Par défaut, Security Command Center chiffre le contenu client au repos. Security Command Center gère le chiffrement pour vous sans aucune action supplémentaire de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Security Command Center. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, de consulter les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Security Command Center est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour une meilleure séparation des tâches et un meilleur contrôle de l'accès aux clés, nous vous recommandons de gérer les clés dans un projet dédié sans autres Google Cloud ressources.Vous pouvez configurer Security Command Center pour qu'il utilise des clés de chiffrement gérées par le client (CMEK) à l'aide de clés Cloud Key Management Service lorsque vous activez Security Command Center pour l'organisation. Vous pouvez également modifier la configuration une fois Security Command Center activé.
Vous ne pouvez pas activer les CMEK avec les activations de Security Command Center au niveau du projet.
Pour en savoir plus sur l'activation de Security Command Center et la modification de la configuration, consultez les pages suivantes :
- Activer le niveau Standard de Security Command Center pour une organisation
- Activer le niveau Premium de Security Command Center pour une organisation
- Modifier la configuration de la résidence ou du chiffrement des données
Vous pouvez utiliser des contraintes de règle d'administration pour appliquer une configuration de chiffrement requise. Pour en savoir plus sur l'utilisation des contraintes de règle d'administration CMEK et de Security Command Center, consultez la section Contraintes de règle d'administration CMEK sur cette page.
Avertissement : Si vous désactivez, révoquez l'accès ou détruisez la CMEK après l'activation, Security Command Center cesse de fonctionner et vous risquez de perdre vos données Security Command Center. La destruction d'une version de clé est définitive et entraîne une perte de données irrécupérable.
Types de ressources acceptés
Vous pouvez utiliser des CMEK pour chiffrer les données des types de ressources Security Command Center suivants :
- Résultats
- Configurations de notification
- Exportations BigQuery
- Configurations Ignorer
Reconfigurer le chiffrement des données
Une fois Security Command Center activé, vous pouvez modifier la configuration du chiffrement des données entre les clés Cloud KMS et Google-owned and Google-managed encryption keys.
Avertissement : Si vous désactivez, révoquez l'accès ou détruisez la CMEK après l'activation, Security Command Center cesse de fonctionner et vous risquez de perdre vos données Security Command Center. La destruction d'une version de clé est définitive et entraîne une perte de données irrécupérable.
Vous pouvez alterner la clé CMEK, ce qui permet à Security Command Center d'utiliser la nouvelle version de clé. Toutefois, certaines fonctionnalités de Security Command Center continuent d'utiliser l'ancienne clé pendant 30 jours.
Avant de commencer
La section suivante décrit les étapes à suivre avant de modifier la configuration.
Déterminer l'emplacement de la clé
Lorsque vous créez une clé et un trousseau de clés Cloud KMS pour Security Command Center, vous devez utiliser un emplacement correspondant à votre emplacement Security Command Center.
Si vous ne prévoyez pas d'activer
la résidence des données pour Security Command Center,
créez votre clé et votre trousseau de clés Cloud KMS dans l'emplacement us.
Si vous prévoyez d'activer la résidence des données, choisissez l'emplacement Cloud KMS qui correspond à votre emplacement Security Command Center :
| Emplacement Security Command Center | Emplacement de la clé Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Définir des contraintes de règle d'administration pour les CMEK
Pour appliquer l'utilisation des CMEK pour Security Command Center, vous pouvez appliquer les contraintes de règle d'administration suivantes au niveau de l'organisation, du dossier ou du projet :
constraints/gcp.restrictNonCmekServices: vous oblige à utiliser des CMEK. Si vous appliquezconstraints/gcp.restrictNonCmekServicesà une organisation et que vous avez répertorié Security Command Center comme service restreint qui doit utiliser des CMEK, vous devez activer les CMEK lorsque vous activez Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: exige que la clé Cloud KMS pour Security Command Center provienne d'un projet ou d'un ensemble de projets spécifiques.
Si vous appliquez ces deux contraintes à l'organisation dans laquelle vous activez Security Command Center, Security Command Center vous demande d'activer les CMEK et exige que la clé CMEK se trouve dans un projet spécifique.
Pour en savoir plus sur l'évaluation des règles d'administration dans la Google Cloud hiérarchie des ressources (organisations, dossiers et projets), consultez la page Comprendre le processus d'évaluation hiérarchique.
Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez la section Règles d'administration CMEK.
Configurer les clés Cloud Key Management Service
Avant de configurer Security Command Center pour qu'il utilise des CMEK, procédez comme suit :
Installez et initialisez Google Cloud CLI :
Installez Google Cloud CLI. Après l'installation, initialisez Google Cloud CLI en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Créez un Google Cloud projet avec Cloud KMS activé. Il s'agit de votre projet de clé.
Créez un trousseau de clés à l'emplacement approprié. L'emplacement du trousseau de clés doit correspondre à l'emplacement où vous prévoyez d'activer Security Command Center.
Pour trouver l'emplacement approprié, consultez la section Emplacement de la clé sur cette page. Pour savoir comment créer un trousseau de clés, consultez la section Créer un trousseau de clés.
Créez une clé Cloud KMS dans le trousseau de clés. Pour obtenir des instructions, consultez la section Créer une clé.
Configurer le chiffrement des données pour Security Command Center
Vous pouvez configurer le chiffrement des données lorsque vous activez le niveau de service Standard ou Premium de Security Command Center pour une organisation.
Vous pouvez modifier la configuration du chiffrement des données dans les niveaux Standard et Premium après avoir activé Security Command Center. Pour en savoir plus, consultez la section Modifier la configuration de la résidence ou du chiffrement des données.
Une fois les CMEK configurées, Security Command Center chiffre les données à l'aide de la clé Cloud KMS que vous avez choisie.
Résoudre les problèmes liés aux CMEK
Les sections suivantes vous aident à résoudre les problèmes qui peuvent survenir avec les types de ressources compatibles avec les CMEK.
Restaurer l'accès de l'agent de service aux clés
Lorsque les CMEK sont activées, l' agent de service Cloud Security Command Center doit avoir accès à votre clé Cloud KMS. Si cet agent de service ne dispose pas du rôle IAM requis sur votre clé, certaines fonctionnalités de Security Command Center ne fonctionneront pas correctement.
Pour déterminer si vous rencontrez ce problème, consultez la liste des
principaux ayant accès à votre clé.
Si l'agent de service est correctement configuré, la liste inclut un principal
avec l'identifiant
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
et le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Si vous ne voyez pas ce principal et ce rôle, accordez le rôle requis à l'agent de service sur votre clé :
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Remplacez les éléments suivants :
KEY_RING: trousseau de clés de votre clé Cloud KMSLOCATION: emplacement de votre clé Cloud KMSKEY_NAME: nom de votre clé Cloud KMSORGANIZATION_NUMBER: numéro de votre organisation
Restaurer les clés désactivées ou dont la destruction est programmée
Si une clé ou une version de clé Cloud KMS est désactivée, vous pouvez activer une version de clé.
De même, si la destruction d'une clé Cloud KMS est programmée, vous pouvez restaurer une version de clé. Une fois une clé est détruite, vous ne pouvez pas la récupérer et vous n'aurez pas accès aux ressources Security Command Center compatibles avec les CMEK.
Résoudre les erreurs lors de la création de ressources protégées
Si vous choisissez Google-owned and Google-managed encryption keys lorsque vous activez Security Command Center, puis que vous appliquez une contrainte de règle d'administration CMEK dans cette organisation, vous ne pourrez pas créer de nouvelles ressources compatibles avec les CMEK.
Si vous ne parvenez pas à créer ces ressources, vérifiez si une contrainte de règle d'administration CMEK est appliquée à votre organisation, ou à des projets ou dossiers de cette organisation. Pour en savoir plus, consultez la section Contraintes de règle d'administration CMEK sur cette page.
Quotas et tarifs
Lorsque vous utilisez des CMEK dans Security Command Center, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Les instances chiffrées avec des CMEK consomment des quotas lors de la lecture ou de l'écriture de données dans Security Command Center. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.
De plus, des frais Cloud KMS s'appliquent lorsque Security Command Center utilise votre CMEK pour chiffrer ou déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.