Melihat metrik enkripsi

Cloud Key Management Service (Cloud KMS) menampilkan metrik tentang kunci enkripsi yang melindungi data Anda dalam penyimpanan. Metrik ini menunjukkan cara resource Anda dilindungi dan apakah kunci Anda selaras dengan praktik yang direkomendasikan. Metrik ini sebagian besar berfokus pada kunci enkripsi yang dikelola pelanggan (CMEK) yang digunakan untuk melindungi resource di layanan yang terintegrasi dengan CMEK. Panduan ini menunjukkan cara melihat metrik enkripsi project Anda dan membantu Anda memahami artinya bagi postur keamanan organisasi Anda.

Untuk mengetahui informasi selengkapnya tentang praktik yang direkomendasikan untuk menggunakan CMEK guna melindungi resource Anda Google Cloud, lihat Praktik terbaik dalam menggunakan CMEK.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk melihat metrik enkripsi, minta administrator untuk memberi Anda peran IAM Cloud KMS Viewer (roles/cloudkms.viewer) di project atau resource induk. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Berikan peran Cloud KMS Organization Service Agent kepada Cloud KMS Organization Service Agent:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent
  
```
Jika Anda melewati langkah ini, dasbor Encryption metrics mungkin akan menampilkan informasi yang tidak lengkap. Misalnya, saat Anda melihat metrik enkripsi untuk PROJECT_A, resource di PROJECT_B yang dilindungi oleh kunci di PROJECT_A tidak akan disertakan dalam metrik.

Melihat metrik enkripsi

Untuk melihat metrik enkripsi, ikuti langkah-langkah berikut:

Di Google Cloud Konsol, buka halaman Key Management.

Buka Key Management
Klik tab Overview, lalu klik Encryption metrics.
Gunakan pemilih project untuk memilih project. Dasbor menampilkan metrik enkripsi berikut untuk resource dan kunci di project tersebut:
- Diagram Resources in this project by protection type dan Resource protection type by service menampilkan metrik ringkasan cakupan CMEK metrics.
- Diagram Alignment to key usage recommended practices menampilkan metrik ringkasan keselarasan kunci; Anda juga dapat melihat detail keselarasan kunci.

Melihat detail keselarasan kunci

Untuk melihat daftar kunci di project dan melihat praktik yang direkomendasikan yang selaras dengan kunci tersebut, ikuti langkah-langkah berikut:

Di halaman Encryption metrics, temukan diagram Alignment to key usage recommended practices.
Opsional: Untuk hanya berfokus pada kunci yang dibuat oleh Cloud KMS Autokey, klik tab Cloud KMS (Autokey). Untuk hanya berfokus pada kunci yang dibuat secara manual, klik tab Cloud KMS (Manual).
Untuk melihat daftar kunci dan melihat apakah kunci tersebut selaras dengan setiap praktik yang direkomendasikan, klik bagian yang mewakili kategori, lalu klik View.

Halaman Alignment to key usage recommended practices mencantumkan kunci Cloud KMS di project yang dipilih dan menunjukkan apakah setiap kunci Aligned atau Not aligned dengan setiap rekomendasi. Untuk mempelajari lebih lanjut tentang arti kunci yang Aligned atau Not aligned untuk rekomendasi, lihat Keselarasan kunci dalam dokumen ini.
Opsional: Untuk memfilter daftar kunci, masukkan istilah penelusuran Anda di filter_list Filter kotak, lalu tekan tombol Enter. Misalnya, Anda dapat memfilter daftar untuk hanya menampilkan kunci yang Aligned dengan rekomendasi Granularity.

Memahami metrik enkripsi

Dasbor metrik enkripsi menggunakan layanan Inventaris Aset Cloud untuk mengumpulkan informasi tentang resource dan kunci Cloud KMS Anda. Dasbor menghitung metrik sesuai permintaan menggunakan data terbaru yang tersedia.

Dasbor menampilkan dua kategori metrik utama: cakupan CMEK dan keselarasan kunci. Kedua metrik menampilkan tampilan ringkasan dengan informasi gabungan dan tampilan mendetail dengan daftar resource atau kunci dalam bentuk tabel.

Cakupan CMEK

Metrik cakupan CMEK di diagram Resources in this project by protection type dan Resource protection type by service menunjukkan jumlah resource Anda yang dilindungi oleh CMEK. Metrik ini melihat resource yang mendukung integrasi CMEK dan pelacakan kunci Cloud KMS. Resource dikelompokkan ke dalam kategori berikut:

Google Managed Encryption: resource yang dilindungi oleh enkripsi default Google.
Cloud KMS (Manual): resource yang dilindungi oleh CMEK yang Anda buat dan kelola secara manual.
Cloud KMS (Autokey): resource yang dilindungi oleh CMEK yang disediakan dan ditetapkan oleh layanan Autokey.

Metrik cakupan CMEK ditampilkan untuk project secara keseluruhan dan dipecah berdasarkan layanan yang terkait dengan setiap resource yang dilindungi. Anda dapat menggunakan informasi ini untuk menilai jumlah resource di project yang dipilih yang menggunakan enkripsi default Google saat resource tersebut dapat menggunakan CMEK.

Untuk mengetahui daftar jenis resource yang didukung, lihat Jenis resource yang dilacak.

Keselarasan kunci

Metrik keselarasan kunci di diagram Alignment to key usage recommended practices menunjukkan apakah kunci Cloud KMS Anda selaras dengan praktik keamanan yang direkomendasikan berikut:

Rotation period: kunci memiliki periode rotasi yang sesuai.
Granularitas: kunci melindungi resource yang berada dalam satu project dan termasuk dalam satu layanan.
Pemisahan tugas: hanya akun layanan yang memiliki izin untuk mengenkripsi dan mendekripsi dengan kunci.
Lokasi: kunci hanya melindungi resource yang berada di lokasi cloud yang sama.

Metrik keselarasan kunci mencakup semua kunci enkripsi simetris Cloud KMS di project yang dipilih, meskipun kunci tersebut tidak digunakan untuk melindungi resource di layanan yang terintegrasi dengan CMEK. Metrik ini dinilai untuk kunci, bukan versi kunci. Misalnya, kunci tanpa versi kunci aktif masih dapat ditampilkan sebagai Aligned untuk salah satu atau semua praktik yang direkomendasikan ini.

Bagian berikut memberikan informasi selengkapnya tentang setiap praktik ini.

Perincian

Perincian kunci mengacu pada skala dan cakupan penggunaan kunci yang dimaksudkan. Kunci dapat sangat terperinci, hanya melindungi satu resource, atau dapat kurang terperinci, melindungi banyak resource. Penggunaan kunci yang kurang terperinci meningkatkan potensi dampak insiden keamanan, termasuk akses tidak sah dan kehilangan data yang tidak disengaja.

Secara umum, sebaiknya gunakan strategi perincian berikut:

Setiap kunci melindungi resource di satu lokasi—misalnya, us-central1.
Setiap kunci melindungi resource di satu layanan atau produk—misalnya, BigQuery.
Setiap kunci melindungi resource di satu Google Cloud project.

Rekomendasi ini mungkin bukan strategi perincian yang ideal untuk organisasi Anda. Untuk sebagian besar organisasi, strategi ini memberikan keseimbangan yang baik antara overhead pemeliharaan banyak kunci yang sangat terperinci dan potensi risiko penggunaan kunci yang kurang terperinci yang dibagikan di antara banyak project, layanan, atau resource.

Kunci yang dibuat dengan Cloud KMS Autokey mengikuti rekomendasi ini.

Setiap kunci di project Anda dianggap Aligned dengan rekomendasi ini jika resource yang dilindunginya berada di lokasi, layanan, dan project yang sama. Kunci dianggap Not aligned dengan rekomendasi ini jika resource yang dilindunginya berada di dua lokasi, layanan, atau project atau lebih.

Jika kunci Anda tidak selaras dengan rekomendasi ini, pertimbangkan apakah menyesuaikan strategi perincian kunci Anda tepat untuk organisasi Anda. Untuk mengetahui informasi selengkapnya tentang praktik yang direkomendasikan untuk perincian kunci, lihat Memilih strategi perincian kunci.

Lokasi

Dalam sebagian besar kasus, kunci Cloud KMS yang digunakan dengan layanan yang terintegrasi dengan CMEK harus berada di region atau multi-region yang sama persis Google Cloud dengan lokasi resource yang dilindunginya. Namun, beberapa layanan memungkinkan pengecualian untuk aturan ini.

Setiap kunci di project Anda dianggap Aligned dengan rekomendasi ini jika resource yang dilindunginya berada di lokasi yang sama dengan kunci—misalnya, kunci di us-central1 yang melindungi resource di us-central1. Kunci regional dapat melindungi resource zona dalam region yang sama —misalnya, kunci di us-central1 yang melindungi resource di us-central1a.

Kunci dianggap Not aligned dengan rekomendasi ini jika kunci tersebut melindungi resource di region atau multi-region yang berbeda—misalnya, kunci di us multi-region yang melindungi disk Compute Engine di us-central1 region.

Jika kunci Anda tidak selaras dengan rekomendasi ini, pertimbangkan untuk memindahkan atau mengganti resource atau kunci Anda sehingga berada di lokasi yang sama. Untuk mengetahui informasi selengkapnya tentang lokasi, lihat Lokasi Cloud KMS.

Rotasi

Merotasi kunci Anda secara rutin adalah aspek penting dari keamanan informasi. Misalnya, beberapa standar mengharuskan Anda merotasi kunci sesuai jadwal tertentu. Kunci yang melindungi workload sensitif mungkin perlu dirotasi lebih sering. Cloud KMS memungkinkan Anda menyiapkan rotasi kunci otomatis untuk kunci Anda guna membantu memastikan jadwal yang Anda pilih diikuti.

Setiap kunci di project Anda dianggap Aligned dengan rekomendasi ini jika kunci tersebut memiliki jadwal rotasi yang ditetapkan. Kunci dianggap Not aligned jika tidak disiapkan untuk rotasi kunci otomatis.

Untuk mengaktifkan rotasi otomatis, Anda dapat melakukan salah satu hal berikut:

Buat kunci baru secara manual dengan jadwal rotasi kustom.
Gunakan Cloud KMS Autokey saat Anda membuat resource baru. Kunci yang dibuat oleh Cloud KMS Autokey memiliki periode rotasi default selama satu tahun, tetapi periode rotasi dapat diubah setelah kunci dibuat.
Perbarui kunci yang ada untuk menambahkan jadwal rotasi.

Pemisahan tugas

Pemisahan tugas adalah praktik keamanan yang bertujuan untuk menghindari pemberian terlalu banyak izin kepada pengguna atau akun utama lainnya. Dalam konteks integrasi Cloud KMS dan CMEK, hal ini berarti bahwa pengguna yang mengelola kunci Cloud KMS Anda tidak boleh memiliki izin untuk menggunakan kunci tersebut, dan akun utama yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource Anda tidak memiliki izin lain pada kunci tersebut.

Setiap kunci di project Anda dianggap Aligned dengan rekomendasi ini jika kedua hal berikut benar:

Akun layanan untuk resource yang dilindungi adalah satu-satunya akun utama yang memiliki izin cloudkms.cryptoKeyVersions.useToEncrypt dan cloudkms.cryptoKeyVersions.useToDecrypt pada kunci.
Akun layanan untuk resource yang dilindungi tidak memiliki peran yang memberikan izin administrasi kunci pada kunci, termasuk roles/cloudkms.admin, roles/editor, dan roles/owner.

Kunci dianggap Not aligned jika akun layanan memiliki izin administrasi atau akun utama lain memiliki izin enkripsi atau dekripsi.

Jika kunci Anda tidak selaras dengan rekomendasi ini, tinjau peran dan izin IAM pada kunci dan resource Cloud KMS lainnya, lalu hapus pemberian peran dan izin yang tidak diperlukan. Untuk mengetahui informasi selengkapnya tentang peran Cloud KMS dan izin yang disertakan, lihat Izin dan peran. Untuk mengetahui informasi selengkapnya tentang cara melihat dan menghapus peran IAM pada resource Cloud KMS, lihat Kontrol akses dengan IAM.

Batasan

Dasbor Encryption metrics memiliki batasan berikut:

Dasbor menampilkan metrik untuk satu project dalam satu waktu.
Dasbor memiliki batas 10.000 resource atau kunci per project. Jika project Anda berisi lebih dari 10.000 kunci atau jika kunci di project Anda melindungi lebih dari 10.000 resource, hanya metrik sebagian yang ditampilkan.
Dasbor mengandalkan data dari layanan Inventaris Aset Cloud. Jika ada data di Inventaris Aset Cloud yang sudah tidak berlaku, dasbor mungkin menampilkan informasi yang tidak akurat atau tidak lengkap.
Dasbor hanya mempertimbangkan kunci simetris untuk keselarasan kunci dan cakupan CMEK.
Dasbor hanya mempertimbangkan resource yang mendukung pelacakan penggunaan kunci.
Metrik keselarasan kunci tidak membedakan antara kunci yang aktif digunakan sebagai CMEK yang melindungi resource yang dapat dilacak, kunci yang aktif digunakan untuk kasus penggunaan lainnya, dan kunci yang tidak memiliki versi kunci aktif. Misalnya, data keselarasan kunci Anda mungkin menyertakan kunci yang digunakan untuk aplikasi kustom.
Jika data keselarasan kunci menyertakan kunci yang melindungi resource yang tidak dapat dilacak dan aplikasi kustom, detail keselarasan untuk kunci ini mungkin tidak akurat. Misalnya, kunci yang digunakan di beberapa aplikasi kustom di beberapa project mungkin ditampilkan sebagai Aligned dengan rekomendasi perincian kunci meskipun tidak.

Langkah berikutnya

Pelajari lebih lanjut pelacakan penggunaan kunci.
Pelajari lebih lanjut tentang praktik terbaik untuk enkripsi yang dikelola pelanggan kunci.

Melihat metrik enkripsi Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Melihat metrik enkripsi

Melihat detail keselarasan kunci

Memahami metrik enkripsi

Cakupan CMEK

Keselarasan kunci

Perincian

Lokasi

Rotasi

Pemisahan tugas

Batasan

Langkah berikutnya

Melihat metrik enkripsi