Per impostazione predefinita, Security Command Center cripta i contenuti inattivi dei clienti at rest. Security Command Center gestisce la crittografia senza che tu debba eseguire ulteriori azioni. Questa opzione è denominata crittografia predefinita di Google.
Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Security Command Center. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Security Command Center è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Per una migliore separazione dei compiti e un maggiore controllo sull'accesso alle chiavi, ti consigliamo di gestire le chiavi in un progetto dedicato senza altre Google Cloud risorse.Puoi configurare Security Command Center in modo che utilizzi le chiavi di crittografia gestite dal cliente (CMEK) utilizzando le chiavi di Cloud Key Management Service quando attivi Security Command Center per l'organizzazione. Puoi anche modificare la configurazione dopo l'attivazione di Security Command Center.
Non puoi abilitare CMEK con le attivazioni di Security Command Center a livello di progetto.
Per scoprire di più sull'attivazione di Security Command Center e sulla modifica della configurazione, consulta le seguenti pagine:
- Attivare il livello Standard di Security Command Center per un'organizzazione
- Attivare il livello Premium di Security Command Center per un'organizzazione
- Modificare la configurazione della residenza dei dati o della crittografia dei dati
Puoi utilizzare i vincoli delle policy dell'organizzazione per applicare una configurazione di crittografia obbligatoria. Per informazioni sull'utilizzo dei vincoli delle policy dell'organizzazione CMEK e di Security Command Center, consulta la sezione Vincoli delle policy dell'organizzazione CMEK in questa pagina.
Avviso: se disattivi, revochi l'accesso o elimini la CMEK dopo l'attivazione, Security Command Center smette di funzionare e potresti perdere i dati di Security Command Center. L'eliminazione di una versione della chiave è permanente e causa la perdita non recuperabile dei dati.
Tipi di risorse supportati
Puoi utilizzare CMEK per criptare i dati per i seguenti tipi di risorse di Security Command Center:
- Risultati
- Configurazioni delle notifiche
- Esportazioni BigQuery
- Configurazioni di disattivazione
Riconfigurare la crittografia dei dati
Dopo aver attivato Security Command Center, puoi modificare la configurazione della crittografia dei dati tra le chiavi Cloud KMS e Google-owned and Google-managed encryption keys.
Avviso: se disattivi, revochi l'accesso o elimini la CMEK dopo l'attivazione, Security Command Center smette di funzionare e potresti perdere i dati di Security Command Center. L'eliminazione di una versione della chiave è permanente e causa la perdita non recuperabile dei dati.
Puoi ruotare la chiave CMEK, in modo che Security Command Center utilizzi la nuova versione della chiave. Tuttavia, alcune funzionalità di Security Command Center continuano a utilizzare la vecchia chiave per 30 giorni.
Prima di iniziare
La sezione seguente descrive i passaggi da eseguire prima di modificare la configurazione.
Determinare la posizione della chiave
Quando crei una chiave Cloud KMS e un keyring per Security Command Center, devi utilizzare una località corrispondente alla località di Security Command Center.
Se non prevedi di abilitare
la residenza dei dati per Security Command Center,
crea la chiave Cloud KMS e il keyring nella località us.
Se prevedi di abilitare la residenza dei dati, scegli la località Cloud KMS corrispondente alla località di Security Command Center:
| Località di Security Command Center | Località della chiave Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Definire i vincoli delle policy dell'organizzazione per CMEK
Per applicare l'utilizzo di CMEK per Security Command Center, puoi applicare i seguenti vincoli delle policy dell'organizzazione a livello di organizzazione, cartella o progetto:
constraints/gcp.restrictNonCmekServices: richiede l'utilizzo di CMEK. Se applichiconstraints/gcp.restrictNonCmekServicesa un'organizzazione e hai elencato Security Command Center come servizio con limitazioni che richiede l'utilizzo di CMEK, devi abilitare CMEK quando attivi Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave Cloud KMS per Security Command Center provenga da un progetto o da un insieme di progetti specifici.
Se applichi entrambi questi vincoli all'organizzazione in cui attivi Security Command Center, Security Command Center ti richiede di abilitare CMEK e che la chiave CMEK si trovi in un progetto specifico.
Per informazioni su come vengono valutate le policy dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta la sezione Informazioni sulla valutazione della gerarchia.
Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta la sezione Policy dell'organizzazione CMEK.
Configurare le chiavi di Cloud Key Management Service
Prima di configurare Security Command Center per l'utilizzo di CMEK:
Installa e inizializza Google Cloud CLI:
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Crea un Google Cloud progetto con Cloud KMS abilitato. Questo è il tuo progetto chiave.
Crea un keyring nella località corretta. La località del keyring deve corrispondere alla località in cui prevedi di attivare Security Command Center.
Per trovare la località corretta, consulta la sezione Località della chiave in questa pagina. Per scoprire come creare un keyring, consulta Creare un keyring.
Crea una chiave Cloud KMS nel keyring. Per istruzioni, consulta Creare una chiave.
Configurare la crittografia dei dati per Security Command Center
Puoi configurare la crittografia dei dati quando attivi il livello di servizio Standard o Premium di Security Command Center per un'organizzazione.
Puoi modificare la configurazione della crittografia dei dati nei livelli Standard e Premium dopo aver attivato Security Command Center. Per ulteriori informazioni, consulta Modificare la configurazione della residenza dei dati o della crittografia dei dati.
Dopo aver configurato CMEK, Security Command Center cripta i dati utilizzando la chiave Cloud KMS scelta.
Risoluzione dei problemi relativi a CMEK
Le sezioni seguenti ti aiutano a risolvere i problemi che potrebbero verificarsi con i tipi di risorse che supportano CMEK.
Ripristinare l'accesso del service agent alle chiavi
Con CMEK abilitato, il service agent di Cloud Security Command Center deve avere accesso alla chiave Cloud KMS. Se questo service agent non ha il ruolo IAM richiesto per la chiave, alcune funzionalità di Security Command Center non funzioneranno correttamente.
Per determinare se si verifica questo problema, visualizza l'elenco delle
entità che hanno accesso alla chiave.
Se il service agent è configurato correttamente, l'elenco include un'entità
con l'identificatore
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
e il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Se non vedi questa entità e questo ruolo, assegna il ruolo richiesto al service agent sulla chiave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_RING: il keyring per la chiave Cloud KMSLOCATION: la località della chiave Cloud KMSKEY_NAME: il nome della chiave Cloud KMSORGANIZATION_NUMBER: il numero dell'organizzazione
Ripristinare le chiavi disattivate o con eliminazione programmata
Se una chiave o una versione della chiave Cloud KMS è disattivata, puoi abilitare una versione della chiave.
Allo stesso modo, se una chiave Cloud KMS è programmata per l'eliminazione, puoi ripristinare una versione della chiave. Dopo l'eliminazione di una chiave, non puoi recuperarla e non avrai accesso alle risorse di Security Command Center che supportano CMEK.
Risolvere gli errori durante la creazione di risorse protette
Se scegli Google-owned and Google-managed encryption keys quando attivi Security Command Center e poi applichi un vincolo delle policy dell'organizzazione CMEK all'interno di questa organizzazione, non potrai creare nuove risorse che supportano CMEK.
Se non riesci a creare queste risorse, controlla se è applicato un vincolo delle policy dell'organizzazione CMEK per la tua organizzazione o per eventuali progetti o cartelle dell'organizzazione. Per ulteriori informazioni, consulta la sezione Vincoli delle policy dell'organizzazione CMEK in questa pagina.
Quote e prezzi
Quando utilizzi CMEK in Security Command Center, i tuoi progetti possono consumare le quote delle richieste di crittografia di Cloud KMS. Le istanze criptate con CMEK consumano le quote durante la lettura o la scrittura dei dati in Security Command Center. Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.
Inoltre, si applicano addebiti di Cloud KMS quando Security Command Center utilizza la tua CMEK per criptare o decriptare i dati. Per ulteriori informazioni, consulta Prezzi di Cloud KMS.