Verschlüsselungsmesswerte ansehen

Cloud Key Management Service (Cloud KMS) zeigt Messwerte zu den Verschlüsselungsschlüsseln an, die Ihre ruhenden Daten schützen. Diese Messwerte zeigen, wie Ihre Ressourcen geschützt sind und ob Ihre Schlüssel den empfohlenen Best Practices entsprechen. Die Messwerte konzentrieren sich hauptsächlich auf vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs), die zum Schutz von Ressourcen in CMEK-integrierten Diensten verwendet werden. In dieser Anleitung erfahren Sie, wie Sie die Verschlüsselungsmesswerte Ihres Projekts aufrufen und was sie für die Sicherheit Ihres Unternehmens bedeuten.

Weitere Informationen zu den empfohlenen Best Practices für die Verwendung von CMEKs zum Schutz Ihrer Ressourcen in Google Cloudfinden Sie unter Best Practices für die Verwendung von CMEKs.

Hinweis

1. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Cloud KMS Viewer (roles/cloudkms.viewer)“ für das Projekt oder eine übergeordnete Ressource zu erteilen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Verschlüsselungsmesswerten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

   Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

2. Weisen Sie dem Cloud KMS Organization Service Agent die Rolle Dienst-Agent für die Cloud KMS-Organisation zu:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   Wenn Sie diesen Schritt überspringen, werden im Dashboard Verschlüsselungsmesswerte möglicherweise unvollständige Informationen angezeigt. Wenn Sie beispielsweise Verschlüsselungsmesswerte für PROJECT_A aufrufen, werden Ressourcen in PROJECT_B, die durch einen Schlüssel in PROJECT_A geschützt sind, nicht in die Messwerte einbezogen.

Verschlüsselungsmesswerte ansehen

So rufen Sie Verschlüsselungsmesswerte auf:

1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

   Key Management aufrufen

2. Klicken Sie auf den Tab Übersicht und dann auf Verschlüsselungsmesswerte.

3. Wählen Sie mit der Projektauswahl ein Projekt aus. Im Dashboard werden die folgenden Verschlüsselungsmesswerte für Ressourcen und Schlüssel in diesem Projekt angezeigt:

   • Die Diagramme Ressourcen in diesem Projekt nach Schutztyp und Ressourcenschutztyp nach Dienst zeigen zusammenfassende Messwerte zur CMEK-Abdeckung.
   • Das Diagramm Ausrichtung an empfohlenen Best Practices für die Schlüsselnutzung zeigt zusammenfassende Messwerte zur Schlüssel ausrichtung. Sie können auch Details zur Schlüsselausrichtung aufrufen.

Details zur Schlüsselausrichtung ansehen

So rufen Sie eine Liste der Schlüssel im Projekt auf und sehen, mit welchen empfohlenen Best Practices sie übereinstimmen:

1. Suchen Sie auf der Seite Verschlüsselungsmesswerte das Diagramm Ausrichtung an empfohlenen Best Practices für die Schlüsselnutzung.

2. Optional: Wenn Sie sich nur auf Schlüssel konzentrieren möchten, die mit Cloud KMS Autokey erstellt wurden, klicken Sie auf den Tab Cloud KMS (Autokey). Wenn Sie sich nur auf manuell erstellte Schlüssel konzentrieren möchten, klicken Sie auf den Tab Cloud KMS (manuell).

3. Wenn Sie eine Liste der Schlüssel aufrufen und sehen möchten, ob sie mit den einzelnen empfohlenen Best Practices übereinstimmen, klicken Sie auf den Abschnitt, der die Kategorie darstellt, und dann auf Ansehen.

   Auf der Seite Ausrichtung an empfohlenen Best Practices für die Schlüsselnutzung werden die Cloud KMS-Schlüssel im ausgewählten Projekt aufgelistet und es wird angezeigt, ob jeder Schlüssel mit den einzelnen Empfehlungen übereinstimmt oder nicht übereinstimmt. Weitere Informationen dazu, was es bedeutet, wenn ein Schlüssel mit einer Empfehlung übereinstimmt oder nicht übereinstimmt, finden Sie in diesem Dokument unter Schlüsselausrichtung.

4. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das filter_list Filter Feld ein und drücken Sie die Eingabetaste. Sie können die Liste beispielsweise so filtern, dass nur Schlüssel angezeigt werden, die mit der Empfehlung Detaillierungsgrad übereinstimmen.

Verschlüsselungsmesswerte verstehen

Das Dashboard für Verschlüsselungsmesswerte verwendet den Cloud Asset Inventory-Dienst, um Informationen zu Ihren Ressourcen und Cloud KMS-Schlüsseln zu erfassen. Das Dashboard berechnet Messwerte bei Bedarf anhand der neuesten verfügbaren Daten.

Das Dashboard zeigt zwei Hauptkategorien von Messwerten: CMEK-Abdeckung und Schlüsselausrichtung. Beide Messwerte zeigen eine Zusammenfassung mit aggregierten Informationen und eine Detailansicht mit einer tabellarischen Liste von Ressourcen oder Schlüsseln.

CMEK-Abdeckung

Die Messwerte zur CMEK-Abdeckung in den Diagrammen Ressourcen in diesem Projekt nach Schutztyp und Ressourcenschutztyp nach Dienst zeigen, wie viele Ihrer Ressourcen durch CMEKs geschützt sind. Dieser Messwert berücksichtigt Ressourcen, für die die CMEK-Integration und das Tracking von Cloud KMS-Schlüsseln unterstützt werden. Ressourcen sind in die folgenden Kategorien unterteilt:

• Von Google verwaltete Verschlüsselung: Ressourcen, die durch die Standardverschlüsselung von Google geschützt sind.
• Cloud KMS (manuell): Ressourcen, die durch einen CMEK geschützt sind, den Sie erstellen und manuell verwalten.
• Cloud KMS (Autokey): Ressourcen, die durch einen CMEK geschützt sind, der vom Autokey-Dienst bereitgestellt und zugewiesen wurde.

Die Messwerte zur CMEK-Abdeckung werden für das gesamte Projekt und aufgeschlüsselt nach dem Dienst angezeigt, der mit den einzelnen geschützten Ressourcen verknüpft ist. Anhand dieser Informationen können Sie beurteilen, wie viele Ressourcen im ausgewählten Projekt die Standardverschlüsselung von Google verwenden, obwohl sie CMEKs verwenden könnten.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Nachverfolgbare Ressourcentypen.

Schlüsselausrichtung

Die Messwerte zur Schlüsselausrichtung im Diagramm Ausrichtung an empfohlenen Best Practices für die Schlüsselnutzung zeigen, ob Ihre Cloud KMS-Schlüssel den folgenden empfohlenen Best Practices für die Sicherheit entsprechen:

• Rotationszeitraum: Für den Schlüssel ist ein geeigneter Rotationszeitraum festgelegt.
• Detaillierungsgrad: Der Schlüssel schützt Ressourcen, die sich in einem Projekt befinden und zu einem Dienst gehören.
• Aufgabentrennung: Nur Dienstkonten haben die Berechtigung, mit dem Schlüssel zu verschlüsseln und zu entschlüsseln.
• Standort: Der Schlüssel schützt nur Ressourcen, die sich am selben Cloud- Standort befinden.

Die Messwerte zur Schlüsselausrichtung umfassen alle symmetrischen Cloud KMS-Verschlüsselungsschlüssel im ausgewählten Projekt, auch wenn sie nicht zum Schutz von Ressourcen in einem CMEK-integrierten Dienst verwendet werden. Diese Messwerte werden für Schlüssel und nicht für Schlüsselversionen bewertet. Beispielsweise kann ein Schlüssel ohne aktive Schlüsselversionen für eine oder alle dieser empfohlenen Best Practices als übereinstimmend angezeigt werden.

In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen Best Practices.

Detaillierungsgrad

Der Detaillierungsgrad eines Schlüssels bezieht sich auf den Umfang und den Anwendungsbereich der beabsichtigten Verwendung eines Schlüssels. Schlüssel können einen hohen Detaillierungsgrad haben und nur eine einzelne Ressource schützen oder einen geringeren Detaillierungsgrad haben und viele Ressourcen schützen. Die Verwendung von Schlüsseln mit geringerem Detaillierungsgrad erhöht die potenziellen Auswirkungen von Sicherheitsvorfällen, einschließlich unbefugtem Zugriff und versehentlichem Datenverlust.

Im Allgemeinen empfehlen wir die folgende Strategie für den Detaillierungsgrad:

• Jeder Schlüssel schützt Ressourcen an einem einzigen Standort, z. B. us-central1.
• Jeder Schlüssel schützt Ressourcen in einem einzigen Dienst oder Produkt, z. B. BigQuery.
• Jeder Schlüssel schützt Ressourcen in einem einzigen Google Cloud Projekt.

Diese Empfehlung ist möglicherweise nicht die ideale Strategie für den Detaillierungsgrad für Ihr Unternehmen. Für die meisten Unternehmen bietet diese Strategie ein gutes Gleichgewicht zwischen dem Aufwand für die Wartung vieler Schlüssel mit hohem Detaillierungsgrad und den potenziellen Risiken der Verwendung von Schlüsseln mit geringerem Detaillierungsgrad, die für viele Projekte, Dienste oder Ressourcen freigegeben sind.

Schlüssel, die mit Cloud KMS Autokey erstellt wurden, entsprechen dieser Empfehlung.

Jeder Schlüssel in Ihrem Projekt wird als übereinstimmend mit dieser Empfehlung betrachtet, wenn sich die Ressourcen, die er schützt, alle am selben Standort, im selben Dienst und im selben Projekt befinden. Ein Schlüssel wird als nicht übereinstimmend mit dieser Empfehlung betrachtet, wenn sich die Ressourcen, die er schützt, an zwei oder mehr Standorten, in zwei oder mehr Diensten oder in zwei oder mehr Projekten befinden.

Wenn Ihre Schlüssel nicht mit dieser Empfehlung übereinstimmen, sollten Sie prüfen, ob eine Anpassung Ihrer Strategie für den Detaillierungsgrad von Schlüsseln für Ihr Unternehmen geeignet ist. Weitere Informationen zu den empfohlenen Best Practices für den Detaillierungsgrad von Schlüsseln finden Sie unter Strategie für den Detaillierungsgrad von Schlüsseln auswählen.

Standort

In den meisten Fällen müssen sich Cloud KMS-Schlüssel, die mit CMEK-integrierten Diensten verwendet werden, in derselben Google Cloud Region oder Multiregion befinden wie die Ressourcen, die sie schützen. Für einige Dienste gelten jedoch Ausnahmen von dieser Regel.

Jeder Schlüssel in Ihrem Projekt wird als übereinstimmend mit dieser Empfehlung betrachtet, wenn sich die Ressourcen, die er schützt, alle am selben Standort wie der Schlüssel befinden. Beispiel: Ein Schlüssel in us-central1, der Ressourcen in us-central1 schützt. Regionale Schlüssel können zonale Ressourcen in derselben Region schützen. Beispiel: Ein Schlüssel in us-central1, der Ressourcen in us-central1a schützt.

Ein Schlüssel wird als nicht übereinstimmend mit dieser Empfehlung betrachtet, wenn er eine Ressource in einer anderen Region oder Multiregion schützt. Beispiel: Ein Schlüssel in der us Multiregion, der einen Compute Engine-nichtflüchtigen Speicher in der us-central1 Region schützt.

Wenn Ihre Schlüssel nicht mit dieser Empfehlung übereinstimmen, sollten Sie Ihre Ressourcen oder Schlüssel verschieben oder ersetzen, damit sie sich am selben Standort befinden. Weitere Informationen zu Standorten finden Sie unter Cloud KMS Standorte.

Rotation

Das regelmäßige Rotieren Ihrer Schlüssel ist ein wichtiger Aspekt der Informationssicherheit. Einige Standards erfordern beispielsweise, dass Sie Ihre Schlüssel nach einem bestimmten Zeitplan rotieren. Schlüssel, die sensible Arbeitslasten schützen, müssen möglicherweise häufiger rotiert werden. Mit Cloud KMS können Sie die automatische Schlüsselrotation für Ihre Schlüssel einrichten, damit der von Ihnen gewählte Zeitplan eingehalten wird.

Jeder Schlüssel in Ihrem Projekt wird als übereinstimmend mit dieser Empfehlung betrachtet, wenn ein Rotationszeitplan festgelegt ist. Ein Schlüssel wird als nicht übereinstimmend betrachtet, wenn er nicht für die automatische Schlüsselrotation eingerichtet ist.

Sie haben folgende Möglichkeiten, die automatische Rotation zu aktivieren:

• Erstellen Sie manuell einen neuen Schlüssel mit einem benutzerdefinierten Rotations zeitplan.
• Verwenden Sie Cloud KMS Autokey, wenn Sie eine neue Ressource erstellen. Für Schlüssel, die mit Cloud KMS Autokey erstellt wurden, gilt standardmäßig ein Rotationszeitraum von einem Jahr. Der Rotationszeitraum kann jedoch nach der Erstellung des Schlüssels geändert werden.
• Aktualisieren Sie einen vorhandenen Schlüssel, um einen Rotationszeitplan hinzuzufügen.

Aufgabentrennung

Die Aufgabentrennung ist eine Sicherheitspraxis, mit der verhindert werden soll, dass Nutzern oder anderen Hauptkonten zu viele Berechtigungen gewährt werden. Im Zusammenhang mit Cloud KMS- und CMEK-Integrationen bedeutet dies, dass die Nutzer, die Ihre Cloud KMS-Schlüssel verwalten, keine Berechtigungen zur Verwendung dieser Schlüssel haben sollten. Die Hauptkonten, die die Schlüssel zum Ver- und Entschlüsseln Ihrer Ressourcen verwenden, haben keine anderen Berechtigungen für die Schlüssel.

Jeder Schlüssel in Ihrem Projekt wird als übereinstimmend mit dieser Empfehlung betrachtet, wenn beide folgenden Bedingungen erfüllt sind:

• Das Dienstkonto für die geschützte Ressource ist das einzige Hauptkonto mit den Berechtigungen cloudkms.cryptoKeyVersions.useToEncrypt und cloudkms.cryptoKeyVersions.useToDecrypt für den Schlüssel.
• Das Dienstkonto für die geschützte Ressource hat keine Rolle, die Berechtigungen zur Schlüsselverwaltung für den Schlüssel gewährt, einschließlich roles/cloudkms.admin, roles/editor und roles/owner.

Ein Schlüssel wird als nicht übereinstimmend betrachtet, wenn das Dienstkonto Administratorberechtigungen hat oder ein anderes Hauptkonto Berechtigungen zum Ver- oder Entschlüsseln hat.

Wenn Ihre Schlüssel nicht mit dieser Empfehlung übereinstimmen, überprüfen Sie die IAM-Rollen und -Berechtigungen für Ihre Schlüssel und andere Cloud KMS-Ressourcen und entfernen Sie Rollen- und Berechtigungszuweisungen, die nicht erforderlich sind. Weitere Informationen zu Cloud KMS-Rollen und den Berechtigungen , die sie enthalten, finden Sie unter Berechtigungen und Rollen. Weitere Informationen zum Aufrufen und Entfernen von IAM-Rollen für Cloud KMS-Ressourcen finden Sie unter Zugriffssteuerung mit IAM.

Beschränkungen

Für das Dashboard Verschlüsselungsmesswerte gelten die folgenden Beschränkungen:

• Das Dashboard zeigt Messwerte für jeweils ein Projekt an.
• Das Dashboard ist auf 10.000 Ressourcen oder Schlüssel pro Projekt beschränkt. Wenn Ihr Projekt mehr als 10.000 Schlüssel enthält oder die Schlüssel in Ihrem Projekt mehr als 10.000 Ressourcen schützen, werden nur teilweise Messwerte angezeigt.
• Das Dashboard basiert auf Daten aus dem Cloud Asset Inventory-Dienst. Wenn Daten in Cloud Asset Inventory veraltet sind, werden im Dashboard möglicherweise ungenaue oder unvollständige Informationen angezeigt.
• Das Dashboard berücksichtigt nur symmetrische Schlüssel für die Schlüsselausrichtung und die CMEK-Abdeckung.
• Das Dashboard berücksichtigt nur Ressourcen, die das Tracking der Schlüsselnutzung unterstützen.
• Die Messwerte zur Schlüsselausrichtung unterscheiden nicht zwischen Schlüsseln, die aktiv als CMEKs zum Schutz nachverfolgbarer Ressourcen verwendet werden, Schlüsseln, die aktiv für andere Anwendungsfälle verwendet werden, und Schlüsseln ohne aktive Schlüsselversionen. Ihre Daten zur Schlüsselausrichtung können beispielsweise Schlüssel enthalten, die für benutzerdefinierte Anwendungen verwendet werden.
• Wenn die Daten zur Schlüsselausrichtung Schlüssel enthalten, die nicht nachverfolgbare Ressourcen und benutzerdefinierte Anwendungen schützen, sind die Details zur Ausrichtung für diese Schlüssel möglicherweise nicht korrekt. Beispielsweise kann ein Schlüssel, der in mehreren benutzerdefinierten Anwendungen in mehreren Projekten verwendet wird, als übereinstimmend mit den Empfehlungen für den Detaillierungsgrad von Schlüsseln angezeigt werden, obwohl dies nicht der Fall ist.

Nächste Schritte

• Weitere Informationen zum Tracking der Schlüsselnutzung.
• Weitere Informationen zu den Best Practices für vom Kunden verwaltete Verschlüsselung schlüssel.