CMEK für Security Command Center aktivieren

Security Command Center verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Security Command Center übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie kundenverwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Security Command Center verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Security Command Center-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Um die Aufgabentrennung zu unterstützen und den Zugriff auf Schlüssel besser zu kontrollieren, empfehlen wir, Schlüssel in einem separaten Projekt zu erstellen und zu verwalten, das keine anderen Google Cloud Ressourcen enthält.

Wenn Sie CMEK für Security Command Center aktivieren möchten, müssen Sie die Cloud KMS-Datenverschlüsselung auswählen, wenn Sie eine Security Command Center-Organisation aktivieren. Nachdem Sie Security Command Center aktiviert haben, können Sie die Datenverschlüsselung nicht mehr konfigurieren. Sie können CMEK nicht während der Aktivierung auf Projektebene aktivieren. Weitere Informationen finden Sie unter:

• Security Command Center Standard-Version für eine Organisation aktivieren
• Security Command Center Premium für eine Organisation aktivieren

Mit CMEK-Einschränkungen für Organisationsrichtlinien können Sie Ihre Verschlüsselungseinstellungen erzwingen, wenn Sie Security Command Center aktivieren. Informationen zur Verwendung von CMEK-Organisationsrichtlinieneinschränkungen und Security Command Center finden Sie auf dieser Seite unter CMEK-Organisationsrichtlinieneinschränkungen.

Hinweise

Bevor Sie CMEK für Security Command Center einrichten, führen Sie die folgenden Schritte aus:

1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie:

   1. Install the Google Cloud CLI.

   2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

   3. To initialize the gcloud CLI, run the following command:

      gcloud init

2. Erstellen Sie ein Google Cloud Projekt, in dem Cloud KMS aktiviert ist. Dies ist Ihr Schlüsselprojekt.

3. Erstellen Sie einen Schlüsselbund am richtigen Speicherort. Der Speicherort des Schlüsselbunds muss dem Standort entsprechen, an dem Sie Security Command Center aktivieren möchten.

   Den richtigen Ort finden Sie auf dieser Seite unter Schlüsselposition. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.

4. Erstellen Sie einen Cloud KMS-Schlüssel für den Schlüsselbund. Eine Anleitung finden Sie unter Schlüssel erstellen.

5. Damit der Cloud Security Command Center-Dienst-Agent die erforderlichen Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten hat, bitten Sie Ihren Administrator, dem Cloud Security Command Center-Dienst-Agent die Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM-Rolle für den Cloud KMS-Schlüssel zu gewähren. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

   Ihr Administrator kann dem Dienst-Agent für Cloud Security Command Center möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Speicherort des Schlüssels

Wenn Sie einen Cloud KMS-Schlüssel und -Schlüsselbund für Security Command Center erstellen, müssen Sie einen Speicherort verwenden, der Ihrem Security Command Center-Speicherort entspricht.

Wenn Sie nicht vorhaben, den Datenstandort für Security Command Center zu aktivieren, erstellen Sie Ihren Cloud KMS-Schlüssel und -Schlüsselbund am Standort us.

Wenn Sie den Datenstandort aktivieren möchten, wählen Sie den Cloud KMS-Standort aus, der Ihrem Security Command Center-Standort entspricht:

Änderungen am CMEK-Schlüssel

Nachdem Sie Security Command Center mit CMEK aktiviert haben, können Sie den Cloud KMS-Schlüssel nicht mehr ändern oder zu einem Google-owned and Google-managed encryption keywechseln.

Sie können den CMEK-Schlüssel rotieren. Dadurch wird die neue Schlüsselversion in Security Command Center verwendet. Einige Security Command Center-Funktionen verwenden den alten Schlüssel jedoch noch 30 Tage lang.

Unterstützte Ressourcentypen

Mit CMEK werden Daten für die folgenden Security Command Center-Ressourcentypen verschlüsselt:

• Ergebnisse
• Benachrichtigungskonfigurationen
• BigQuery-Exporte
• Konfigurationen zum Ausblenden

Einschränkungen für CMEK-Organisationsrichtlinien

Wenn Sie die Verwendung von CMEK für Security Command Center erzwingen möchten, können Sie die folgenden Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen:

• constraints/gcp.restrictNonCmekServices: Erfordert die Verwendung von CMEK. Wenn Sie constraints/gcp.restrictNonCmekServices für eine Organisation erzwingen und Security Command Center als eingeschränkten Dienst aufgeführt haben, der für die Verwendung von CMEK erforderlich ist, müssen Sie CMEK aktivieren, wenn Sie Security Command Center aktivieren.

• constraints/gcp.restrictCmekCryptoKeyProjects: Der CMEK-Schlüssel für Security Command Center muss aus einem bestimmten Projekt oder einer bestimmten Gruppe von Projekten stammen.

Wenn Sie beide Einschränkungen für die Organisation erzwingen, in der Sie Security Command Center aktivieren, müssen Sie CMEK für Security Command Center aktivieren und der CMEK-Schlüssel muss sich in einem bestimmten Projekt befinden.

Informationen dazu, wie Organisationsrichtlinien in derGoogle Cloud -Ressourcenhierarchie (Organisationen, Ordner und Projekte) ausgewertet werden, finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Allgemeine Informationen zur Verwendung von CMEK-Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

CMEK für Security Command Center einrichten

So verwenden Sie CMEK mit Security Command Center:

1. Wenn Sie Security Command Center für eine Organisation aktivieren, wählen Sie Datenverschlüsselung bearbeiten aus.

   Der Bereich Einstellungen für Datenverschlüsselung bearbeiten wird geöffnet.

2. Wählen Sie Cloud KMS-Schlüssel aus.

3. Wählen Sie ein Projekt aus.

4. Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus einem beliebigen Google Cloud Projekt auswählen, auch aus Projekten in anderen Organisationen. In der Liste werden nur Schlüssel an kompatiblen Standorten angezeigt.

   Informationen dazu, welche wichtigen Standorte mit Security Command Center kompatibel sind, finden Sie auf dieser Seite unter Wichtiger Standort.

5. Klicken Sie auf Fertig und fahren Sie mit der Aktivierung von Security Command Center fort.

Nachdem Sie Security Command Center für Ihre Organisation aktiviert haben, werden Ihre Daten in Security Command Center mit dem von Ihnen ausgewählten Cloud KMS-Schlüssel verschlüsselt.

Fehlerbehebung bei CMEK

In den folgenden Abschnitten erfahren Sie, wie Sie Probleme beheben können, die bei Ressourcentypen, die CMEK unterstützen, auftreten können.

Zugriff des Dienst-Agents auf Schlüssel wiederherstellen

Wenn CMEK aktiviert ist, muss der Cloud Security Command Center-Dienst-Agent Zugriff auf Ihren Cloud KMS-Schlüssel haben. Wenn dieser Dienst-Agent nicht die erforderliche IAM-Rolle für Ihren Schlüssel hat, funktionieren einige Funktionen von Security Command Center nicht richtig.

Um festzustellen, ob dieses Problem bei Ihnen auftritt, sehen Sie sich die Liste der Hauptkonten an, die Zugriff auf Ihren Schlüssel haben. Wenn der Dienst-Agent richtig konfiguriert ist, enthält die Liste einen Prinzipal mit der Kennung service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com und der Rolle „Cloud KMS CryptoKey Encrypter/Decrypter“ (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Wenn Sie diesen Prinzipal und diese Rolle nicht sehen, weisen Sie dem Dienst-Agenten die erforderliche Rolle für Ihren Schlüssel zu:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie Folgendes:

• KEY_RING: der Schlüsselbund für Ihren Cloud KMS-Schlüssel
• LOCATION: der Speicherort Ihres Cloud KMS-Schlüssels
• KEY_NAME: der Name Ihres Cloud KMS-Schlüssels
• ORGANIZATION_NUMBER: Ihre Organisationsnummer

Schlüssel wiederherstellen, die deaktiviert oder zum Löschen vorgemerkt wurden

Wenn ein Cloud KMS-Schlüssel oder eine Schlüsselversion deaktiviert ist, können Sie eine Schlüsselversion aktivieren.

Wenn ein Cloud KMS-Schlüssel zum Löschen geplant ist, können Sie eine Schlüsselversion wiederherstellen. Nachdem ein Schlüssel vernichtet wurde, können Sie ihn nicht mehr wiederherstellen und haben keinen Zugriff mehr auf Security Command Center-Ressourcen, die CMEK unterstützen.

Fehler beim Erstellen geschützter Ressourcen beheben

Wenn Sie Google-owned and Google-managed encryption keys auswählen, wenn Sie Security Command Center aktivieren, und dann eine CMEK-Organisationsrichtlinieneinschränkung in dieser Organisation erzwingen, können Sie keine neuen Ressourcen erstellen, die CMEK unterstützen.

Wenn Sie diese Ressourcen nicht erstellen können, prüfen Sie, ob für Ihre Organisation oder für Projekte oder Ordner in dieser Organisation eine CMEK-Organisationsrichtlinieneinschränkung erzwungen wird. Weitere Informationen finden Sie auf dieser Seite unter Einschränkungen für CMEK-Organisationsrichtlinien.

Kontingente und Preise

Wenn Sie CMEK in Security Command Center verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Instanzen verbrauchen Kontingente, wenn Daten in Security Command Center gelesen oder geschrieben werden. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Außerdem fallen Cloud KMS-Gebühren an, wenn Security Command Center Ihren CMEK-Schlüssel zum Verschlüsseln oder Entschlüsseln von Daten verwendet. Weitere Informationen finden Sie unter Cloud KMS – Preise.