織政策」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。