Security Command Center verschlüsselt ruhende Kundeninhalte standardmäßig. Security Command Center übernimmt die Verschlüsselung für Sie, ohne dass Sie weitere Maßnahmen ergreifen müssen. Diese Option heißt Google-Standardverschlüsselung.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Security Command Center verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutz level, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Security Command Center-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).
Zur besseren Trennung von Aufgaben und zur besseren Kontrolle des Schlüsselzugriffs empfehlen wir, Schlüssel in einem dedizierten Projekt ohne andere Google Cloud Ressourcen zu verwalten.Sie können Security Command Center so konfigurieren, dass vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud Key Management Service-Schlüsseln verwendet werden, wenn Sie Security Command Center für die Organisation aktivieren. Sie können die Konfiguration auch ändern, nachdem Security Command Center aktiviert wurde.
Sie können CMEK nicht mit Security Command Center-Aktivierungen auf Projektebene aktivieren.
Weitere Informationen zum Aktivieren von Security Command Center und zum Ändern der Konfiguration finden Sie unter:
- Security Command Center Standard-Stufe für eine Organisation aktivieren
- Security Command Center Premium-Stufe für eine Organisation aktivieren
- Konfiguration für Datenstandort oder Datenverschlüsselung ändern
Mit Einschränkungen für Organisationsrichtlinien können Sie eine erforderliche Verschlüsselungskonfiguration erzwingen. Informationen zur Verwendung von CMEK-Organisationsrichtlinieneinschränkungen und Security Command Center finden Sie auf dieser Seite unter CMEK-Organisationsrichtlinieneinschränkungen.
Warnung: Wenn Sie den CMEK nach der Aktivierung deaktivieren, den Zugriff darauf widerrufen oder ihn löschen, funktioniert Security Command Center nicht mehr und Sie können Ihre Security Command Center-Daten verlieren. Das Löschen einer Schlüsselversion ist endgültig und führt zu nicht wiederherstellbarem Datenverlust.
Unterstützte Ressourcentypen
Sie können CMEK verwenden, um Daten für die folgenden Security Command Center-Ressourcentypen zu verschlüsseln:
- Ergebnisse
- Benachrichtigungskonfigurationen
- BigQuery-Exporte
- Konfigurationen für Ausblendungen
Datenverschlüsselung neu konfigurieren
Nachdem Sie Security Command Center aktiviert haben, können Sie die Datenverschlüsselung Konfiguration zwischen Cloud KMS-Schlüsseln und Google-owned and Google-managed encryption keysändern.
Warnung: Wenn Sie den CMEK nach der Aktivierung deaktivieren, den Zugriff darauf widerrufen oder ihn löschen, funktioniert Security Command Center nicht mehr und Sie können Ihre Security Command Center-Daten verlieren. Das Löschen einer Schlüsselversion ist endgültig und führt zu nicht wiederherstellbarem Datenverlust.
Sie können den CMEK-Schlüssel rotieren. Dadurch verwendet Security Command Center die neue Schlüsselversion. Einige Security Command Center-Funktionen verwenden den alten Schlüssel jedoch noch 30 Tage lang.
Hinweis
Im folgenden Abschnitt werden die Schritte beschrieben, die Sie ausführen müssen, bevor Sie die Konfiguration ändern.
Schlüsselstandort ermitteln
Wenn Sie einen Cloud KMS-Schlüssel und einen Schlüsselbund für Security Command Center erstellen, müssen Sie einen Standort verwenden, der Ihrem Security Command Center-Standort entspricht.
Wenn Sie den
Datenstandort für Security Command Center nicht aktivieren möchten,
erstellen Sie Ihren Cloud KMS-Schlüssel und -Schlüsselbund am us Standort.
Wenn Sie den Datenstandort aktivieren möchten, wählen Sie den Cloud KMS-Standort aus, der Ihrem Security Command Center-Standort entspricht:
| Security Command Center-Standort | Cloud KMS-Schlüsselstandort |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Einschränkungen für Organisationsrichtlinien für CMEK definieren
Wenn Sie die CMEK-Nutzung für Security Command Center erzwingen möchten, können Sie die folgenden Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen:
constraints/gcp.restrictNonCmekServices: Erfordert die Verwendung von CMEK. Wenn Sieconstraints/gcp.restrictNonCmekServicesfür eine Organisation erzwingen und Security Command Center als eingeschränkten Dienst aufgeführt haben, für den CMEK erforderlich ist, müssen Sie CMEK aktivieren, wenn Sie Security Command Center aktivieren.constraints/gcp.restrictCmekCryptoKeyProjects: Erfordert, dass der Cloud KMS-Schlüssel für Security Command Center aus einem bestimmten Projekt oder einer bestimmten Gruppe von Projekten stammt.
Wenn Sie beide Einschränkungen für die Organisation erzwingen, in der Sie Security Command Center aktivieren, müssen Sie CMEK aktivieren und der CMEK-Schlüssel muss sich in einem bestimmten Projekt befinden.
Informationen zur Auswertung von Organisationsrichtlinien in der Google Cloud Ressourcenhierarchie (Organisationen, Ordner und Projekte) finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Allgemeine Informationen zur Verwendung von CMEK-Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.
Cloud Key Management Service-Schlüssel konfigurieren
Bevor Sie Security Command Center für die Verwendung von CMEK konfigurieren, führen Sie die folgenden Schritte aus:
Installieren und initialisieren Sie die Google Cloud CLI:
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Erstellen Sie ein Google Cloud Projekt, in dem Cloud KMS aktiviert ist. Dies ist Ihr Schlüsselprojekt.
Erstellen Sie einen Schlüsselbund am richtigen Standort. Der Standort des Schlüsselbunds muss dem Standort entsprechen, an dem Sie Security Command Center aktivieren möchten.
Den richtigen Standort finden Sie auf dieser Seite unter Schlüsselstandort. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
Erstellen Sie einen Cloud KMS-Schlüssel im Schlüsselbund. Eine Anleitung finden Sie unter Schlüssel erstellen.
Datenverschlüsselung für Security Command Center konfigurieren
Sie können die Datenverschlüsselung konfigurieren, wenn Sie die Security Command Center Standard-Dienststufe oder Premium-Dienststufe für eine Organisation aktivieren.
Sie können die Konfiguration der Datenverschlüsselung in den Standard- und Premium-Stufen ändern, nachdem Sie Security Command Center aktiviert haben. Weitere Informationen finden Sie unter Konfiguration für Datenstandort oder Datenverschlüsselung ändern.
Nachdem Sie CMEK konfiguriert haben, verschlüsselt Security Command Center Daten mit dem von Ihnen ausgewählten Cloud KMS-Schlüssel.
Fehlerbehebung bei CMEK
In den folgenden Abschnitten finden Sie Informationen zur Behebung von Problemen, die bei Ressourcentypen auftreten können, die CMEK unterstützen.
Zugriff des Dienst-Agents auf Schlüssel wiederherstellen
Wenn CMEK aktiviert ist, muss der Cloud Security Command Center-Dienst-Agent Zugriff auf Ihren Cloud KMS-Schlüssel haben. Wenn dieser Dienst-Agent nicht die erforderliche IAM-Rolle für Ihren Schlüssel hat, dann funktionieren einige Funktionen von Security Command Center nicht richtig.
Um festzustellen, ob dieses Problem vorliegt, rufen Sie die Liste der
Principals auf, die Zugriff auf Ihren Schlüssel haben.
Wenn der Dienst-Agent richtig konfiguriert ist, enthält die Liste einen Principal
mit der Kennung
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
und die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Wenn Sie diesen Principal und diese Rolle nicht sehen, weisen Sie dem Dienst-Agent die erforderliche Rolle für Ihren Schlüssel zu:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Ersetzen Sie Folgendes:
KEY_RING: der Schlüsselbund für Ihren Cloud KMS-SchlüsselLOCATION: der Standort Ihres Cloud KMS-SchlüsselsKEY_NAME: der Name Ihres Cloud KMS-SchlüsselsORGANIZATION_NUMBER: Ihre Organisationsnummer
Deaktivierte oder zum Löschen vorgemerkte Schlüssel wiederherstellen
Wenn ein Cloud KMS-Schlüssel oder eine Schlüsselversion deaktiviert ist, können Sie eine Schlüsselversion aktivieren.
Wenn ein Cloud KMS-Schlüssel zum Löschen vorgemerkt ist, können Sie eine Schlüsselversion wiederherstellen. Nachdem ein Schlüssel gelöscht wurde, können Sie ihn nicht mehr wiederherstellen und haben keinen Zugriff mehr auf Security Command Center Ressourcen, die CMEK unterstützen.
Fehler beim Erstellen geschützter Ressourcen beheben
Wenn Sie Google-owned and Google-managed encryption keys beim Aktivieren von Security Command Center auswählen und dann eine CMEK-Organisationsrichtlinieneinschränkung in dieser Organisation erzwingen, können Sie keine neuen Ressourcen erstellen, die CMEK unterstützen.
Wenn Sie diese Ressourcen nicht erstellen können, prüfen Sie, ob eine CMEK-Organisationsrichtlinieneinschränkung für Ihre Organisation oder für Projekte oder Ordner in dieser Organisation erzwungen wird. Weitere Informationen finden Sie auf dieser Seite unter CMEK-Organisationsrichtlinieneinschränkungen.
Kontingente und Preise
Wenn Sie CMEK in Security Command Center verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Instanzen verbrauchen Kontingente, wenn Daten in Security Command Center gelesen oder geschrieben werden. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.
Außerdem fallen Cloud KMS-Gebühren an, wenn Security Command Center Ihren CMEK zum Ver- oder Entschlüsseln von Daten verwendet. Weitere Informationen finden Sie unter Cloud KMS – Preise.