De forma predeterminada, Security Command Center encripta el contenido del cliente en reposo. Security Command Center controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Security Command Center. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Security Command Center es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Para admitir la separación de tareas y un mayor control sobre el acceso a las claves, te recomendamos que crees y administres las claves en un proyecto independiente que no incluya otros recursos de Google Cloud .
Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias encriptadas con CMEK consumen cuotas cuando leen o escriben datos en Security Command Center. Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS solo si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.Para usar Security Command Center con la CMEK, debes elegir la CMEK cuando actives una organización de Security Command Center. Después de activar Security Command Center, ya no podrás configurar la encriptación de datos. No puedes configurar la CMEK durante la activación a nivel del proyecto. Para obtener más información, consulta lo siguiente:
- Activa el nivel Estándar de Security Command Center para una organización
- Activa el nivel Premium de Security Command Center para una organización
Puedes usar las políticas de la organización de CMEK para aplicar la configuración de encriptación que elijas cuando actives Security Command Center. Para obtener información sobre el uso de políticas de la organización de CMEK con Security Command Center, consulta Usa políticas de la organización de CMEK.
La CMEK encripta los siguientes datos en Security Command Center y en la API de Security Command Center:
- Resultados
- Configuraciones de notificación
- Exportaciones de BigQuery
- Parámetros de configuración de silencio
Antes de comenzar
Antes de configurar la CMEK para Security Command Center, haz lo siguiente:
Instala y, luego, inicializa Google Cloud CLI:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Crea un proyecto Google Cloud con Cloud KMS habilitado. Este es tu proyecto clave.
Crea un llavero de claves en la ubicación correcta. La ubicación del llavero de claves debe corresponder a la ubicación en la que planeas activar Security Command Center. Para ver qué ubicaciones del llavero corresponden a cada ubicación de Security Command Center, consulta la tabla en la sección Ubicación de la clave de este documento. Para obtener más información sobre cómo crear un llavero de claves, consulta Crea un llavero de claves.
Crea una clave de Cloud KMS en el llavero de claves. Para obtener más información sobre cómo crear una clave en un llavero de claves, consulta Crea una clave.
Para asegurarte de que la cuenta de servicio del Centro de seguridad de Cloud tenga los permisos necesarios para encriptar y desencriptar datos, pídele a tu administrador que le otorgue a la cuenta de servicio del Centro de seguridad de Cloud el siguiente servicio: Rol de IAM de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS.
Es posible que tu administrador también pueda otorgar los permisos necesarios a la cuenta de servicio de Cloud Security Command Center a través de roles personalizados o de otros roles predefinidos.
Ubicación de la clave
La ubicación de tu clave de Cloud KMS debe corresponder a la ubicación en la que activaste Security Command Center. En la siguiente tabla, se muestra la ubicación de la clave de Cloud KMS correspondiente para cada ubicación de Security Command Center.
| Ubicación de Security Command Center | Ubicación de la clave de Cloud KMS |
|---|---|
eu |
europe |
global |
us |
sa |
me-central2 |
us |
us |
Si no habilitas la residencia de datos cuando activas Security Command Center, usa global para la ubicación de Security Command Center y us para la ubicación de la clave de Cloud KMS.
Para obtener más información sobre la residencia de datos, consulta Planificación de la residencia de datos.
Si usas la restricción de la política de la organización constraints/gcp.restrictNonCmekServices con Security Command Center, CMEK es la única opción de encriptación disponible.
Limitaciones
A continuación, se indican las limitaciones del uso de CMEK con Security Command Center:
- Si ya activaste Security Command Center en una organización o en un proyecto de la organización que estás activando, no puedes usar la CMEK en Security Command Center para esa organización.
- No puedes configurar la CMEK durante la activación a nivel del proyecto.
No puedes cambiar la clave de Cloud KMS ni cambiar aGoogle-owned and Google-managed encryption key después de activar Security Command Center.
Puedes rotar la clave, lo que hará que Security Command Center use la nueva versión de la clave. Sin embargo, algunas funciones de Security Command Center seguirán usando la clave anterior durante 30 días.
Usa políticas de la organización de CMEK con Security Command Center
Para aplicar el uso de CMEK en Security Command Center, puedes aplicar las siguientes políticas de la organización a nivel de la organización, la carpeta o el proyecto:
constraints/gcp.restrictNonCmekServices, que requiere que uses CMEK. Si configurasconstraints/gcp.restrictNonCmekServicesen una organización y enumeraste Security Command Center como un servicio restringido que se requiere para usar la CMEK, debes usar la CMEK cuando actives Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects, que requiere que uses una clave de un proyecto o un conjunto de proyectos específicos cuando usas la CMEK con Security Command Center. La política de la organizaciónconstraints/gcp.restrictCmekCryptoKeyProjects, por sí sola, aún te permite elegir la encriptación predeterminada de Google.
Si configuras constraints/gcp.restrictNonCmekServices y constraints/gcp.restrictCmekCryptoKeyProjects en la organización en la que activas Security Command Center, Security Command Center te exige que uses CMEK y que la clave CMEK se encuentre en un proyecto específico.
Si configuras constraints/gcp.restrictNonCmekServices en un proyecto o una carpeta, debes usar la CMEK en la organización en la que activas Security Command Center y enumerar Security Command Center como un servicio restringido. De lo contrario, algunas funciones de Security Command Center no funcionarán correctamente.
Para obtener información sobre cómo se evalúan las políticas de la organización en la jerarquía de recursos deGoogle Cloud (organizaciones, carpetas y proyectos), consulta Comprende la evaluación de jerarquías.
Para obtener información general sobre el uso de las políticas de la organización de CMEK, consulta Políticas de la organización de CMEK.
Configura la CMEK para Security Command Center
Para usar CMEK con Security Command Center, sigue estos pasos:
- Durante la activación de Security Command Center para una organización, selecciona Editar encriptación de datos. Se abrirá el panel Editar la configuración de encriptación de datos.
- Selecciona Clave de Cloud KMS.
- Selecciona un proyecto.
- Selecciona una llave. Puedes seleccionar una clave de cualquier Google Cloud proyecto, incluidos los proyectos de otras organizaciones. En la lista, solo se muestran las claves en ubicaciones compatibles. Para obtener más información sobre las ubicaciones de claves para CMEK en Security Command Center, consulta la tabla en la sección Ubicación de la clave.
- Haz clic en Listo y continúa con el proceso de activación de Security Command Center.
Después de activar Security Command Center para tu organización, este encriptará tus datos con la clave de Cloud KMS que elijas.
Verifica la configuración de CMEK
Para verificar que configuraste correctamente la CMEK para Security Command Center, haz lo siguiente:
- En Security Command Center, selecciona Configuración.
- Ve a la pestaña Tier Detail.
- Navega a Setup details > Data encryption para ver el nombre de la clave. Si se configuró la CMEK para Security Command Center, el nombre de la clave se muestra como un vínculo después de Encriptación de datos.
Solución de problemas relacionados con la CMEK para Security Command Center
Si bien no se aplican cargos adicionales por habilitar las CMEK en Security Command Center Standard y Premium, se aplican cargos en Cloud KMS cuando Security Command Center usa tus CMEK para encriptar y desencriptar datos. Para obtener más información, consulta Precios de Cloud KMS.
Restablece el acceso a Security Command Center
Con la CMEK habilitada, la cuenta de servicio de Security Command Center requiere acceso a tu clave de Cloud KMS para funcionar. No revoques los permisos de la cuenta de servicio para la CMEK, no inhabilite la CMEK ni programe su destrucción. Todas estas acciones provocan que dejen de funcionar las siguientes capacidades de Security Command Center:
- Resultados
- Configuraciones de exportaciones continuas
- Exportaciones de BigQuery
- Reglas de silencio
Si la clave de Cloud KMS no está disponible cuando intentas usar Security Command Center, verás un mensaje de error o un error de la API de FAILED_PRECONDITION.
Puedes perder las capacidades de Security Command Center porque una clave de Cloud KMS tiene uno de los siguientes problemas:
- Es posible que se haya revocado el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS en la clave de la cuenta de servicio. Puedes restablecer el acceso a Security Command Center después de que se revoca una clave.
- Es posible que se haya inhabilitado la clave de Cloud KMS. Puedes restablecer el acceso a Security Command Center después de inhabilitar una clave.
- Es posible que la clave esté programada para destruirse. Puedes restablecer el acceso a Security Command Center después de que se programe la destrucción de una clave.
Restablece el acceso a Security Command Center después de que se revoca una clave
Para restablecer el acceso a tu clave en Security Command Center, otorga a la cuenta de servicio de Cloud Security Command Center el rol de encriptador/desencriptador de CryptoKey de Cloud KMS en la clave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Reemplaza lo siguiente:
- KEY_RING: Es el llavero de claves de tu clave de Cloud KMS.
- LOCATION: Es la ubicación de tu clave de Cloud KMS.
- KEY_NAME: El nombre de tu clave de Cloud KMS
- ORG_NUMBER: El número de tu organización
Restablece el acceso a Security Command Center después de que se inhabilita una clave
Para obtener más información sobre cómo habilitar una clave inhabilitada, consulta Habilita una versión de clave.
Restablece el acceso a Security Command Center después de que se programe la destrucción de una clave
Si deseas obtener más información para restablecer una clave que está programada para su destrucción, consulta Destruye y restablece versiones de clave.
Una vez que se destruye una clave, no se puede recuperar ni restablecer el acceso a Security Command Center.
Errores al crear recursos protegidos
Si tienes problemas para crear resultados, configuraciones de notificaciones, configuraciones de silencio o exportaciones de BigQuery nuevos, verifica si se estableció una política de la organización de CMEK para tu organización o para cualquier proyecto o carpeta de esa organización.
Si eliges Google-owned and Google-managed encryption keys cuando activas una organización de Security Command Center y estableces la política de la organización de CMEKconstraints/gcp.restrictNonCmekServicesen un proyecto o una carpeta de la organización, y enumeras Security Command Center como un servicio restringido, no podrás crear recursos protegidos nuevos en ese proyecto o carpeta. Para obtener más información, consulta Usa políticas de la organización de CMEK con Security Command Center.
Precios
Si bien no se aplican cargos adicionales por habilitar la CMEK en Security Command Center Estándar o Premium, se aplican cargos en Cloud KMS cuando Security Command Center usa tu CMEK para encriptar o desencriptar datos. Para obtener más información, consulta Precios de Cloud KMS.