Por padrão, o Security Command Center criptografa o conteúdo do cliente em repouso. O Security Command Center executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Security Command Center. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Security Command Center é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para oferecer suporte à separação de tarefas e maior controle sobre o acesso às chaves, recomendamos que você crie e gerencie chaves em um projeto separado que não inclua outros recursos do Google Cloud .
Para ativar a CMEK no Security Command Center, escolha a criptografia de dados do Cloud KMS ao ativar uma organização do Security Command Center. Depois de ativar o Security Command Center, não será mais possível configurar a criptografia de dados. Não é possível ativar a CMEK durante a ativação no nível do projeto. Para saber mais, consulte:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o nível Premium do Security Command Center para uma organização
É possível usar restrições de política da organização da CMEK para aplicar as configurações de criptografia ao ativar o Security Command Center. Para informações sobre como usar restrições da política da organização de CMEK e o Security Command Center, consulte Restrições da política da organização de CMEK nesta página.
Antes de começar
Antes de configurar a CMEK para o Security Command Center, faça o seguinte:
Instale e inicialize a Google Cloud CLI:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Crie um Google Cloud projeto com o Cloud KMS ativado. Esse é o projeto de chave.
Crie um keyring no local correto. O local do keyring precisa corresponder ao local em que você planeja ativar o Security Command Center.
Para encontrar o local correto, consulte Localização principal nesta página. Para saber como criar um keyring, consulte Criar um keyring.
Crie uma chave do Cloud KMS no keyring. Para instruções, consulte Criar uma chave.
Para garantir que o agente de serviço do Cloud Security Command Center tenha as permissões
necessárias para criptografar e descriptografar dados,
peça ao administrador para conceder ao agente de serviço do Cloud Security Command Center o
papel do IAM de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter)
na chave do Cloud KMS.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
O administrador também pode conceder ao agente de serviço do Cloud Security Command Center as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.
Local da chave
Ao criar uma chave e um keyring do Cloud KMS para o Security Command Center, use um local que corresponda ao local do Security Command Center.
Se você não planeja ativar a
residência de dados para o Security Command Center,
crie a chave e o keyring do Cloud KMS no local us.
Se você planeja ativar a residência de dados, escolha o local do Cloud KMS que corresponde ao local do Security Command Center:
| Local do Security Command Center | Local da chave do Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Mudanças na chave CMEK
Depois de ativar o Security Command Center com a CMEK, não é possível mudar a chave do Cloud KMS nem alternar para um Google-owned and Google-managed encryption key.
Você pode alternar a chave CMEK, o que faz com que o Security Command Center use a nova versão da chave. No entanto, alguns recursos do Security Command Center continuam usando a chave antiga por 30 dias.
Tipos de recursos compatíveis
A CMEK criptografa dados para os seguintes tipos de recursos do Security Command Center:
- Descobertas
- Configurações de notificação
- Exportações do BigQuery
- Configurações de silenciamento
Restrições da política da organização de CMEK
Para aplicar o uso da CMEK no Security Command Center, é possível aplicar as seguintes restrições de política da organização no nível da organização, da pasta ou do projeto:
constraints/gcp.restrictNonCmekServices: exige o uso da CMEK. Se você aplicarconstraints/gcp.restrictNonCmekServicesem uma organização e listar o Security Command Center como um serviço restrito necessário para usar a CMEK, será preciso ativar a CMEK ao ativar o Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: exige que a chave CMEK do Security Command Center venha de um projeto ou conjunto de projetos específico.
Se você aplicar essas duas restrições na organização em que ativar o Security Command Center, ele vai exigir que você ative a CMEK e que a chave dela esteja localizada em um projeto específico.
Para informações sobre como as políticas da organização são avaliadas na hierarquia de recursosGoogle Cloud (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação de hierarquia.
Para informações gerais sobre o uso de políticas da organização de CMEK, consulte Políticas da organização de CMEK.
Configurar o CMEK para o Security Command Center
Para usar a CMEK com o Security Command Center, siga estas etapas:
Ao ativar o Security Command Center para uma organização, selecione Editar criptografia de dados.
O painel Editar configurações de criptografia de dados é aberto.
Selecione Chave do Cloud KMS.
Selecione um projeto.
Selecione uma chave. É possível selecionar uma chave de qualquer Google Cloud projeto, incluindo projetos em outras organizações. Somente as chaves em locais compatíveis são mostradas na lista.
Para saber quais locais principais são compatíveis com o Security Command Center, consulte Local principal nesta página.
Clique em Concluído e continue o processo de ativação do Security Command Center.
Depois de ativar o Security Command Center para sua organização, ele criptografa seus dados usando a chave do Cloud KMS escolhida.
Como resolver problemas do CMEK
As seções a seguir ajudam você a resolver problemas que podem ocorrer com tipos de recursos que oferecem suporte à CMEK.
Restaurar o acesso do agente de serviço às chaves
Com a CMEK ativada, o agente de serviço do Cloud Security Command Center precisa ter acesso à sua chave do Cloud KMS. Se esse agente de serviço não tiver o papel do IAM necessário na sua chave, alguns recursos do Security Command Center não vão funcionar corretamente.
Para determinar se você tem esse problema, consulte a lista de
principais que têm acesso à sua chave.
Se o agente de serviço estiver configurado corretamente, a lista vai incluir um principal
com o identificador
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
e o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Se você não encontrar esse principal e papel, conceda o papel necessário ao agente de serviço na sua chave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Substitua:
KEY_RING: o keyring da chave do Cloud KMSLOCATION: o local da chave do Cloud KMS.KEY_NAME: o nome da chave do Cloud KMSORGANIZATION_NUMBER: o número da organização
Restaurar chaves desativadas ou programadas para destruição
Se uma chave ou versão de chave do Cloud KMS estiver desativada, você poderá ativar uma versão de chave.
Da mesma forma, se uma chave do Cloud KMS estiver programada para destruição, você poderá restaurar uma versão da chave. Depois que uma chave é destruída, não é possível recuperá-la, e você não terá acesso aos recursos do Security Command Center que oferecem suporte à CMEK.
Resolver erros ao criar recursos protegidos
Se você escolher Google-owned and Google-managed encryption keys ao ativar o Security Command Center e, em seguida, aplicar uma restrição de política da organização da CMEK nessa organização, não será possível criar novos recursos compatíveis com a CMEK.
Se não for possível criar esses recursos, verifique se uma restrição de política da organização de CMEK está sendo aplicada à sua organização ou a projetos ou pastas nela. Para mais informações, consulte Restrições da política da organização de CMEK nesta página.
Cotas e preços
Quando você usa a CMEK no Security Command Center, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. As instâncias criptografadas com CMEK consomem cotas ao ler ou gravar dados no Security Command Center. As operações de criptografia e descriptografia que usam chaves CMEK afetam as cotas do Cloud KMS somente se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.
Além disso, as cobranças do Cloud KMS são aplicadas quando o Security Command Center usa sua CMEK para criptografar ou descriptografar dados. Para mais informações, consulte os preços do Cloud KMS.