Por padrão, o Security Command Center criptografa o conteúdo do cliente em repouso. O Security Command Center processa a criptografia para você sem nenhuma ação adicional da sua parte. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Security Command Center. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar seus recursos com CMEKs, a experiência de acesso aos seus recursos do Security Command Center é semelhante ao uso da criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para oferecer suporte à separação de tarefas e maior controle sobre o acesso às chaves, recomendamos que você crie e gerencie chaves em um projeto separado que não inclua outros Google Cloud recursos.
Para ativar a CMEK para o Security Command Center, escolha a criptografia de dados do Cloud KMS ao ativar uma organização do Security Command Center. Depois de ativar o Security Command Center, não é mais possível configurar a criptografia de dados. Não é possível ativar a CMEK durante a ativação no nível do projeto. Para saber mais, consulte o seguinte:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o Security Command Center Premium para uma organização
É possível usar restrições de política da organização CMEK para aplicar as configurações de criptografia ao ativar o Security Command Center. Para informações sobre como usar restrições de política da organização CMEK e o Security Command Center, consulte Restrições de política da organização CMEK nesta página.
Antes de começar
Antes de configurar a CMEK para o Security Command Center, faça o seguinte:
Instale e inicialize a Google Cloud CLI:
-
Instale a Google Cloud CLI.
-
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init
-
Crie um Google Cloud projeto com o Cloud KMS ativado. Esse é o projeto de chave.
Crie um keyring no local correto. O local do keyring precisa corresponder ao local em que você planeja ativar o Security Command Center.
Para encontrar o local correto, consulte Local da chave nesta página. Para saber como criar um keyring, consulte Criar um keyring.
Crie uma chave do Cloud KMS no keyring. Para instruções, consulte Criar uma chave.
Para garantir que o agente de serviço do Cloud Security Command Center tenha as permissões necessárias para criptografar e descriptografar dados, peça ao administrador para conceder ao agente de serviço do Cloud Security Command Center o papel do IAM de Criptografador/Descriptografador de CryptoKey do Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave do Cloud KMS. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.O administrador também pode conceder ao agente de serviço do Cloud Security Command Center as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.
Local da chave
Ao criar uma chave e um keyring do Cloud KMS para o Security Command Center, use um local que corresponda ao local do Security Command Center.
Se você não planeja ativar
a residência de dados para o Security Command Center,
crie a chave e o keyring do Cloud KMS no local us.
Se você planeja ativar a residência de dados, escolha o local do Cloud KMS que corresponde ao local do Security Command Center:
| Local do Security Command Center | Local da chave do Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Alterações na chave CMEK
Depois de ativar o Security Command Center com a CMEK, não é possível mudar a chave do Cloud KMS ou alternar para uma Google-owned and Google-managed encryption key.
É possível girar a chave CMEK, o que faz com que o Security Command Center use a nova versão da chave. No entanto, alguns recursos do Security Command Center continuam usando a chave antiga por 30 dias.
Tipos de recursos compatíveis
A CMEK criptografa dados para os seguintes tipos de recursos do Security Command Center:
- Descobertas
- Configurações de notificação
- BigQuery exports
- Configurações de silenciamento
Restrições de política da organização CMEK
Para aplicar o uso da CMEK para o Security Command Center, é possível aplicar as seguintes restrições de política da organização no nível da organização, da pasta ou do projeto:
constraints/gcp.restrictNonCmekServices: exige o uso da CMEK. Se você aplicarconstraints/gcp.restrictNonCmekServicesa uma organização e tiver listado o Security Command Center como um serviço restrito que precisa usar a CMEK, será necessário ativar a CMEK ao ativar o Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: exige que a chave CMEK do Security Command Center venha de um projeto ou conjunto de projetos específicos.
Se você aplicar essas duas restrições à organização em que ativa o Security Command Center, o Security Command Center vai exigir que você ative a CMEK e que a chave CMEK esteja localizada em um projeto específico.
Para informações sobre como as políticas da organização são avaliadas na Google Cloud hierarquia de recursos (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação da hierarquia.
Para informações gerais sobre o uso de políticas da organização CMEK, consulte Políticas da organização CMEK.
Configurar a CMEK para o Security Command Center
Para usar a CMEK com o Security Command Center, siga estas etapas:
Ao ativar o Security Command Center para uma organização, selecione Editar criptografia de dados.
O painel Editar configurações de criptografia de dados é aberto.
Selecione Chave do Cloud KMS.
Selecione um projeto.
Selecione uma chave. É possível selecionar uma chave de qualquer Google Cloud projeto, incluindo projetos em outras organizações. Somente as chaves em locais compatíveis são mostradas na lista.
Para saber quais locais de chave são compatíveis com o Security Command Center, consulte Local da chave nesta página.
Clique em Concluído e continue o processo de ativação do Security Command Center.
Depois de ativar o Security Command Center para sua organização, o Security Command Center criptografa seus dados usando a chave do Cloud KMS escolhida.
Solução de problemas da CMEK
As seções a seguir ajudam a resolver problemas que podem ocorrer com tipos de recursos que oferecem suporte à CMEK.
Restaurar o acesso do agente de serviço às chaves
Com a CMEK ativada, o agente de serviço do Cloud Security Command Center precisa ter acesso à chave do Cloud KMS. Se esse agente de serviço não tiver o papel do IAM necessário na chave, alguns recursos do Security Command Center não vão funcionar corretamente.
Para determinar se você tem esse problema, consulte a lista de
principais que têm acesso à chave.
Se o agente de serviço estiver configurado corretamente, a lista vai incluir um principal
com o identificador
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
e o papel de criptografador/descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Se você não encontrar esse principal e papel, conceda o papel necessário ao agente de serviço na chave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Substitua:
KEY_RING: o keyring da chave do Cloud KMSLOCATION: o local da chave do Cloud KMSKEY_NAME: o nome da chave do Cloud KMSORGANIZATION_NUMBER: o número da sua organização
Restaurar chaves desativadas ou programadas para destruição
Se uma chave ou versão de chave do Cloud KMS estiver desativada, será possível ativar uma versão de chave.
Da mesma forma, se uma chave do Cloud KMS estiver programada para destruição, será possível restaurar uma versão de chave. Depois que uma chave é destruída, não é possível recuperá-la, e você não terá acesso aos recursos do Security Command Center que oferecem suporte à CMEK.
Resolver erros ao criar recursos protegidos
Se você escolher Google-owned and Google-managed encryption keys ao ativar o Security Command Center e, em seguida, aplicar uma restrição de política da organização CMEK nessa organização, não será possível criar novos recursos que ofereçam suporte à CMEK.
Se não for possível criar esses recursos, verifique se uma restrição de política da organização CMEK está aplicada à sua organização ou a projetos ou pastas nessa organização. Para mais informações, consulte Restrições de política da organização CMEK nesta página.
Cotas e preços
Quando você usa a CMEK no Security Command Center, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. As instâncias criptografadas com CMEK consomem cotas ao ler ou gravar dados no Security Command Center. As operações de criptografia e descriptografia que usam chaves CMEK só afetam as cotas do Cloud KMS se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.
Além disso, as cobranças do Cloud KMS são aplicadas quando o Security Command Center usa a CMEK para criptografar ou descriptografar dados. Para mais informações, consulte os preços do Cloud KMS.