Activer CMEK pour Security Command Center

Par défaut, Security Command Center chiffre le contenu client au repos. Security Command Center gère le chiffrement pour vous sans que vous ayez à effectuer d'actions supplémentaires. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Security Command Center. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, de consulter les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Security Command Center est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Pour assurer la séparation des tâches et mieux contrôler l' accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct qui n'inclut pas d'autres Google Cloud ressources.

Pour activer les CMEK pour Security Command Center, vous devez choisir le chiffrement des données Cloud KMS lorsque vous activez une organisation Security Command Center. Une fois Security Command Center activé, vous ne pouvez plus configurer le chiffrement des données. Vous ne pouvez pas activer les CMEK lors de l'activation au niveau du projet. Pour en savoir plus, consultez les pages suivantes :

• Activer le niveau Standard de Security Command Center pour une organisation
• Activer le niveau Premium de Security Command Center pour une organisation

Vous pouvez utiliser les contraintes liées aux règles d'administration CMEK pour appliquer vos paramètres de chiffrement lorsque vous activez Security Command Center. Pour en savoir plus sur l'utilisation des contraintes liées aux règles d'administration CMEK et Security Command Center, consultez la section Contraintes liées aux règles d'administration CMEK sur cette page.

Avant de commencer

Avant de configurer les CMEK pour Security Command Center, procédez comme suit :

1. Installez et initialisez la Google Cloud CLI :

   1. Installez la Google Cloud CLI.

   2. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

   3. Pour initialiser la gcloud CLI, exécutez la commande suivante :

      gcloud init

2. Créez un Google Cloud projet avec Cloud KMS activé. Il s'agit de votre projet de clé.

3. Créez un trousseau de clés à l'emplacement approprié. L'emplacement du trousseau de clés doit correspondre à l'emplacement où vous prévoyez d'activer Security Command Center.

   Pour trouver l'emplacement approprié, consultez la section Emplacement de la clé sur cette page. Pour savoir comment créer un trousseau de clés, consultez Créer un trousseau de clés.

4. Créez une clé Cloud KMS dans le trousseau de clés. Pour obtenir des instructions, consultez Créer une clé.

5. Pour vous assurer que l'agent de service Cloud Security Command Center dispose des autorisations nécessaires pour chiffrer et déchiffrer les données, demandez à votre administrateur d'accorder à l'agent de service Cloud Security Command Center le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé Cloud KMS. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

   Votre administrateur peut également attribuer à l'agent de service Cloud Security Command Center les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Emplacement de la clé

Lorsque vous créez une clé et un trousseau de clés Cloud KMS pour Security Command Center, vous devez utiliser un emplacement qui correspond à votre emplacement Security Command Center.

Si vous ne prévoyez pas d'activer la résidence des données pour Security Command Center, créez votre clé et votre trousseau de clés Cloud KMS dans l'emplacement us.

Si vous prévoyez d'activer la résidence des données, choisissez l'emplacement Cloud KMS qui correspond à votre emplacement Security Command Center :

Modifications apportées à la clé CMEK

Une fois Security Command Center activé avec les CMEK, vous ne pouvez plus modifier la clé Cloud KMS ni passer à une autre Google-owned and Google-managed encryption key.

Vous pouvez alterner la clé CMEK, ce qui permet à Security Command Center d'utiliser la nouvelle version de clé. Toutefois, certaines fonctionnalités de Security Command Center continuent d'utiliser l'ancienne clé pendant 30 jours.

Types de ressources acceptés

Les CMEK chiffrent les données pour les types de ressources Security Command Center suivants :

• Résultats
• Configurations de notification
• Exportations BigQuery
• Configurations Ignorer

Contraintes liées aux règles d'administration CMEK

Pour appliquer l'utilisation des CMEK pour Security Command Center, vous pouvez appliquer les contraintes liées aux règles d'administration suivantes au niveau de l'organisation, du dossier ou du projet :

• constraints/gcp.restrictNonCmekServices : vous oblige à utiliser les CMEK. Si vous appliquez constraints/gcp.restrictNonCmekServices à une organisation et que vous avez répertorié Security Command Center comme service restreint qui doit utiliser les CMEK, vous devez activer les CMEK lorsque vous activez Security Command Center.

• constraints/gcp.restrictCmekCryptoKeyProjects: exige que la clé CMEK pour Security Command Center provienne d'un projet ou d'un ensemble de projets spécifiques.

Si vous appliquez ces deux contraintes à l'organisation dans laquelle vous activez Security Command Center, Security Command Center vous demande d'activer les CMEK et exige que la clé CMEK se trouve dans un projet spécifique.

Pour en savoir plus sur l'évaluation des règles d'administration dans la Google Cloud hiérarchie des ressources (organisations, dossiers et projets), consultez Comprendre le processus d'évaluation hiérarchique.

Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez Règles d'administration CMEK.

Configurer les CMEK pour Security Command Center

Pour utiliser les CMEK avec Security Command Center, procédez comme suit :

1. Lorsque vous activez Security Command Center pour une organisation, sélectionnez Modifier le chiffrement des données.

   Le panneau Modifier les paramètres de chiffrement des données s'ouvre.

2. Sélectionnez Clé Cloud KMS.

3. Sélectionnez un projet.

4. Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel Google Cloud projet, y compris les projets d'autres organisations. Seules les clés situées dans des emplacements compatibles s'affichent dans la liste.

   Pour savoir quels emplacements de clés sont compatibles avec Security Command Center, consultez la section Emplacement de la clé sur cette page.

5. Cliquez sur OK, puis poursuivez le processus d'activation de Security Command Center.

Une fois Security Command Center activé pour votre organisation, Security Command Center chiffre vos données à l'aide de la clé Cloud KMS que vous avez choisie.

Résoudre les problèmes liés aux CMEK

Les sections suivantes vous aident à résoudre les problèmes qui peuvent survenir avec les types de ressources compatibles avec les CMEK.

Restaurer l'accès de l'agent de service aux clés

Lorsque les CMEK sont activées, l' agent de service Cloud Security Command Center doit avoir accès à votre clé Cloud KMS. Si cet agent de service ne dispose pas du rôle IAM requis sur votre clé, certaines fonctionnalités de Security Command Center ne fonctionneront pas correctement.

Pour déterminer si vous rencontrez ce problème, consultez la liste des principaux ayant accès à votre clé. Si l'agent de service est correctement configuré, la liste inclut un principal avec l'identifiant service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com et le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Si vous ne voyez pas ce principal et ce rôle, accordez le rôle requis à l'agent de service sur votre clé :

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Remplacez les éléments suivants :

• KEY_RING: trousseau de clés de votre clé Cloud KMS
• LOCATION: emplacement de votre clé Cloud KMS
• KEY_NAME: nom de votre clé Cloud KMS
• ORGANIZATION_NUMBER : numéro de votre organisation

Restaurer les clés désactivées ou dont la destruction est programmée

Si une clé ou une version de clé Cloud KMS est désactivée, vous pouvez activer une version de clé.

De même, si la destruction d'une clé Cloud KMS est programmée, vous pouvez restaurer une version de clé. Une fois une clé détruite, vous ne pouvez plus la récupérer et vous n'aurez plus accès aux ressources Security Command Center compatibles avec les CMEK.

Résoudre les erreurs lors de la création de ressources protégées

Si vous choisissez Google-owned and Google-managed encryption keys lorsque vous activez Security Command Center, puis que vous appliquez une contrainte liée aux règles d'administration CMEK dans cette organisation, vous ne pourrez pas créer de nouvelles ressources compatibles avec les CMEK.

Si vous ne parvenez pas à créer ces ressources, vérifiez si une contrainte liée aux règles d'administration CMEK est appliquée à votre organisation, ou à des projets ou dossiers de cette organisation. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration CMEK sur cette page.

Quotas et tarifs

Lorsque vous utilisez des CMEK dans Security Command Center, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Les instances chiffrées avec des CMEK consomment des quotas lors de la lecture ou de l'écriture de données dans Security Command Center. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.

De plus, des frais Cloud KMS s'appliquent lorsque Security Command Center utilise votre CMEK pour chiffrer ou déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.