CMEK für Security Command Center aktivieren

Security Command Center verschlüsselt ruhende Kundeninhalte standardmäßig. Security Command Center übernimmt die Verschlüsselung für Sie, ohne dass Sie weitere Maßnahmen ergreifen müssen. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Security Command Center verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Security Command Center-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Um die Aufgabentrennung zu unterstützen und den Zugriff auf Schlüssel besser zu kontrollieren, empfehlen wir, Schlüssel in einem separaten Projekt zu erstellen und zu verwalten, das keine anderen Google Cloud Ressourcen enthält.

Wenn Sie CMEK für Security Command Center aktivieren möchten, müssen Sie bei der Aktivierung einer Security Command Center-Organisation die Cloud KMS-Datenverschlüsselung auswählen. Nach der Aktivierung von Security Command Center können Sie die Datenverschlüsselung nicht mehr konfigurieren. Sie können CMEK nicht während der Aktivierung auf Projektebene aktivieren. Weitere Informationen finden Sie unter:

Mit Einschränkungen für Organisationsrichtlinien für CMEK können Sie Ihre Verschlüsselungseinstellungen erzwingen, wenn Sie Security Command Center aktivieren. Informationen zur Verwendung von CMEK Einschränkungen für Organisationsrichtlinien und Security Command Center finden Sie auf dieser Seite unter Einschränkungen für Organisationsrichtlinien für CMEK.

Hinweis

Bevor Sie CMEK für Security Command Center einrichten, führen Sie folgende Schritte aus:

  1. Installieren und initialisieren Sie die Google Cloud CLI:

      Installieren Sie die Google Cloud CLI. Initialisieren Sie nach der Installation, initialisieren Sie die Google Cloud CLI mit dem folgenden Befehl: 

      gcloud init

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  2. Erstellen Sie ein Google Cloud Projekt mit aktiviertem Cloud KMS. Dies ist Ihr Schlüsselprojekt.

  3. Erstellen Sie einen Schlüsselbund am richtigen Speicherort. Der Speicherort des Schlüsselbunds muss dem Speicherort entsprechen, an dem Sie Security Command Center aktivieren möchten.

    Informationen zum richtigen Speicherort finden Sie auf dieser Seite unter Speicherort des Schlüssels. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.

  4. Erstellen Sie einen Cloud KMS-Schlüssel im Schlüsselbund. Eine Anleitung finden Sie unter Schlüssel erstellen.

  5. Damit der Cloud Security Command Center-Dienst-Agent die erforderlichen Berechtigungen zum Ver- und Entschlüsseln von Daten hat, bitten Sie Ihren Administrator, dem Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM-Rolle für den Cloud Security Command Center-Dienst-Agent für den Cloud KMS-Schlüssel zu gewähren. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Ihr Administrator kann dem Cloud Security Command Center-Dienst-Agent die erforderlichen Berechtigungen möglicherweise auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Speicherort des Schlüssels

Wenn Sie einen Cloud KMS-Schlüssel und einen Schlüsselbund für Security Command Center erstellen, müssen Sie einen Speicherort verwenden, der Ihrem Security Command Center-Speicherort entspricht.

Wenn Sie den Datenstandort für Security Command Center nicht aktivieren möchten, erstellen Sie Ihren Cloud KMS-Schlüssel und -Schlüsselbund am us Speicherort.

Wenn Sie den Datenstandort aktivieren möchten, wählen Sie den Cloud KMS-Speicherort aus, der Ihrem Security Command Center-Speicherort entspricht:

Security Command Center-Speicherort Cloud KMS-Schlüsselstandort
eu europe
sa me-central2
us us

Änderungen am CMEK-Schlüssel

Nachdem Sie Security Command Center mit CMEK aktiviert haben, können Sie den Cloud KMS-Schlüssel nicht mehr ändern oder zu einem anderen wechseln Google-owned and Google-managed encryption key.

Sie können den CMEK-Schlüssel rotieren. Dadurch verwendet Security Command Center die neue Schlüsselversion. Einige Security Command Center-Funktionen verwenden den alten Schlüssel jedoch noch 30 Tage lang.

Unterstützte Ressourcentypen

CMEK verschlüsselt Daten für die folgenden Security Command Center-Ressourcentypen:

  • Ergebnisse
  • Benachrichtigungskonfigurationen
  • Exporte von BigQuery
  • Konfigurationen für Ausblendungen

Einschränkungen für Organisationsrichtlinien für CMEK

Wenn Sie die Verwendung von CMEK für Security Command Center erzwingen möchten, können Sie die folgenden Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- oder Projektebene erzwingen:

  • constraints/gcp.restrictNonCmekServices: Erfordert die Verwendung von CMEK. Wenn Sie constraints/gcp.restrictNonCmekServices für eine Organisation erzwingen und Security Command Center als eingeschränkten Dienst aufgeführt haben, für den CMEK erforderlich ist, müssen Sie CMEK aktivieren, wenn Sie Security Command Center aktivieren.

  • constraints/gcp.restrictCmekCryptoKeyProjects: Erfordert, dass der CMEK-Schlüssel für Security Command Center aus einem bestimmten Projekt oder einer bestimmten Gruppe von Projekten stammt.

Wenn Sie beide Einschränkungen für die Organisation erzwingen, in der Sie Security Command Center aktivieren, müssen Sie CMEK aktivieren und der CMEK-Schlüssel muss sich in einem bestimmten Projekt befinden.

Informationen zur Auswertung von Organisationsrichtlinien in der Google Cloud Ressourcenhierarchie (Organisationen, Ordner und Projekte) finden Sie unter Informationen zu Evaluierungen der Hierarchie.

Allgemeine Informationen zur Verwendung von Organisationsrichtlinien für CMEK finden Sie unter Organisationsrichtlinien für CMEK.

CMEK für Security Command Center einrichten

So verwenden Sie CMEK mit Security Command Center:

  1. Wenn Sie Security Command Center für eine Organisation aktivieren, wählen Sie Datenverschlüsselung bearbeiten aus.

    Der Bereich Einstellungen für die Datenverschlüsselung bearbeiten wird geöffnet.

  2. Wählen Sie Cloud KMS-Schlüssel aus.

  3. Wählen Sie ein Projekt aus.

  4. Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus jedem Google Cloud Projekt, einschließlich Projekten in anderen Organisationen auswählen. In der Liste werden nur Schlüssel an kompatiblen Speicherorten angezeigt.

    Informationen zu den Schlüsselstandorten, die mit Security Command Center kompatibel sind, finden Sie auf dieser Seite unter Speicherort des Schlüssels.

  5. Klicken Sie auf Fertig und setzen Sie die Aktivierung von Security Command Center fort.

Nachdem Sie Security Command Center für Ihre Organisation aktiviert haben, verschlüsselt Security Command Center Ihre Daten mit dem ausgewählten Cloud KMS-Schlüssel.

Fehlerbehebung bei CMEK

In den folgenden Abschnitten finden Sie Informationen zur Behebung von Problemen, die bei Ressourcentypen auftreten können, die CMEK unterstützen.

Zugriff des Dienst-Agents auf Schlüssel wiederherstellen

Wenn CMEK aktiviert ist, muss der Cloud Security Command Center-Dienst-Agent Zugriff auf Ihren Cloud KMS-Schlüssel haben. Wenn dieser Dienst-Agent nicht die erforderliche IAM-Rolle für Ihren Schlüssel hat, dann funktionieren einige Funktionen von Security Command Center nicht richtig.

Um festzustellen, ob dieses Problem vorliegt, rufen Sie die Liste der Hauptkonten auf, die Zugriff auf Ihren Schlüssel haben. Wenn der Dienst-Agent richtig konfiguriert ist, enthält die Liste ein Hauptkonto mit der ID service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com und die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Wenn Sie diesen Prinzipal und diese Rolle nicht sehen, gewähren Sie dem Dienst-Agent die erforderliche Rolle für Ihren Schlüssel:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie Folgendes:

  • KEY_RING: der Schlüsselbund für Ihren Cloud KMS-Schlüssel
  • LOCATION: der Speicherort Ihres Cloud KMS-Schlüssels
  • KEY_NAME: der Name Ihres Cloud KMS-Schlüssels
  • ORGANIZATION_NUMBER: Ihre Organisationsnummer

Deaktivierte oder zum Löschen vorgemerkte Schlüssel wiederherstellen

Wenn ein Cloud KMS-Schlüssel oder eine Schlüsselversion deaktiviert ist, können Sie eine Schlüsselversion aktivieren.

Wenn ein Cloud KMS-Schlüssel zum Löschen vorgemerkt ist, können Sie eine Schlüsselversion wiederherstellen. Nachdem ein Schlüssel gelöscht wurde, können Sie ihn nicht mehr wiederherstellen und haben keinen Zugriff mehr auf Security Command Center Ressourcen, die CMEK unterstützen.

Fehler beim Erstellen geschützter Ressourcen beheben

Wenn Sie bei der Aktivierung von Security Command Center auswählen Google-owned and Google-managed encryption keys und dann eine Einschränkung für Organisationsrichtlinien für CMEK in dieser Organisation erzwingen, können Sie keine neuen Ressourcen erstellen, die CMEK unterstützen.

Wenn Sie diese Ressourcen nicht erstellen können, prüfen Sie, ob eine Einschränkung für Organisationsrichtlinien für CMEK für Ihre Organisation oder für Projekte oder Ordner in dieser Organisation erzwungen wird. Weitere Informationen finden Sie auf dieser Seite unter Einschränkungen für Organisationsrichtlinien für CMEK.

Kontingente und Preise

Wenn Sie CMEK in Security Command Center verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. Für mit CMEK verschlüsselte Instanzen werden Kontingente verbraucht, wenn Daten in Security Command Center gelesen oder geschrieben werden. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Außerdem fallen Cloud KMS-Gebühren an, wenn Security Command Center Ihren CMEK zum Ver- oder Entschlüsseln von Daten verwendet. Weitere Informationen finden Sie unter Cloud KMS – Preise.