De forma predeterminada, Security Command Center encripta el contenido del cliente en reposo. Security Command Center controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Security Command Center. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Security Command Center es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Para admitir la separación de tareas y un mayor control sobre el acceso a las claves, te recomendamos que crees y administres las claves en un proyecto independiente que no incluya otros recursos de Google Cloud .
Para habilitar la CMEK en Security Command Center, debes elegir la encriptación de datos de Cloud KMS cuando actives una organización de Security Command Center. Después de activar Security Command Center, ya no podrás configurar la encriptación de datos. No puedes habilitar la CMEK durante la activación a nivel del proyecto. Para obtener más información, consulta lo siguiente:
- Activa el nivel Estándar de Security Command Center para una organización
- Activa el nivel Premium de Security Command Center para una organización
Puedes usar restricciones de políticas de la organización de CMEK para aplicar tu configuración de encriptación cuando actives Security Command Center. Para obtener información sobre el uso de las restricciones de las políticas de la organización relativas a CMEK y Security Command Center, consulta Restricciones de las políticas de la organización relativas a CMEK en esta página.
Antes de comenzar
Antes de configurar la CMEK para Security Command Center, haz lo siguiente:
Instala y, luego, inicializa Google Cloud CLI:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Crea un proyecto Google Cloud con Cloud KMS habilitado. Este es tu proyecto de clave.
Crea un llavero de claves en la ubicación correcta. La ubicación del llavero de claves debe corresponder a la ubicación en la que planeas activar Security Command Center.
Para encontrar la ubicación correcta, consulta Ubicación de la llave en esta página. Para obtener información sobre cómo crear un llavero de claves, consulta Crea un llavero de claves.
Crea una clave de Cloud KMS en el llavero de claves. Para obtener instrucciones, consulta Crea una clave.
Para asegurarte de que el agente de servicio de Security Command Center de Cloud tenga los permisos necesarios para encriptar y desencriptar datos, pídele a tu administrador que le otorgue al agente de servicio de Security Command Center de Cloud el siguiente servicio: Rol de IAM de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Es posible que tu administrador también pueda otorgar los permisos necesarios al agente de servicio de Cloud Security Command Center a través de roles personalizados o de otros roles predefinidos.
Ubicación de la clave
Cuando crees una clave y un llavero de claves de Cloud KMS para Security Command Center, debes usar una ubicación que corresponda a la ubicación de Security Command Center.
Si no planeas habilitar la residencia de datos para Security Command Center, crea tu clave y llavero de claves de Cloud KMS en la ubicación us.
Si planeas habilitar la residencia de datos, elige la ubicación de Cloud KMS que corresponda a tu ubicación de Security Command Center:
| Ubicación de Security Command Center | Ubicación de la clave de Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Cambios en la clave de CMEK
Después de activar Security Command Center con CMEK, no podrás cambiar la clave de Cloud KMS ni cambiar a un Google-owned and Google-managed encryption key.
Puedes rotar la clave de CMEK, lo que hará que Security Command Center use la nueva versión de la clave. Sin embargo, algunas capacidades de Security Command Center seguirán usando la clave anterior durante 30 días.
Tipos de recursos admitidos
La CMEK encripta los datos de los siguientes tipos de recursos de Security Command Center:
- Resultados
- Configuraciones de notificación
- Exportaciones de BigQuery
- Configuración de silencio
Restricciones de las políticas de la organización de CMEK
Para aplicar el uso de CMEK en Security Command Center, puedes aplicar las siguientes restricciones de políticas de la organización a nivel de la organización, la carpeta o el proyecto:
constraints/gcp.restrictNonCmekServices: Requiere que uses CMEK. Si aplicasconstraints/gcp.restrictNonCmekServicesen una organización y enumeraste Security Command Center como un servicio restringido que se requiere para usar la CMEK, debes habilitar la CMEK cuando actives Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: Requiere que la clave de CMEK para Security Command Center provenga de un proyecto específico o de un conjunto de proyectos.
Si aplicas ambas restricciones en la organización en la que activas Security Command Center, este te exigirá que habilites la CMEK y que la clave de CMEK se encuentre en un proyecto específico.
Para obtener información sobre cómo se evalúan las políticas de la organización en la jerarquía de recursos deGoogle Cloud (organizaciones, carpetas y proyectos), consulta Comprende la evaluación de jerarquías.
Para obtener información general sobre el uso de las políticas de la organización de CMEK, consulta Políticas de la organización de CMEK.
Configura la CMEK para Security Command Center
Para usar CMEK con Security Command Center, sigue estos pasos:
Cuando actives Security Command Center para una organización, selecciona Editar encriptación de datos.
Se abrirá el panel Editar la configuración de encriptación de datos.
Selecciona Clave de Cloud KMS.
Selecciona un proyecto.
Selecciona una llave. Puedes seleccionar una clave de cualquier Google Cloud proyecto, incluidos los proyectos de otras organizaciones. En la lista, solo se muestran las claves en ubicaciones compatibles.
Para saber qué ubicaciones clave son compatibles con Security Command Center, consulta Ubicación clave en esta página.
Haz clic en Listo y continúa con el proceso de activación de Security Command Center.
Después de activar Security Command Center para tu organización, este encriptará tus datos con la clave de Cloud KMS que elijas.
Soluciona problemas relacionados con la CMEK
En las siguientes secciones, se explica cómo resolver los problemas que pueden ocurrir con los tipos de recursos que admiten CMEK.
Restablece el acceso del agente de servicio a las claves
Con la CMEK habilitada, el agente de servicio de Cloud Security Command Center debe tener acceso a tu clave de Cloud KMS. Si este agente de servicio no tiene el rol de IAM requerido en tu clave, algunas funciones de Security Command Center no funcionarán correctamente.
Para determinar si tienes este problema, consulta la lista de principales que tienen acceso a tu clave.
Si el agente de servicio está configurado correctamente, la lista incluye un principal con el identificador service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com y el rol de encriptador/desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Si no ves este principal y este rol, otorga el rol requerido al agente de servicio en tu clave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Reemplaza lo siguiente:
KEY_RING: Es el llavero de claves de tu clave de Cloud KMS.LOCATION: Es la ubicación de tu clave de Cloud KMS.KEY_NAME: El nombre de tu clave de Cloud KMSORGANIZATION_NUMBER: El número de tu organización
Restablece las claves inhabilitadas o programadas para su destrucción
Si se inhabilita una clave o versión de clave de Cloud KMS, puedes habilitar una versión de clave.
Del mismo modo, si una clave de Cloud KMS está programada para su destrucción, puedes restablecer una versión de clave. Después de que se destruye una clave, no puedes recuperarla y no tendrás acceso a los recursos de Security Command Center que admiten la CMEK.
Cómo resolver errores al crear recursos protegidos
Si eliges Google-owned and Google-managed encryption keys cuando activas Security Command Center y, luego, aplicas una restricción de política de la organización de CMEK dentro de esa organización, no podrás crear nuevos recursos que admitan CMEK.
Si no puedes crear estos recursos, verifica si se aplica una restricción de política de la organización de CMEK a tu organización o a cualquier proyecto o carpeta de esa organización. Para obtener más información, consulta las restricciones de las políticas de la organización relativas a CMEK en esta página.
Cuotas y precios
Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias encriptadas con CMEK consumen cuotas cuando leen o escriben datos en Security Command Center. Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS solo si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.
Además, se aplican cargos de Cloud KMS cuando Security Command Center usa tu CMEK para encriptar o desencriptar datos. Para obtener más información, consulta Precios de Cloud KMS.