Par défaut, Security Command Center chiffre le contenu client au repos. Security Command Center gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Security Command Center. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, de consulter les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Security Command Center est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Pour faciliter la séparation des tâches et mieux contrôler l'accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct qui n'inclut pas d'autres ressources Google Cloud .
Pour activer CMEK pour Security Command Center, vous devez choisir le chiffrement des données Cloud KMS lorsque vous activez une organisation Security Command Center. Une fois Security Command Center activé, vous ne pouvez plus configurer le chiffrement des données. Vous ne pouvez pas activer la CMEK lors de l'activation au niveau du projet. Pour en savoir plus, consultez les ressources suivantes :
- Activer le niveau Standard de Security Command Center pour une organisation
- Activer le niveau Premium de Security Command Center pour une organisation
Vous pouvez utiliser des contraintes de règle d'administration CMEK pour appliquer vos paramètres de chiffrement lorsque vous activez Security Command Center. Pour savoir comment utiliser les contraintes des règles d'administration CMEK et Security Command Center, consultez la section Contraintes des règles d'administration CMEK sur cette page.
Avant de commencer
Avant de configurer CMEK pour Security Command Center, procédez comme suit :
Installez et initialisez la Google Cloud CLI :
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Créez un projet Google Cloud dans lequel Cloud KMS est activé. Il s'agit de votre projet de clé.
Créez un trousseau de clés à l'emplacement approprié. L'emplacement du trousseau de clés doit correspondre à celui où vous prévoyez d'activer Security Command Center.
Pour trouver le bon emplacement, consultez Emplacement clé sur cette page. Pour savoir comment créer un trousseau de clés, consultez Créer un trousseau de clés.
Créez une clé Cloud KMS sur le trousseau de clés. Pour obtenir des instructions, consultez Créer une clé.
Pour vous assurer que l'agent de service Security Command Center dispose des autorisations nécessaires pour chiffrer et déchiffrer des données, demandez à votre administrateur d'accorder à l'agent de service Security Command Center le rôle IAM suivant : Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé Cloud KMS.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Votre administrateur peut également attribuer à l'agent de service Cloud Security Command Center les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Emplacement de la clé
Lorsque vous créez une clé et un trousseau de clés Cloud KMS pour Security Command Center, vous devez utiliser un emplacement qui correspond à votre emplacement Security Command Center.
Si vous ne prévoyez pas d'activer la résidence des données pour Security Command Center, créez votre clé et votre trousseau Cloud KMS dans l'emplacement us.
Si vous prévoyez d'activer la résidence des données, choisissez l'emplacement Cloud KMS qui correspond à votre emplacement Security Command Center :
| Emplacement de Security Command Center | Emplacement de la clé Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Modifications apportées à la clé CMEK
Une fois que vous avez activé Security Command Center avec CMEK, vous ne pouvez plus modifier la clé Cloud KMS ni passer à une clé Google-owned and Google-managed encryption key.
Vous pouvez alterner la clé CMEK, ce qui permet à Security Command Center d'utiliser la nouvelle version de la clé. Toutefois, certaines fonctionnalités de Security Command Center continuent d'utiliser l'ancienne clé pendant 30 jours.
Types de ressources acceptés
La clé CMEK chiffre les données pour les types de ressources Security Command Center suivants :
- Résultats
- Configurations de notification
- Exportations BigQuery
- Configurations de mise en sourdine
Contraintes liées aux règles d'administration CMEK
Pour appliquer l'utilisation de CMEK pour Security Command Center, vous pouvez appliquer les contraintes de règle d'administration suivantes au niveau de l'organisation, du dossier ou du projet :
constraints/gcp.restrictNonCmekServices: vous devez utiliser CMEK. Si vous appliquezconstraints/gcp.restrictNonCmekServicesà une organisation et que vous avez listé Security Command Center comme service restreint requis pour utiliser CMEK, vous devez activer CMEK lorsque vous activez Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: exige que la clé CMEK pour Security Command Center provienne d'un projet ou d'un ensemble de projets spécifiques.
Si vous appliquez ces deux contraintes à l'organisation dans laquelle vous activez Security Command Center, Security Command Center vous demande d'activer CMEK et exige que la clé CMEK se trouve dans un projet spécifique.
Pour savoir comment les règles d'administration sont évaluées dans la hiérarchie des ressourcesGoogle Cloud (organisations, dossiers et projets), consultez Comprendre l'évaluation hiérarchique.
Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez Règles d'administration CMEK.
Configurer les clés CMEK pour Security Command Center
Pour utiliser CMEK avec Security Command Center, procédez comme suit :
Lorsque vous activez Security Command Center pour une organisation, sélectionnez Modifier le chiffrement des données.
Le volet Modifier les paramètres de chiffrement des données s'ouvre.
Sélectionnez Clé Cloud KMS.
Sélectionnez un projet.
Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel projet Google Cloud , y compris les projets d'autres organisations. Seules les clés situées dans des emplacements compatibles sont affichées dans la liste.
Pour savoir quelles sont les principales zones géographiques compatibles avec Security Command Center, consultez Zone géographique clé sur cette page.
Cliquez sur OK, puis poursuivez le processus d'activation de Security Command Center.
Une fois que vous avez activé Security Command Center pour votre organisation, il chiffre vos données à l'aide de la clé Cloud KMS de votre choix.
Résoudre les problèmes liés à CMEK
Les sections suivantes vous aident à résoudre les problèmes qui peuvent survenir avec les types de ressources compatibles avec CMEK.
Restaurer l'accès de l'agent de service aux clés
Lorsque CMEK est activé, l'agent de service Cloud Security Command Center doit avoir accès à votre clé Cloud KMS. Si cet agent de service ne dispose pas du rôle IAM requis sur votre clé, certaines fonctionnalités de Security Command Center ne fonctionneront pas correctement.
Pour déterminer si vous rencontrez ce problème, consultez la liste des comptes principaux ayant accès à votre clé.
Si l'agent de service est correctement configuré, la liste inclut un principal avec l'identifiant service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com et le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Si ce principal et ce rôle ne s'affichent pas, accordez le rôle requis à l'agent de service sur votre clé :
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Remplacez les éléments suivants :
KEY_RING: trousseau de clés pour votre clé Cloud KMSLOCATION: emplacement de votre clé Cloud KMSKEY_NAME: nom de votre clé Cloud KMS.ORGANIZATION_NUMBER: numéro de votre organisation
Restaurer des clés désactivées ou dont la destruction est programmée
Si une clé ou une version de clé Cloud KMS est désactivée, vous pouvez activer une version de clé.
De même, si la destruction d'une clé Cloud KMS est programmée, vous pouvez restaurer une version de clé. Une fois qu'une clé est détruite, vous ne pouvez pas la récupérer et vous n'avez plus accès aux ressources Security Command Center compatibles avec CMEK.
Résoudre les erreurs de création de ressources protégées
Si vous choisissez Google-owned and Google-managed encryption keys lorsque vous activez Security Command Center, puis que vous appliquez une contrainte de règle d'administration CMEK dans cette organisation, vous ne pourrez pas créer de ressources compatibles avec CMEK.
Si vous ne parvenez pas à créer ces ressources, vérifiez si une contrainte de règle d'organisation CMEK est appliquée à votre organisation, ou à l'un de ses projets ou dossiers. Pour en savoir plus, consultez la section Contraintes liées aux règles d'administration CMEK sur cette page.
Quotas et tarifs
Lorsque vous utilisez des clés CMEK dans Security Command Center, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Les instances chiffrées avec des CMEK consomment des quotas lors de la lecture ou de l'écriture de données dans Security Command Center. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.
De plus, des frais Cloud KMS s'appliquent lorsque Security Command Center utilise votre CMEK pour chiffrer ou déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.