Visualizzare le metriche di crittografia

Cloud Key Management Service (Cloud KMS) mostra le metriche relative alle chiavi di crittografia che proteggono i tuoi dati at-rest. Queste metriche mostrano come vengono protette le risorse e se le chiavi sono allineate alle pratiche consigliate. Le metriche si concentrano principalmente sulle chiavi di crittografia gestite dal cliente (CMEK) utilizzate per proteggere le risorse nei servizi integrati con CMEK. Questa guida mostra come visualizzare le metriche di crittografia del progetto e ti aiuta a capire cosa significano per il livello di sicurezza della tua organizzazione.

Per ulteriori informazioni sulle pratiche consigliate per l'utilizzo delle CMEK per proteggere le tue risorse in Google Cloud, consulta Best practice per l'utilizzo delle CMEK.

Prima di iniziare

1. Per ottenere le autorizzazioni necessarie per visualizzare le metriche di crittografia, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore Cloud KMS (roles/cloudkms.viewer) sul progetto o su una risorsa padre. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

   Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

2. Concedi il ruolo Cloud KMS Organization Service Agent a Cloud KMS Organization Service Agent:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   Se salti questo passaggio, la dashboard Metriche di crittografia potrebbe mostrare informazioni incomplete. Ad esempio, quando visualizzi le metriche di crittografia per PROJECT_A, le risorse in PROJECT_B protette da una chiave in PROJECT_A non sarebbero incluse nelle metriche.

Visualizzare le metriche di crittografia

Per visualizzare le metriche di crittografia:

1. Nella console Google Cloud , vai alla pagina Key Management.

   Vai a Gestione delle chiavi

2. Fai clic sulla scheda Panoramica, quindi su Metriche di crittografia.

3. Usa il selettore di progetti per selezionarne uno. La dashboard mostra le seguenti metriche di crittografia per risorse e chiavi nel progetto:

   • I grafici Risorse in questo progetto per tipo di protezione e Tipo di protezione delle risorse per servizio mostrano le metriche del riepilogo della copertura CMEK.
   • Il grafico Allineamento alle pratiche consigliate per l'utilizzo delle chiavi mostra le metriche di riepilogo dell'allineamento delle chiavi. Puoi anche visualizzare i dettagli dell'allineamento delle chiavi.

Visualizzare i dettagli dell'allineamento delle chiavi

Per visualizzare un elenco delle chiavi nel progetto e vedere a quali pratiche consigliate sono allineate, segui questi passaggi:

1. Nella pagina Metriche di crittografia, individua il grafico Allineamento alle pratiche consigliate per l'utilizzo delle chiavi.

2. (Facoltativo) Per concentrarti solo sulle chiavi create da Cloud KMS Autokey, fai clic sulla scheda Cloud KMS (Autokey). Per concentrarti solo sulle chiavi create manualmente, fai clic sulla scheda Cloud KMS (manuale).

3. Per visualizzare un elenco delle chiavi e verificare se sono allineate a ciascuna best practice consigliata, fai clic sulla sezione che rappresenta la categoria e poi su Visualizza.

   La pagina Allineamento alle pratiche consigliate per l'utilizzo delle chiavi elenca le chiavi Cloud KMS nel progetto selezionato e mostra se ciascuna è Allineata o Non allineata a ogni consiglio. Per saperne di più su cosa significa che una chiave è Allineata o Non allineata per un suggerimento, consulta la sezione Allineamento delle chiavi in questo documento.

4. (Facoltativo) Per filtrare l'elenco delle chiavi, inserisci i termini di ricerca nella casella filter_list Filtro e poi premi Invio. Ad esempio, puoi filtrare l'elenco in modo da mostrare solo le chiavi Allineate al suggerimento relativo alla Granularità.

Informazioni sulle metriche di crittografia

La dashboard delle metriche di crittografia utilizza il servizio Cloud Asset Inventory per raccogliere informazioni sulle risorse e sulle chiavi Cloud KMS. La dashboard calcola le metriche on demand utilizzando i dati più recenti disponibili.

La dashboard mostra due categorie principali di metriche: copertura CMEK e allineamento delle chiavi. Entrambe le metriche mostrano una visualizzazione riepilogativa con informazioni aggregate e una visualizzazione dettagliata con un elenco tabellare di risorse o chiavi.

Copertura CMEK

Le metriche di copertura CMEK nei grafici Risorse in questo progetto per tipo di protezione e Tipo di protezione delle risorse per servizio mostrano quante delle tue risorse sono protette da CMEK. Questa metrica esamina le risorse per le quali sono supportate l'integrazione di CMEK e il monitoraggio delle chiavi Cloud KMS. Le risorse sono raggruppate nelle seguenti categorie:

• Crittografia gestita da Google: risorse protette dalla crittografia predefinita di Google.
• Cloud KMS (manuale): risorse protette da una CMEK che crei e gestisci manualmente.
• Cloud KMS (Autokey): risorse protette da una CMEK di cui è stato eseguito il provisioning e l'assegnazione da parte del servizio Autokey.

Le metriche di copertura CMEK vengono mostrate per il progetto nel suo complesso e suddivise per il servizio associato a ciascuna delle risorse protette. Puoi utilizzare queste informazioni per valutare quante risorse nel progetto selezionato utilizzano la crittografia predefinita di Google quando potrebbero utilizzare le chiavi CMEK.

Per un elenco dei tipi di risorse supportati, consulta Tipi di risorse monitorate.

Allineamento delle chiavi

Le metriche di allineamento delle chiavi nel grafico Allineamento alle pratiche consigliate per l'utilizzo delle chiavi mostrano se le chiavi Cloud KMS sono allineate alle seguenti pratiche di sicurezza consigliate:

• Periodo di rotazione: la chiave ha un periodo di rotazione appropriato impostato.
• Granularità: la chiave protegge le risorse che si trovano in un progetto e appartengono a un servizio.
• Separazione dei compiti: solo i service account hanno l'autorizzazione per criptare e decriptare con la chiave.
• Posizione: la chiave protegge solo le risorse che si trovano nella stessa posizione cloud.

Le metriche di allineamento delle chiavi includono tutte le chiavi di crittografia simmetrica Cloud KMS nel progetto selezionato, anche se non vengono utilizzate per proteggere le risorse in un servizio integrato con CMEK. Queste metriche vengono valutate per le chiavi, non per le versioni delle chiavi. Ad esempio, una chiave senza versioni attive può comunque essere visualizzata come Allineata per una o tutte queste pratiche consigliate.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna di queste pratiche.

Granularità

La granularità della chiave si riferisce alla scala e all'ambito di utilizzo previsto di una chiave. Le chiavi possono essere molto granulari, proteggendo una sola risorsa, oppure meno granulari, proteggendo molte risorse. L'utilizzo di chiavi meno granulari aumenta il potenziale impatto degli incidenti di sicurezza, inclusi l'accesso non autorizzato e la perdita accidentale di dati.

In generale, consigliamo la seguente strategia di granularità:

• Ogni chiave protegge le risorse in una singola località, ad esempio us-central1.
• Ogni chiave protegge le risorse in un singolo servizio o prodotto, ad esempio BigQuery.
• Ogni chiave protegge le risorse in un singolo progetto Google Cloud .

Questo suggerimento potrebbe non essere la strategia di granularità ideale per la tua organizzazione. Per la maggior parte delle organizzazioni, questa strategia offre un buon equilibrio tra l'overhead della gestione di molte chiavi altamente granulari e i potenziali rischi dell'utilizzo di chiavi meno granulari condivise tra molti progetti, servizi o risorse.

Le chiavi create con Autokey di Cloud KMS seguono questo consiglio.

Ogni chiave nel tuo progetto è considerata Allineata a questo consiglio se le risorse che protegge si trovano tutte nella stessa località, servizio e progetto. Una chiave è considerata Non allineata a questo suggerimento se le risorse che protegge si trovano in due o più posizioni, servizi o progetti.

Se le tue chiavi non sono in linea con questo consiglio, valuta se modificare la strategia di granularità delle chiavi è la soluzione giusta per la tua organizzazione. Per saperne di più sulle pratiche consigliate per la granularità delle chiavi, consulta Scegliere una strategia di granularità delle chiavi.

Località

Nella maggior parte dei casi, le chiavi Cloud KMS utilizzate con i servizi integrati con CMEK devono trovarsi esattamente nella stessa Google Cloud regione o multiregione in cui si trovano le risorse che proteggono. Tuttavia, alcuni servizi consentono eccezioni a questa regola.

Ogni chiave del tuo progetto è considerata Allineata a questo consiglio se le risorse che protegge si trovano tutte nella stessa località della chiave, ad esempio una chiave in us-central1 che protegge le risorse in us-central1. Le chiavi regionali possono proteggere le risorse di zona all'interno della stessa regione, ad esempio una chiave in us-central1 che protegge le risorse in us-central1a.

Una chiave è considerata Non allineata a questo consiglio se protegge una risorsa in una regione o in una multi-regione diversa, ad esempio una chiave nella multi-regione us che protegge un disco Compute Engine nella regione us-central1.

Se le tue chiavi non sono in linea con questo consiglio, valuta la possibilità di spostare o sostituire le risorse o le chiavi in modo che si trovino nella stessa posizione. Per ulteriori informazioni sulle località, consulta Località Cloud KMS.

Rotazione

La rotazione regolare delle chiavi è un aspetto importante della sicurezza delle informazioni. Ad esempio, alcuni standard richiedono di ruotare le chiavi secondo una determinata pianificazione. Le chiavi che proteggono i workload sensibili potrebbero dover essere ruotate più spesso. Cloud KMS consente di configurare rotazione della chiave automatica delle chiavi per garantire che la pianificazione scelta venga rispettata.

Ogni chiave del tuo progetto è considerata Allineata a questo consiglio se è impostata una pianificazione della rotazione. Una chiave è considerata Non allineata se non è configurata per la rotazione automatica delle chiavi.

Per attivare la rotazione automatica, puoi procedere in uno dei seguenti modi:

• Crea manualmente una nuova chiave con una pianificazione di rotazione personalizzata.
• Utilizza Autokey di Cloud KMS quando crei una nuova risorsa. Le chiavi create da Autokey di Cloud KMS hanno un periodo di rotazione predefinito di un anno, ma il periodo di rotazione può essere modificato dopo la creazione della chiave.
• Aggiorna una chiave esistente per aggiungere una pianificazione di rotazione.

Separazione dei compiti

La separazione dei compiti è una pratica di sicurezza che mira a evitare di concedere agli utenti o ad altri principal troppe autorizzazioni. Nel contesto di Cloud KMS e delle integrazioni CMEK, ciò significa che gli utenti che gestiscono le chiavi Cloud KMS non devono disporre delle autorizzazioni per utilizzare queste chiavi e che i principal che utilizzano le chiavi per criptare e decriptare le risorse non dispongono di altre autorizzazioni sulle chiavi.

Ogni chiave del tuo progetto è considerata Allineata a questo consiglio se sono vere entrambe le seguenti condizioni:

• Il account di servizio per la risorsa protetta è l'unica entità con le autorizzazioni cloudkms.cryptoKeyVersions.useToEncrypt e cloudkms.cryptoKeyVersions.useToDecrypt sulla chiave.
• Il account di servizio per la risorsa protetta non ha un ruolo che concede le autorizzazioni di amministrazione delle chiavi sulla chiave, tra cui roles/cloudkms.admin, roles/editor e roles/owner.

Una chiave viene considerata Non allineata se il account di servizio dispone di autorizzazioni di amministrazione o se un'altra entità dispone di autorizzazioni di crittografia o decrittografia.

Se le tue chiavi non sono in linea con questo suggerimento, esamina i ruoli e le autorizzazioni IAM sulle tue chiavi e su altre risorse Cloud KMS e rimuovi le concessioni di ruoli e autorizzazioni che non sono necessarie. Per saperne di più sui ruoli Cloud KMS e sulle autorizzazioni che includono, consulta Autorizzazioni e ruoli. Per saperne di più sulla visualizzazione e sulla rimozione dei ruoli IAM nelle risorse Cloud KMS, consulta Controllo dell'accesso con IAM.

Limitazioni

La dashboard Metriche di crittografia presenta le seguenti limitazioni:

• La dashboard mostra le metriche per un progetto alla volta.
• La dashboard ha un limite di 10.000 risorse o chiavi per progetto. Se il tuo progetto contiene più di 10.000 chiavi o se le chiavi del tuo progetto proteggono più di 10.000 risorse, vengono mostrate solo metriche parziali.
• La dashboard si basa sui dati del servizio Cloud Asset Inventory. Se alcuni dati in Cloud Asset Inventory non sono aggiornati, la dashboard potrebbe mostrare informazioni imprecise o incomplete.
• La dashboard prende in considerazione solo le chiavi simmetriche per l'allineamento delle chiavi e la copertura CMEK.
• La dashboard prende in considerazione solo le risorse che supportano il monitoraggio dell'utilizzo delle chiavi.
• Le metriche di allineamento delle chiavi non distinguono tra le chiavi in uso attivo come chiavi CMEK che proteggono le risorse monitorabili, le chiavi in uso attivo per altri casi d'uso e le chiavi che non hanno versioni attive. Ad esempio, i dati di allineamento delle chiavi potrebbero includere chiavi utilizzate per applicazioni personalizzate.
• Quando i dati di allineamento delle chiavi includono chiavi che proteggono risorse non monitorabili e applicazioni personalizzate, i dettagli di allineamento per queste chiavi potrebbero non essere accurati. Ad esempio, una chiave utilizzata in più applicazioni personalizzate in più progetti potrebbe essere visualizzata come Allineata ai consigli sulla granularità della chiave anche se non lo è.

Passaggi successivi

• Scopri di più sul monitoraggio dell'utilizzo delle chiavi.
• Scopri di più sulle best practice per le chiavi di crittografia gestite dal cliente.