Cómo consultar las métricas de encriptación

Cloud Key Management Service (Cloud KMS) muestra métricas sobre las claves de encriptación que protegen tus datos en reposo. Estas métricas muestran cómo se protegen tus recursos y si tus claves se alinean con las prácticas recomendadas. Las métricas se enfocan principalmente en las claves de encriptación administradas por el cliente (CMEK) que se usan para proteger los recursos en los servicios integrados en CMEK. En esta guía, se muestra cómo ver las métricas de encriptación de tu proyecto y se te ayuda a comprender qué significan para la posición de seguridad de tu organización.

Para obtener más información sobre las prácticas recomendadas para usar CMEK y proteger tus recursos en Google Cloud, consulta Prácticas recomendadas para usar CMEK.

Antes de comenzar

1. Para obtener los permisos que necesitas para ver las métricas de encriptación, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de Cloud KMS (roles/cloudkms.viewer) en el proyecto o en un recurso principal. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

   También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

2. Otorga el rol de Agente de servicios de organización de Cloud KMS al Agente de servicios de organización de Cloud KMS:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   Si omites este paso, es posible que el panel de Métricas de encriptación muestre información incompleta. Por ejemplo, cuando ves las métricas de encriptación de PROJECT_A, los recursos de PROJECT_B que están protegidos por una clave en PROJECT_A no se incluirían en las métricas.

Cómo consultar las métricas de encriptación

Para ver las métricas de encriptación, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Administración de claves.

   Ir a Key Management

2. Haz clic en la pestaña Visión general y, luego, en Métricas de encriptación.

3. Usa el selector de proyectos para seleccionar un proyecto. En el panel, se muestran las siguientes métricas de encriptación para los recursos y las claves de ese proyecto:

   • Los gráficos Recursos de este proyecto por tipo de protección y Tipo de protección de recursos por servicio muestran las métricas de resumen de la cobertura de CMEK.
   • En el gráfico Alineación con las prácticas recomendadas de uso de claves, se muestran las métricas de resumen de la alineación de claves. También puedes ver los detalles de la alineación de claves.

Consulta los detalles de la alineación de claves

Para ver una lista de las claves del proyecto y las prácticas recomendadas con las que se alinean, sigue estos pasos:

1. En la página Métricas de encriptación, busca el gráfico Alineación con las prácticas recomendadas de uso de claves.

2. Opcional: Para enfocarte solo en las claves creadas por Autokey de Cloud KMS, haz clic en la pestaña Cloud KMS (Autokey). Para enfocarte solo en las claves creadas de forma manual, haz clic en la pestaña Cloud KMS (Manual).

3. Para ver una lista de las claves y saber si se alinean con cada práctica recomendada, haz clic en la sección que representa la categoría y, luego, en Ver.

   En la página Alineación con las prácticas recomendadas de uso de claves, se enumeran las claves de Cloud KMS del proyecto seleccionado y se muestra si cada una está Alineada o No alineada con cada recomendación. Para obtener más información sobre lo que significa que una clave esté alineada o no alineada para una recomendación, consulta Alineación de palabras clave en este documento.

4. Opcional: Para filtrar la lista de claves, ingresa los términos de búsqueda en el cuadro Filtro de filter_list y, luego, presiona Intro. Por ejemplo, puedes filtrar la lista para mostrar solo las claves que están alineadas con la recomendación de granularidad.

Información sobre las métricas de encriptación

El panel de métricas de encriptación usa el servicio de Cloud Asset Inventory para recopilar información sobre tus recursos y claves de Cloud KMS. El panel calcula las métricas a pedido con los datos disponibles más recientes.

En el panel, se muestran dos categorías principales de métricas: la cobertura de CMEK y la alineación de claves. Ambas métricas muestran una vista de resumen con información agregada y una vista detallada con una lista tabular de recursos o claves.

Cobertura de CMEK

Las métricas de cobertura de CMEK en los gráficos Recursos de este proyecto por tipo de protección y Tipo de protección de recursos por servicio muestran cuántos de tus recursos están protegidos por CMEK. Esta métrica analiza los recursos para los que se admiten la integración de CMEK y el seguimiento de claves de Cloud KMS. Los recursos se agrupan en las siguientes categorías:

• Encriptación administrada por Google: Son los recursos protegidos por la encriptación predeterminada de Google.
• Cloud KMS (manual): Recursos protegidos por una CMEK que creas y administras de forma manual.
• Cloud KMS (Autokey): Recursos protegidos por una CMEK aprovisionada y asignada por el servicio de Autokey.

Las métricas de cobertura de CMEK se muestran para el proyecto en su totalidad y se desglosan por el servicio asociado a cada uno de los recursos protegidos. Puedes usar esta información para evaluar cuántos de los recursos del proyecto seleccionado usan la encriptación predeterminada de Google cuando podrían usar CMEK.

Para obtener una lista de los tipos de recursos admitidos, consulta Tipos de recursos supervisados.

Alineación de claves

Las métricas de alineación de claves en el gráfico Alineación con las prácticas recomendadas de uso de claves muestran si tus claves de Cloud KMS se alinean con las siguientes prácticas de seguridad recomendadas:

• Período de rotación: La clave tiene establecido un período de rotación adecuado.
• Detalle: La clave protege los recursos que se encuentran en un proyecto y pertenecen a un servicio.
• Separación de tareas: Solo las cuentas de servicio tienen permiso para encriptar y desencriptar con la clave.
• Ubicación: La clave solo protege los recursos que se encuentran en la misma ubicación de la nube.

Las métricas de alineación de claves incluyen todas las claves de encriptación simétrica de Cloud KMS en el proyecto seleccionado, incluso si no se usan para proteger recursos en un servicio integrado en CMEK. Estas métricas se evalúan para las claves, no para las versiones de clave. Por ejemplo, una clave sin versiones de clave activas puede seguir apareciendo como Alineada para cualquiera de estas prácticas recomendadas o todas ellas.

En las siguientes secciones, se proporciona más información sobre cada una de estas prácticas.

Nivel de detalle

La granularidad de la clave hace referencia a la escala y el alcance del uso previsto de una clave. Las claves pueden ser muy detalladas y proteger solo un recurso, o bien pueden ser menos detalladas y proteger muchos recursos. El uso de claves menos detalladas aumenta el posible impacto de los incidentes de seguridad, incluido el acceso no autorizado y la pérdida accidental de datos.

En general, recomendamos la siguiente estrategia de granularidad:

• Cada clave protege los recursos en una sola ubicación, por ejemplo, us-central1.
• Cada clave protege los recursos en un solo servicio o producto, por ejemplo, BigQuery.
• Cada clave protege los recursos en un solo proyecto de Google Cloud .

Es posible que esta recomendación no sea la estrategia de granularidad ideal para tu organización. Para la mayoría de las organizaciones, esta estrategia proporciona un buen equilibrio entre la sobrecarga de mantener muchas claves altamente detalladas y los riesgos potenciales de usar claves menos detalladas que se comparten entre muchos proyectos, servicios o recursos.

Las claves creadas con Autokey de Cloud KMS siguen esta recomendación.

Cada clave de tu proyecto se considera alineada con esta recomendación si los recursos que protege se encuentran en la misma ubicación, el mismo servicio y el mismo proyecto. Se considera que una clave no está alineada con esta recomendación si los recursos que protege se encuentran en dos o más ubicaciones, servicios o proyectos.

Si tus claves no se alinean con esta recomendación, considera si ajustar tu estrategia de granularidad de claves es adecuado para tu organización. Para obtener más información sobre las prácticas recomendadas para el nivel de detalle de las claves, consulta Elige una estrategia de nivel de detalle para las claves.

Ubicación

En la mayoría de los casos, las claves de Cloud KMS que se usan con los servicios integrados en la CMEK deben estar en la misma Google Cloud región o multirregión exacta en la que se encuentran los recursos que protegen. Sin embargo, algunos servicios permiten excepciones a esta regla.

Cada clave de tu proyecto se considera alineada con esta recomendación si todos los recursos que protege se encuentran en la misma ubicación que la clave, por ejemplo, una clave en us-central1 que protege recursos en us-central1. Las claves regionales pueden proteger recursos zonales dentro de la misma región; por ejemplo, una clave en us-central1 que protege recursos en us-central1a.

Una clave se considera No alineada con esta recomendación si protege un recurso en una región o multirregión diferente; por ejemplo, una clave en la multirregión us que protege un disco de Compute Engine en la región us-central1.

Si tus claves no se alinean con esta recomendación, considera mover o reemplazar tus recursos o claves para que estén en la misma ubicación. Para obtener más información sobre las ubicaciones, consulta Ubicaciones de Cloud KMS.

Rotación

Rotar las claves con regularidad es un aspecto importante de la seguridad de la información. Por ejemplo, algunos estándares requieren que rotes tus claves según un programa determinado. Es posible que las claves que protegen cargas de trabajo sensibles deban rotarse con mayor frecuencia. Cloud KMS te permite configurar la rotación automática de claves para garantizar que se siga el programa elegido.

Cada clave de tu proyecto se considera alineada con esta recomendación si tiene un programa de rotación establecido. Una clave se considera No alineada si no está configurada para la rotación automática de claves.

Para habilitar la rotación automática, puedes hacer lo siguiente:

• Crea manualmente una clave nueva con una programación de rotación personalizada.
• Usa Autokey de Cloud KMS cuando crees un recurso nuevo. Las claves creadas por Cloud KMS Autokey tienen un período de rotación predeterminado de un año, pero este se puede cambiar después de crear la clave.
• Actualiza una clave existente para agregar un programa de rotación.

Separación de obligaciones

La separación de tareas es una práctica de seguridad que tiene como objetivo evitar otorgar demasiados permisos a los usuarios o a otras entidades principales. En el contexto de las integraciones de Cloud KMS y CMEK, esto significa que los usuarios que mantienen tus claves de Cloud KMS no deben tener permisos para usar esas claves, y las entidades principales que usan las claves para encriptar y desencriptar tus recursos no tienen otros permisos en las claves.

Cada clave de tu proyecto se considera alineada con esta recomendación si se cumplen las siguientes condiciones:

• La cuenta de servicio del recurso protegido es la única principal con los permisos cloudkms.cryptoKeyVersions.useToEncrypt y cloudkms.cryptoKeyVersions.useToDecrypt en la clave.
• La cuenta de servicio del recurso protegido no tiene un rol que otorgue permisos de administración de claves en la clave, incluidos roles/cloudkms.admin, roles/editor y roles/owner.

Una clave se considera No alineada si la cuenta de servicio tiene permisos de administración o si otro principal tiene permisos de encriptación o desencriptación.

Si tus claves no cumplen con esta recomendación, revisa los roles y permisos de IAM en tus claves y otros recursos de Cloud KMS, y quita los permisos y roles que no sean necesarios. Para obtener más información sobre los roles de Cloud KMS y los permisos que incluyen, consulta Permisos y roles. Para obtener más información sobre cómo ver y quitar roles de IAM en recursos de Cloud KMS, consulta Control de acceso con IAM.

Limitaciones

El panel de Métricas de encriptación tiene las siguientes limitaciones:

• En el panel, se muestran las métricas de un proyecto a la vez.
• El panel tiene un límite de 10,000 recursos o claves por proyecto. Si tu proyecto contiene más de 10,000 claves o si las claves de tu proyecto protegen más de 10,000 recursos, solo se mostrarán métricas parciales.
• El panel depende de los datos del servicio de Cloud Asset Inventory. Si alguno de los datos de Cloud Asset Inventory no está actualizado, es posible que el panel muestre información inexacta o incompleta.
• El panel solo considera las claves simétricas para la alineación de claves y la cobertura de CMEK.
• El panel solo considera los recursos que admiten el seguimiento del uso de claves.
• Las métricas de alineación de claves no distinguen entre las claves que se usan de forma activa como CMEK para proteger recursos rastreables, las claves que se usan de forma activa para otros casos de uso y las claves que no tienen versiones activas. Por ejemplo, tus datos de alineación de claves pueden incluir claves que se usan para aplicaciones personalizadas.
• Cuando los datos de alineación de claves incluyen claves que protegen recursos no rastreables y aplicaciones personalizadas, es posible que los detalles de alineación de estas claves no sean precisos. Por ejemplo, una clave que se usa en varias aplicaciones personalizadas en varios proyectos podría mostrarse como Alineada con las recomendaciones de granularidad de la clave, aunque no lo esté.

¿Qué sigue?

• Obtén más información sobre el seguimiento del uso de claves.
• Obtén más información sobre las prácticas recomendadas para las claves de encriptación administradas por el cliente.