Ver métricas de criptografia

O Cloud Key Management Service (Cloud KMS) mostra métricas sobre as chaves de criptografia que protegem seus dados em repouso. Essas métricas mostram como seus recursos estão protegidos e se as chaves estão alinhadas com as práticas recomendadas. As métricas se concentram principalmente em chaves de criptografia gerenciadas pelo cliente (CMEKs) usadas para proteger recursos em serviços integrados a CMEKs. Este guia mostra como conferir as métricas de criptografia do projeto e ajuda você a entender o que elas significam para a postura de segurança da sua organização.

Para mais informações sobre práticas recomendadas para usar CMEKs e proteger seus recursos no Google Cloud, consulte Práticas recomendadas para usar CMEKs.

Antes de começar

1. Para receber as permissões necessárias para ver as métricas de criptografia, peça ao administrador para conceder a você o papel do IAM de Leitor do Cloud KMS (roles/cloudkms.viewer) no projeto ou em um recurso pai. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

   Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

2. Conceda o papel Agente de serviços da organização do Cloud KMS ao Agente de serviços da organização do Cloud KMS:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   Se você pular essa etapa, o painel Métricas de criptografia poderá mostrar informações incompletas. Por exemplo, ao visualizar métricas de criptografia para PROJECT_A, os recursos em PROJECT_B protegidos por uma chave em PROJECT_A não seriam incluídos nas métricas.

Ver métricas de criptografia

Para conferir as métricas de criptografia, siga estas etapas:

1. No console do Google Cloud , acesse a página Gerenciamento de chaves.

   Vá para Gerenciamento de chaves

2. Clique na guia Visão geral e em Métricas de criptografia.

3. Use o seletor para escolher um projeto. O painel mostra as seguintes métricas de criptografia para recursos e chaves nesse projeto:

   • Os gráficos Recursos neste projeto por tipo de proteção e Tipo de proteção de recursos por serviço mostram métricas de resumo da cobertura da CMEK.
   • O gráfico Alinhamento com as práticas recomendadas de uso de chaves mostra métricas de resumo do alinhamento de chaves. Também é possível conferir detalhes do alinhamento de chaves.

Conferir detalhes do alinhamento de chaves

Para conferir uma lista de chaves no projeto e saber com quais práticas recomendadas elas estão alinhadas, siga estas etapas:

1. Na página Métricas de criptografia, localize o gráfico Alinhamento com as práticas recomendadas de uso de chaves.

2. Opcional: para focar apenas nas chaves criadas pelo Cloud KMS Autokey, clique na guia Cloud KMS (Autokey). Para focar apenas nas chaves criadas manualmente, clique na guia Cloud KMS (manual).

3. Para conferir uma lista de chaves e saber se elas estão alinhadas com cada prática recomendada, clique na seção que representa a categoria e depois em Ver.

   A página Alinhamento com as práticas recomendadas de uso de chaves lista as chaves do Cloud KMS no projeto selecionado e mostra se cada uma está Alinhada ou Não alinhada com cada recomendação. Para saber mais sobre o que significa uma chave estar Alinhada ou Não alinhada para uma recomendação, consulte Alinhamento de chaves neste documento.

4. Opcional: para filtrar a lista de chaves, insira seus termos de pesquisa na caixa Filtro filter_list e pressione Enter. Por exemplo, é possível filtrar a lista para mostrar apenas as chaves alinhadas com a recomendação de granularidade.

Entender as métricas de criptografia

O painel de métricas de criptografia usa o serviço Inventário de recursos do Cloud para coletar informações sobre seus recursos e chaves do Cloud KMS. O painel calcula métricas sob demanda usando os dados mais recentes disponíveis.

O painel mostra duas categorias principais de métricas: cobertura da CMEK e alinhamento de chaves. Ambas as métricas mostram uma visualização de resumo com informações agregadas e uma visualização detalhada com uma lista tabular de recursos ou chaves.

Cobertura da CMEK

As métricas de cobertura da CMEK nos gráficos Recursos neste projeto por tipo de proteção e Tipo de proteção de recursos por serviço mostram quantos dos seus recursos estão protegidos por CMEKs. Essa métrica analisa os recursos em que a integração da CMEK e o rastreamento de chaves do Cloud KMS são compatíveis. Os recursos são agrupados nas seguintes categorias:

• Criptografia gerenciada pelo Google: recursos protegidos pela criptografia padrão do Google.
• Cloud KMS (manual): recursos protegidos por uma CMEK que você cria e gerencia manualmente.
• Cloud KMS (autokey): recursos protegidos por uma CMEK provisionada e atribuída pelo serviço de autokey.

As métricas de cobertura da CMEK são mostradas para o projeto como um todo e detalhadas pelo serviço associado a cada um dos recursos protegidos. Use essas informações para avaliar quantos recursos no projeto selecionado estão usando a criptografia padrão do Google quando poderiam usar CMEKs.

Para ver uma lista de tipos de recursos compatíveis, consulte Tipos de recursos rastreados.

Alinhamento de chaves

As métricas de alinhamento de chaves no gráfico Alinhamento com as práticas recomendadas de uso de chaves mostram se as chaves do Cloud KMS estão alinhadas com as seguintes práticas de segurança recomendadas:

• Período de rotação: a chave tem um período de rotação adequado definido.
• Granularidade: a chave protege recursos que estão em um projeto e pertencem a um serviço.
• Separação de responsabilidades: somente as contas de serviço têm permissão para criptografar e descriptografar com a chave.
• Local: a chave protege apenas recursos que estão no mesmo local da nuvem.

As métricas de alinhamento de chaves incluem todas as chaves de criptografia simétrica do Cloud KMS no projeto selecionado, mesmo que não sejam usadas para proteger recursos em um serviço integrado à CMEK. Essas métricas são avaliadas para chaves, não para versões de chave. Por exemplo, uma chave sem versões ativas ainda pode aparecer como Alinhada para qualquer uma ou todas essas práticas recomendadas.

As seções a seguir fornecem mais informações sobre cada uma dessas práticas.

Granularidade

A granularidade da chave se refere à escala e ao escopo do uso pretendido dela. As chaves podem ser altamente granulares, protegendo apenas um único recurso, ou menos granulares, protegendo vários recursos. O uso de chaves menos granulares aumenta o impacto potencial de incidentes de segurança, incluindo acesso não autorizado e perda acidental de dados.

Em geral, recomendamos a seguinte estratégia de granularidade:

• Cada chave protege recursos em um único local, por exemplo, us-central1.
• Cada chave protege recursos em um único serviço ou produto, por exemplo, o BigQuery.
• Cada chave protege recursos em um único projeto Google Cloud .

Essa recomendação pode não ser a estratégia de granularidade ideal para sua organização. Para a maioria das organizações, essa estratégia oferece um bom equilíbrio entre o trabalho de manter muitas chaves altamente granulares e os riscos potenciais de usar chaves menos granulares compartilhadas entre muitos projetos, serviços ou recursos.

As chaves criadas com a chave automática do Cloud KMS seguem essa recomendação.

Cada chave no seu projeto é considerada alinhada a essa recomendação se os recursos que ela protege estiverem localizados no mesmo local, serviço e projeto. Uma chave é considerada não alinhada com essa recomendação se os recursos que ela protege estiverem localizados em dois ou mais locais, serviços ou projetos.

Se as chaves não estiverem alinhadas a essa recomendação, considere se ajustar a estratégia de granularidade é adequado para sua organização. Para mais informações sobre práticas recomendadas para granularidade de chave, consulte Escolher uma estratégia de granularidade de chave.

Local

Na maioria dos casos, as chaves do Cloud KMS usadas com serviços integrados à CMEK precisam estar na mesma Google Cloud região ou multirregião em que os recursos protegidos estão localizados. No entanto, alguns serviços permitem exceções a essa regra.

Cada chave no seu projeto é considerada alinhada com essa recomendação se os recursos que ela protege estiverem todos localizados no mesmo local que a chave. Por exemplo, uma chave em us-central1 que protege recursos em us-central1. As chaves regionais podem proteger recursos zonais na mesma região. Por exemplo, uma chave em us-central1 que protege recursos em us-central1a.

Uma chave é considerada não alinhada com essa recomendação se ela proteger um recurso em uma região ou multirregião diferente. Por exemplo, uma chave na multirregião us que protege um disco do Compute Engine na região us-central1.

Se as chaves não estiverem alinhadas com essa recomendação, considere mover ou substituir os recursos ou chaves para que fiquem no mesmo local. Para mais informações sobre locais, consulte Locais do Cloud KMS.

Alternância

A rotação regular das chaves é um aspecto importante da segurança da informação. Por exemplo, alguns padrões exigem que você alterne as chaves em um determinado cronograma. As chaves que protegem cargas de trabalho sensíveis podem precisar ser alternadas com mais frequência. O Cloud KMS permite configurar a rotação automática de chaves para garantir que a programação escolhida seja seguida.

Cada chave no seu projeto é considerada alinhada com essa recomendação se tiver uma programação de rotação definida. Uma chave é considerada Não alinhada se não estiver configurada para rotação de chaves automática.

Para ativar a rotação automática, faça o seguinte:

• Crie manualmente uma chave com uma programação de rotação personalizada.
• Use a chave automática do Cloud KMS ao criar um recurso. As chaves criadas pelo Autokey do Cloud KMS têm um período de rotação padrão de um ano, mas ele pode ser alterado depois da criação da chave.
• Atualize uma chave para adicionar uma programação de rotação.

Separação de tarefas

A separação de funções é uma prática de segurança que visa evitar conceder permissões demais a usuários ou outros principais. No contexto das integrações do Cloud KMS e da CMEK, isso significa que os usuários que mantêm suas chaves do Cloud KMS não podem ter permissões para usá-las, e os principais que usam as chaves para criptografar e descriptografar seus recursos não têm outras permissões nas chaves.

Cada chave no seu projeto é considerada alinhada com essa recomendação se as duas condições a seguir forem verdadeiras:

• A conta de serviço do recurso protegido é o único principal com as permissões cloudkms.cryptoKeyVersions.useToEncrypt e cloudkms.cryptoKeyVersions.useToDecrypt na chave.
• A conta de serviço do recurso protegido não tem um papel que conceda permissões de administração de chaves, incluindo roles/cloudkms.admin, roles/editor e roles/owner.

Uma chave é considerada Não alinhada se a conta de serviço tiver permissões de administração ou se outro principal tiver permissões de criptografia ou descriptografia.

Se as chaves não estiverem alinhadas a essa recomendação, revise os papéis e as permissões do IAM nas chaves e em outros recursos do Cloud KMS e remova as concessões de papéis e permissões que não são necessárias. Para mais informações sobre os papéis do Cloud KMS e as permissões que eles incluem, consulte Permissões e papéis. Para mais informações sobre como visualizar e remover papéis do IAM em recursos do Cloud KMS, consulte Controle de acesso com o IAM.

Limitações

O painel Métricas de criptografia tem as seguintes limitações:

• O painel mostra métricas de um projeto por vez.
• O painel tem um limite de 10.000 recursos ou chaves por projeto. Se o projeto tiver mais de 10 mil chaves ou se as chaves protegerem mais de 10 mil recursos, apenas métricas parciais serão mostradas.
• O painel depende dos dados do serviço Inventário de recursos do Cloud. Se algum dos dados no Inventário de recursos do Cloud estiver desatualizado, o painel poderá mostrar informações imprecisas ou incompletas.
• O painel só considera chaves simétricas para alinhamento de chaves e cobertura de CMEK.
• O painel só considera recursos que oferecem suporte ao rastreamento do uso de chaves.
• As métricas de alinhamento de chaves não distinguem entre chaves que estão em uso ativo como CMEKs protegendo recursos rastreáveis, chaves que estão em uso ativo para outros casos de uso e chaves que não têm versões ativas. Por exemplo, os dados de alinhamento de chaves podem incluir chaves usadas para aplicativos personalizados.
• Quando os dados de alinhamento de chaves incluem chaves que protegem recursos não rastreáveis e aplicativos personalizados, os detalhes de alinhamento dessas chaves podem não ser precisos. Por exemplo, uma chave usada em vários aplicativos personalizados em vários projetos pode aparecer como Alinhada com as recomendações de granularidade de chave, mesmo que não esteja.

A seguir

• Saiba mais sobre o rastreamento de uso de chaves.
• Saiba mais sobre as práticas recomendadas para chaves de criptografia gerenciadas pelo cliente.