Per impostazione predefinita, Security Command Center cripta i contenuti inattivi dei clienti at rest. Security Command Center gestisce la crittografia per te senza ulteriori azioni da parte tua. Questa opzione è denominata crittografia predefinita di Google.
Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Security Command Center. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Security Command Center è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Per supportare la separazione dei compiti e un maggiore controllo sull' accesso alle chiavi, ti consigliamo di creare e gestire le chiavi in un progetto separato che non includa altre Google Cloud risorse.
Per abilitare CMEK per Security Command Center, devi scegliere la crittografia dei dati Cloud KMS quando attivi un'organizzazione Security Command Center. Dopo aver attivato Security Command Center, non puoi più configurare la crittografia dei dati. Non puoi abilitare CMEK durante l'attivazione a livello di progetto. Per saperne di più, consulta:
- Attivare il livello Standard di Security Command Center per un'organizzazione
- Attivare il livello Premium di Security Command Center per un'organizzazione
Puoi utilizzare i vincoli delle policy dell'organizzazione CMEK per applicare le impostazioni di crittografia quando attivi Security Command Center. Per informazioni sull'utilizzo dei vincoli delle policy dell'organizzazione CMEK e di Security Command Center, consulta Vincoli delle policy dell'organizzazione CMEK in questa pagina.
Prima di iniziare
Prima di configurare CMEK per Security Command Center:
Installa e inizializza Google Cloud CLI:
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Crea un Google Cloud progetto con Cloud KMS abilitato. Questo è il tuo progetto chiave.
Crea un keyring nella posizione corretta. La posizione del keyring deve corrispondere alla posizione in cui prevedi di attivare Security Command Center.
Per trovare la posizione corretta, consulta Località chiave in questa pagina. Per scoprire come creare un keyring, consulta Creare un keyring.
Crea una chiave Cloud KMS nel keyring. Per le istruzioni, consulta Creare una chiave.
Per assicurarti che il service agent di Cloud Security Command Center disponga delle autorizzazioni necessarie per criptare e decriptare i dati, chiedi all'amministratore di concedere il ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) al service agent di Cloud Security Command Center sulla chiave Cloud KMS. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.L'amministratore potrebbe anche essere in grado di concedere al service agent di Cloud Security Command Center le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
Località chiave
Quando crei una chiave e un keyring Cloud KMS per Security Command Center, devi utilizzare una località che corrisponda alla località di Security Command Center.
Se non prevedi di abilitare
la residenza dei dati per Security Command Center,
crea la chiave e il keyring Cloud KMS nella località us.
Se prevedi di abilitare la residenza dei dati, scegli la località Cloud KMS che corrisponde alla località di Security Command Center:
| Località di Security Command Center | Località della chiave Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Modifiche alla chiave CMEK
Dopo aver attivato Security Command Center con CMEK, non puoi modificare la chiave Cloud KMS o passare a una Google-owned and Google-managed encryption key.
Puoi ruotare la chiave CMEK, in modo che Security Command Center utilizzi la nuova versione della chiave. Tuttavia, alcune funzionalità di Security Command Center continuano a utilizzare la vecchia chiave per 30 giorni.
Tipi di risorse supportati
CMEK cripta i dati per i seguenti tipi di risorse di Security Command Center:
- Risultati
- Configurazioni delle notifiche
- esportazioni BigQuery
- Configurazioni di disattivazione
Vincoli delle policy dell'organizzazione CMEK
Per applicare l'utilizzo di CMEK per Security Command Center, puoi applicare i seguenti vincoli delle policy dell'organizzazione a livello di organizzazione, cartella o progetto:
constraints/gcp.restrictNonCmekServices: richiede l'utilizzo di CMEK. Se applichiconstraints/gcp.restrictNonCmekServicesa un'organizzazione e hai elencato Security Command Center come servizio con limitazioni che deve utilizzare CMEK, devi abilitare CMEK quando attivi Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave CMEK per Security Command Center provenga da un progetto o da un insieme di progetti specifici.
Se applichi entrambi questi vincoli all'organizzazione in cui attivi Security Command Center, Security Command Center ti richiede di abilitare CMEK e che la chiave CMEK si trovi in un progetto specifico.
Per informazioni su come vengono valutate le policy dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta Informazioni sulla valutazione della gerarchia.
Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.
Configurare CMEK per Security Command Center
Per utilizzare CMEK con Security Command Center:
Quando attivi Security Command Center per un'organizzazione, seleziona Modifica crittografia dei dati.
Si apre il riquadro Modifica impostazioni di crittografia dei dati.
Seleziona Chiave Cloud KMS.
Seleziona un progetto.
Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi nelle località compatibili.
Per scoprire quali località delle chiavi sono compatibili con Security Command Center, consulta Località chiave in questa pagina.
Fai clic su Fine e continua la procedura di attivazione di Security Command Center.
Dopo aver attivato Security Command Center per la tua organizzazione, Security Command Center cripta i dati utilizzando la chiave Cloud KMS che hai scelto.
Risoluzione dei problemi relativi a CMEK
Le sezioni seguenti ti aiutano a risolvere i problemi che potrebbero verificarsi con i tipi di risorse che supportano CMEK.
Ripristinare l'accesso del service agent alle chiavi
Con CMEK abilitata, il service agent di Cloud Security Command Center deve avere accesso alla chiave Cloud KMS. Se questo service agent non ha il ruolo IAM richiesto sulla chiave, allora alcune funzionalità di Security Command Center non funzioneranno correttamente.
Per determinare se si verifica questo problema, visualizza l'elenco delle
entità che hanno accesso alla chiave.
Se il service agent è configurato correttamente, l'elenco include un'entità
con l'identificatore
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
e il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Se non vedi questa entità e questo ruolo, concedi il ruolo richiesto al service agent sulla chiave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_RING: il keyring per la chiave Cloud KMSLOCATION: la località della chiave Cloud KMSKEY_NAME: il nome della chiave Cloud KMSORGANIZATION_NUMBER: il numero dell'organizzazione
Ripristinare le chiavi disattivate o con eliminazione programmata
Se una chiave o una versione della chiave Cloud KMS è disattivata, puoi abilitare una versione della chiave.
Allo stesso modo, se una chiave Cloud KMS è programmata per l'eliminazione, puoi ripristinare una versione della chiave. Dopo l'eliminazione di una chiave, non puoi recuperarla e non avrai accesso alle risorse di Security Command Center che supportano CMEK.
Risolvere gli errori durante la creazione di risorse protette
Se scegli Google-owned and Google-managed encryption keys quando attivi Security Command Center e poi applichi un vincolo delle policy dell'organizzazione CMEK all'interno di questa organizzazione, non potrai creare nuove risorse che supportano CMEK.
Se non riesci a creare queste risorse, controlla se è applicato un vincolo delle policy dell'organizzazione CMEK per la tua organizzazione o per eventuali progetti o cartelle dell'organizzazione. Per saperne di più, consulta Vincoli delle policy dell'organizzazione CMEK in questa pagina.
Quote e prezzi
Quando utilizzi CMEK in Security Command Center, i tuoi progetti possono consumare le quote delle richieste di crittografia Cloud KMS. Le istanze criptate con CMEK consumano le quote durante la lettura o la scrittura dei dati in Security Command Center. Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per saperne di più, consulta Quote di Cloud KMS.
Inoltre, si applicano addebiti Cloud KMS quando Security Command Center utilizza la tua CMEK per criptare o decriptare i dati. Per saperne di più, consulta Prezzi di Cloud KMS.