Visualizzare le metriche di crittografia

Cloud Key Management Service (Cloud KMS) mostra le metriche relative alle chiavi di crittografia che proteggono i dati at-rest. Queste metriche mostrano in che modo le risorse sono protette e se le chiavi sono allineate alle pratiche consigliate. Le metriche si concentrano principalmente sulle chiavi di crittografia gestite dal cliente (CMEK) utilizzate per proteggere le risorse nei servizi integrati con CMEK. Questa guida mostra come visualizzare le metriche di crittografia del progetto e aiuta a capire cosa significano per la postura di sicurezza della tua organizzazione.

Per saperne di più sulle pratiche consigliate per l'utilizzo delle chiavi CMEK per proteggere le risorse in Google Cloud, consulta Best practice per l'utilizzo delle chiavi CMEK.

Prima di iniziare

  1. Per ottenere le autorizzazioni necessarie per visualizzare le metriche di crittografia, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto o su una risorsa padre:

    Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  2. Se la tua organizzazione utilizza un modello di gestione delle chiavi centralizzato, con le chiavi archiviate in un progetto di chiavi condiviso che protegge le risorse in altri progetti, allora devi concedere il ruolo Agente di servizio dell'organizzazione Cloud KMS all'Agente di servizio dell'organizzazione Cloud KMS:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent

    Se salti questo passaggio, la dashboard Metriche di crittografia potrebbe mostrare informazioni incomplete. Ad esempio, quando visualizzi le metriche di crittografia per PROJECT_A, le risorse in PROJECT_B protette da una chiave in PROJECT_A non verranno incluse nelle metriche.

Visualizzare le metriche di crittografia

Per visualizzare le metriche di crittografia:

  1. Nella Google Cloud console, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic sulla scheda Panoramica e poi su Metriche di crittografia.

  3. Utilizza il selettore dei progetti per selezionarne uno. La dashboard mostra le seguenti metriche di crittografia per le risorse e le chiavi in quel progetto:

  4. (Facoltativo) Per visualizzare un elenco di chiavi in ogni categoria, fai clic sulla sezione per cui vuoi visualizzare le chiavi. Per filtrare l'elenco delle chiavi, inserisci i termini di ricerca nella filter_list Filtra casella e quindi premi Invio.

Visualizzare i dettagli dell'allineamento delle chiavi

Per visualizzare un elenco delle chiavi nel progetto e vedere a quali pratiche consigliate sono allineate:

  1. Nella pagina Metriche di crittografia, individua il grafico Allineamento alle pratiche consigliate per l'utilizzo delle chiavi.

  2. (Facoltativo) Per concentrarti solo sulle chiavi create da Autokey di Cloud KMS, fai clic sulla scheda Cloud KMS (Autokey). Per concentrarti solo sulle chiavi create manualmente, fai clic sulla scheda Cloud KMS (manuale).

  3. Per visualizzare un elenco di chiavi e vedere se sono allineate a ogni pratica consigliata, fai clic sulla sezione che rappresenta la categoria e poi su Visualizza.

    La pagina Allineamento alle pratiche consigliate per l'utilizzo delle chiavi elenca le chiavi Cloud KMS nel progetto selezionato e mostra se ognuna è Allineata o Non allineata a ogni suggerimento. Per saperne di più su cosa significa che una chiave è Allineata o Non allineata per un suggerimento, consulta Allineamento delle chiavi in questo documento.

  4. (Facoltativo) Per filtrare l'elenco delle chiavi, inserisci i termini di ricerca nella filter_list Filtra casella e quindi premi Invio. Ad esempio, puoi filtrare l'elenco in modo da mostrare solo le chiavi Allineate al suggerimento Granularità.

Comprendere le metriche di crittografia

La dashboard delle metriche di crittografia utilizza il servizio Cloud Asset Inventory per raccogliere informazioni sulle risorse e sulle chiavi Cloud KMS. La dashboard calcola le metriche on demand utilizzando gli ultimi dati disponibili.

La dashboard mostra due categorie principali di metriche: copertura CMEK e allineamento delle chiavi. Entrambe le metriche mostrano una visualizzazione di riepilogo con informazioni aggregate e una visualizzazione dettagliata con un elenco tabulare di risorse o chiavi.

Copertura CMEK

Le metriche di copertura CMEK nei grafici Risorse in questo progetto per tipo di protezione e Tipo di protezione delle risorse per servizio mostrano quante delle tue risorse sono protette dalle chiavi CMEK. Questa metrica esamina le risorse per cui sono supportate l'integrazione CMEK e il monitoraggio delle chiavi Cloud KMS. Le risorse sono raggruppate nelle seguenti categorie:

  • Crittografia gestita da Google: risorse protette dalla crittografia predefinita di Google.
  • Cloud KMS (manuale): risorse protette da una chiave CMEK creata e gestita manualmente.
  • Cloud KMS (Autokey): risorse protette da una chiave CMEK di cui è stato eseguito il provisioning e assegnata dal servizio Autokey.

Le metriche di copertura CMEK vengono mostrate per l'intero progetto e suddivise per il servizio associato a ciascuna delle risorse protette. Puoi utilizzare queste informazioni per valutare quante delle risorse nel progetto selezionato utilizzano la crittografia predefinita di Google quando potrebbero utilizzare le chiavi CMEK.

Per un elenco dei tipi di risorse supportati, consulta Tipi di risorse monitorate.

Allineamento delle chiavi

Le metriche di allineamento delle chiavi nel grafico Allineamento alle pratiche consigliate per l'utilizzo delle chiavi mostrano se le chiavi Cloud KMS sono allineate alle seguenti pratiche di sicurezza consigliate:

  • Periodo di rotazione: la chiave ha un periodo di rotazione appropriato impostato.
  • Granularità: la chiave protegge le risorse che si trovano in un progetto e appartengono a un servizio.
  • Separazione dei compiti: solo i service account hanno l'autorizzazione per criptare e decriptare con la chiave.
  • Località: la chiave protegge solo le risorse che si trovano nella stessa località cloud.

Le metriche di allineamento delle chiavi includono tutte le chiavi di crittografia simmetrica Cloud KMS nel progetto selezionato, anche se non vengono utilizzate per proteggere le risorse in un servizio integrato con CMEK. Queste metriche vengono valutate per le chiavi, non per le versioni delle chiavi. Ad esempio, una chiave senza versioni della chiave attive può comunque essere visualizzata come Allineata per una o tutte queste pratiche consigliate.

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna di queste pratiche.

Granularità

La granularità della chiave si riferisce alla scala e all'ambito dell'utilizzo previsto di una chiave. Le chiavi possono essere altamente granulari, proteggendo solo una singola risorsa, oppure possono essere meno granulari, proteggendo molte risorse. L'utilizzo di chiavi meno granulari aumenta il potenziale impatto degli incidenti di sicurezza, inclusi l'accesso non autorizzato e la perdita di dati accidentale.

In generale, consigliamo la seguente strategia di granularità:

  • Ogni chiave protegge le risorse in una singola località, ad esempio, us-central1.
  • Ogni chiave protegge le risorse in un singolo servizio o prodotto, ad esempio BigQuery.
  • Ogni chiave protegge le risorse in un singolo Google Cloud progetto.

Questo suggerimento potrebbe non essere la strategia di granularità ideale per la tua organizzazione. Per la maggior parte delle organizzazioni, questa strategia offre un buon equilibrio tra l'overhead della gestione di molte chiavi altamente granulari e i potenziali rischi dell'utilizzo di chiavi meno granulari condivise tra molti progetti, servizi o risorse.

Le chiavi create con Cloud KMS Autokey seguono questo suggerimento.

Ogni chiave nel progetto è considerata Allineata a questo suggerimento se le risorse che protegge si trovano tutte nella stessa località, nello stesso servizio e nello stesso progetto. Una chiave è considerata Non allineata a questo suggerimento se le risorse che protegge si trovano in due o più località, servizi o progetti.

Se le chiavi non sono allineate a questo suggerimento, valuta se modificare la strategia di granularità delle chiavi è adatta alla tua organizzazione. Per saperne di più sulle pratiche consigliate per la granularità delle chiavi, consulta Scegliere una strategia di granularità delle chiavi.

Località

Nella maggior parte dei casi, le chiavi Cloud KMS utilizzate con i servizi integrati con CMEK sono richieste per essere esattamente nella stessa Google Cloud regione o multi-regione in cui si trovano le risorse che proteggono. Tuttavia, alcuni servizi consentono eccezioni a questa regola.

Ogni chiave nel progetto è considerata Allineata a questo suggerimento se le risorse che protegge si trovano tutte nella stessa località della chiave, ad esempio una chiave in us-central1 che protegge le risorse in us-central1. Le chiavi regionali possono proteggere le risorse zonali all'interno della stessa regione, ad esempio una chiave in us-central1 che protegge le risorse in us-central1a.

Una chiave è considerata Non allineata a questo suggerimento se protegge una risorsa in una regione o multi-regione diversa, ad esempio una chiave nella us multi-regione che protegge un disco Compute Engine nella us-central1 regione.

Se le chiavi non sono allineate a questo suggerimento, valuta la possibilità di spostare o sostituire le risorse o le chiavi in modo che si trovino nella stessa località. Per saperne di più sulle località, consulta Località Cloud KMS.

Rotazione

La rotazione regolare delle chiavi è un aspetto importante della sicurezza delle informazioni. Ad esempio, alcuni standard richiedono di ruotare le chiavi in base a una determinata pianificazione. Le chiavi che proteggono carichi di lavoro sensibili potrebbero dover essere ruotate più frequentemente. Cloud KMS consente di configurare rotazione della chiave automatica delle chiavi per garantire che la pianificazione scelta venga rispettata.

Ogni chiave nel progetto è considerata Allineata a questo suggerimento se è impostata una pianificazione di rotazione. Una chiave è considerata Non allineata se non è configurata per la rotazione della chiave automatica.

Per attivare la rotazione automatica, puoi procedere in uno dei seguenti modi:

Separazione dei compiti

La separazione dei compiti è una pratica di sicurezza che mira a evitare di concedere a utenti o altre entità troppe autorizzazioni. Nel contesto di Cloud KMS e delle integrazioni CMEK, ciò significa che gli utenti che gestiscono le chiavi Cloud KMS non devono avere le autorizzazioni per utilizzare queste chiavi e le entità che utilizzano le chiavi per criptare e decriptare le risorse non hanno altre autorizzazioni sulle chiavi.

Ogni chiave nel progetto è considerata Allineata a questo suggerimento se sono vere entrambe le seguenti condizioni:

  • Il account di servizio per la risorsa protetta è l'unica entità con le autorizzazioni cloudkms.cryptoKeyVersions.useToEncrypt e cloudkms.cryptoKeyVersions.useToDecrypt sulla chiave.
  • Il account di servizio per la risorsa protetta non ha un ruolo che concede le autorizzazioni di amministrazione delle chiavi sulla chiave, inclusi roles/cloudkms.admin, roles/editor e roles/owner.

Una chiave è considerata Non allineata se il account di servizio dispone delle autorizzazioni di amministrazione o se un'altra entità dispone delle autorizzazioni di crittografia o decrittografia.

Se le chiavi non sono allineate a questo suggerimento, esamina i ruoli e le autorizzazioni IAM sulle chiavi e su altre risorse Cloud KMS e rimuovi le concessioni di ruoli e autorizzazioni non necessarie. Per saperne di più sui ruoli Cloud KMS e sulle autorizzazioni che includono, consulta Autorizzazioni e ruoli. Per saperne di più sulla visualizzazione e la rimozione dei ruoli IAM sulle risorse Cloud KMS, consulta Controllo dell'accesso con IAM.

Limitazioni

La dashboard Metriche di crittografia presenta le seguenti limitazioni:

  • La dashboard mostra le metriche per un progetto alla volta.
  • La dashboard ha un limite di 10.000 risorse o chiavi per progetto. Se il progetto contiene più di 10.000 chiavi o se le chiavi nel progetto proteggono più di 10.000 risorse, vengono mostrate solo metriche parziali.
  • La dashboard si basa sui dati del servizio Cloud Asset Inventory. Se alcuni dati in Cloud Asset Inventory non sono aggiornati, la dashboard potrebbe mostrare informazioni imprecise o incomplete.
  • La dashboard considera solo le chiavi simmetriche per l'allineamento delle chiavi e la copertura CMEK.
  • La dashboard considera solo le risorse che supportano il monitoraggio dell'utilizzo delle chiavi.
  • Le metriche di allineamento delle chiavi non distinguono tra le chiavi in uso attivo come chiavi CMEK che proteggono le risorse monitorabili, le chiavi in uso attivo per altri casi d'uso e le chiavi che non hanno versioni della chiave attive. Ad esempio, i dati di allineamento delle chiavi potrebbero includere le chiavi utilizzate per le applicazioni personalizzate.
  • Quando i dati di allineamento delle chiavi includono le chiavi che proteggono le risorse non monitorabili e le applicazioni personalizzate, i dettagli di allineamento per queste chiavi potrebbero non essere accurati. Ad esempio, una chiave utilizzata in più applicazioni personalizzate in più progetti potrebbe essere visualizzata come Allineata ai suggerimenti sulla granularità delle chiavi, anche se non lo è.

Passaggi successivi