Por padrão, o Security Command Center criptografa o conteúdo do cliente em repouso. O Security Command Center executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Security Command Center. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Security Command Center é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para oferecer suporte à separação de tarefas e maior controle sobre o acesso às chaves, recomendamos que você crie e gerencie chaves em um projeto separado que não inclua outros recursos do Google Cloud .
Ao usar a CMEK no Security Command Center, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. As instâncias criptografadas com CMEK consomem cotas ao ler ou gravar dados no Security Command Center. As operações de criptografia e descriptografia que usam chaves CMEK afetam as cotas do Cloud KMS somente se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.Para usar o Security Command Center com a CMEK, escolha essa opção ao ativar uma organização do Security Command Center. Depois de ativar o Security Command Center, não é mais possível configurar a criptografia de dados. Não é possível configurar a CMEK durante a ativação no nível do projeto. Para saber mais, consulte:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o nível Premium do Security Command Center para uma organização
É possível usar políticas da organização da CMEK para aplicar as configurações de criptografia escolhidas ao ativar o Security Command Center. Para informações sobre como usar as políticas da organização de CMEK com o Security Command Center, consulte Usar políticas da organização de CMEK.
A CMEK criptografa os seguintes dados no Security Command Center e na API Security Command Center:
- Descobertas
- Configurações de notificação
- Exportações do BigQuery
- Configurações de silenciamento
Antes de começar
Antes de configurar a CMEK para o Security Command Center, faça o seguinte:
Instale e inicialize a Google Cloud CLI:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Crie um Google Cloud projeto com o Cloud KMS ativado. Esse é o projeto da chave.
Crie um keyring no local correto. O local do keyring precisa corresponder ao local em que você planeja ativar o Security Command Center. Para saber quais locais de keyring correspondem a cada local do Security Command Center, consulte a tabela na seção Local da chave deste documento. Para mais informações sobre como criar um keyring, consulte Criar um keyring.
Crie uma chave do Cloud KMS no keyring. Para mais informações sobre como criar uma chave em um keyring, consulte Criar uma chave.
Para garantir que a conta de serviço do Cloud Security Command Center tenha as permissões
necessárias para criptografar e descriptografar dados,
peça ao administrador para conceder à conta de serviço do Cloud Security Command Center o
papel do IAM de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter)
na chave do Cloud KMS.
O administrador também pode conceder à conta de serviço do Cloud Security Command Center as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.
Local da chave
O local da chave do Cloud KMS precisa corresponder ao local em que você ativou o Security Command Center. A tabela a seguir mostra o local da chave do Cloud KMS correspondente para cada local do Security Command Center.
| Local do Security Command Center | Local da chave do Cloud KMS |
|---|---|
eu |
europe |
global |
us |
sa |
me-central2 |
us |
us |
Se você não ativar a residência de dados
ao ativar o Security Command Center, use global para o local do
Security Command Center e us para o local da chave do Cloud KMS.
Para mais informações sobre a residência de dados, consulte Planejamento da residência de dados.
Se você usar a restrição de política da organização constraints/gcp.restrictNonCmekServices com o Security Command Center, a CMEK será a única opção de criptografia disponível.
Limitações
Estas são as limitações do uso de CMEK com o Security Command Center:
- Se você já tiver ativado o Security Command Center em uma organização ou um projeto na organização que está ativando, não será possível usar a CMEK no Security Command Center para essa organização.
- Não é possível configurar a CMEK durante a ativação no nível do projeto.
Não é possível mudar a chave do Cloud KMS ou alternar para Google-owned and Google-managed encryption key depois de ativar o Security Command Center.
É possível fazer a rotação da chave, o que faz com que o Security Command Center use a nova versão. No entanto, alguns recursos do Security Command Center continuam usando a chave antiga por 30 dias.
Usar políticas da organização de CMEK com o Security Command Center
Para aplicar o uso da CMEK no Security Command Center, aplique as seguintes políticas da organização no nível da organização, da pasta ou do projeto:
constraints/gcp.restrictNonCmekServices, que exige o uso da CMEK. Se você definirconstraints/gcp.restrictNonCmekServicesem uma organização e listar o Security Command Center como um serviço restrito necessário para usar a CMEK, será preciso usar a CMEK ao ativar o Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects, que exige o uso de uma chave de um projeto ou conjunto de projetos específico ao usar a CMEK com o Security Command Center. A política da organizaçãoconstraints/gcp.restrictCmekCryptoKeyProjects, por si só, ainda permite que você escolha a criptografia padrão do Google.
Se você definir constraints/gcp.restrictNonCmekServices e constraints/gcp.restrictCmekCryptoKeyProjects na organização em que ativar o Security Command Center, ele vai exigir o uso da CMEK e que a chave esteja localizada em um projeto específico.
Se você definir constraints/gcp.restrictNonCmekServices em um projeto ou pasta,
use a CMEK na organização em que você ativa o Security Command Center e
liste o Security Command Center como um serviço restrito ou
alguns recursos do Security Command Center não vão funcionar corretamente.
Para informações sobre como as políticas da organização são avaliadas na hierarquia de recursosGoogle Cloud (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação de hierarquia.
Para informações gerais sobre o uso de políticas da organização de CMEK, consulte Políticas da organização de CMEK.
Configurar a CMEK para o Security Command Center
Para usar a CMEK com o Security Command Center, siga estas etapas:
- Durante a ativação do Security Command Center para uma organização, selecione Editar criptografia de dados. O painel Editar configurações de criptografia de dados é aberto.
- Selecione Chave do Cloud KMS.
- Selecione um projeto.
- Selecione uma chave. É possível selecionar uma chave de qualquer Google Cloud projeto, incluindo projetos em outras organizações. Somente as chaves em locais compatíveis aparecem na lista. Para mais informações sobre locais de chaves da CMEK para o Security Command Center, consulte a tabela na seção Local da chave.
- Clique em Concluído e continue o processo de ativação do Security Command Center.
Depois de ativar o Security Command Center para sua organização, ele criptografa seus dados usando a chave do Cloud KMS escolhida.
Verificar a configuração da CMEK
Para verificar se você configurou a CMEK para o Security Command Center:
- No Security Command Center, selecione Configurações.
- Acesse a guia Detalhes do nível.
- Acesse Detalhes da configuração > Criptografia de dados para conferir o nome da chave. Se a CMEK do Security Command Center estiver configurada, o nome da chave vai aparecer como um link depois de Criptografia de dados.
Solução de problemas da CMEK para o Security Command Center
Embora não haja cobrança adicional para ativar a CMEK no Security Command Center Standard e Premium, há cobranças no Cloud KMS quando o Security Command Center usa sua CMEK para criptografar e descriptografar dados. Para mais informações, consulte os preços do Cloud KMS.
Restaurar o acesso ao Security Command Center
Com a CMEK ativada, a conta de serviço do Security Command Center precisa de acesso à sua chave do Cloud KMS para funcionar. Não revogue as permissões da conta de serviço para a CMEK, desative a CMEK nem programe a destruição dela. Essas ações fazem com que os seguintes recursos do Security Command Center parem de funcionar:
- Descobertas
- Configurações de exportações contínuas
- Exportações do BigQuery
- Regras de silenciamento
Se a chave do Cloud KMS não estiver disponível quando você tentar usar o Security Command Center, uma mensagem de erro ou um erro da API FAILED_PRECONDITION vai aparecer.
Você pode perder recursos do Security Command Center porque uma chave do Cloud KMS tem um dos seguintes problemas:
- O papel Criptografador/Descriptografador de CryptoKey do Cloud KMS na chave da conta de serviço pode ter sido revogado. É possível restaurar o acesso ao Security Command Center depois que uma chave é revogada.
- A chave do Cloud KMS pode ter sido desativada. É possível restaurar o acesso ao Security Command Center depois que uma chave é desativada.
- A chave pode estar programada para destruição. É possível restaurar o acesso ao Security Command Center depois que uma chave é programada para destruição.
Restaurar o acesso ao Security Command Center depois que uma chave é revogada
Para restaurar o acesso à sua chave no Security Command Center, conceda à conta de serviço do Cloud Security Command Center o papel de criptografador/descriptografador de CryptoKey do Cloud KMS na chave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Substitua:
- KEY_RING: o keyring da sua chave do Cloud KMS
- LOCATION: o local da chave do Cloud KMS
- KEY_NAME: o nome da chave do Cloud KMS
- ORG_NUMBER: o número da organização
Restaurar o acesso ao Security Command Center depois que uma chave é desativada
Para mais informações sobre como ativar uma chave desativada, consulte Ativar uma versão de chave.
Restaurar o acesso ao Security Command Center depois que uma chave é programada para destruição
Para mais informações sobre como restaurar uma chave programada para destruição, consulte Destruir e restaurar versões de chave.
Depois que uma chave é destruída, não é possível recuperá-la nem restaurar o acesso ao Security Command Center.
Erros ao criar recursos protegidos
Se você tiver um erro ao criar novas descobertas, configurações de notificação, configurações de silenciamento ou exportações do BigQuery, verifique se uma política da organização de CMEK está definida para sua organização ou para projetos ou pastas nela.
Se você escolher Google-owned and Google-managed encryption keys ao ativar uma
organização do Security Command Center e definir a política da organização de CMEK constraints/gcp.restrictNonCmekServices
em um projeto ou pasta da organização e
listar o Security Command Center como um serviço restrito, não será possível criar novos recursos protegidos
nesse projeto ou pasta. Para mais informações, consulte
Usar políticas da organização de CMEK com o Security Command Center.
Preços
Embora não haja cobrança extra para ativar a CMEK no Security Command Center Standard ou Premium, as cobranças se aplicam no Cloud KMS quando o Security Command Center usa sua CMEK para criptografar ou descriptografar dados. Para mais informações, consulte Preços do Cloud KMS.