Attivare CMEK per Security Command Center

Per impostazione predefinita, Security Command Center cripta i contenuti inattivi dei clienti. Security Command Center gestisce la crittografia per tuo conto senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Security Command Center. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Security Command Center è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Per supportare la separazione dei compiti e un maggiore controllo sull'accesso alle chiavi, ti consigliamo di creare e gestire le chiavi in un progetto separato che non includa altre risorse Google Cloud .

Per abilitare CMEK per Security Command Center, devi scegliere la crittografia dei dati di Cloud KMS quando attivi un'organizzazione Security Command Center. Dopo aver attivato Security Command Center, non puoi più configurare la crittografia dei dati. Non puoi attivare CMEK durante l'attivazione a livello di progetto. Per saperne di più, consulta quanto segue:

Puoi utilizzare i vincoli dei criteri dell'organizzazione CMEK per applicare le impostazioni di crittografia quando attivi Security Command Center. Per informazioni sull'utilizzo dei vincoli dei criteri dell'organizzazione CMEK e di Security Command Center, consulta la sezione Vincoli dei criteri dell'organizzazione CMEK in questa pagina.

Prima di iniziare

Prima di configurare CMEK per Security Command Center:

  1. Installa e inizializza Google Cloud CLI:

    1. Install the Google Cloud CLI.

    2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    3. To initialize the gcloud CLI, run the following command: 

      gcloud init

  2. Crea un progetto Google Cloud con Cloud KMS abilitato. Questo è il tuo progetto chiave�.

  3. Crea un keyring nella posizione corretta. La posizione del keyring deve corrispondere alla posizione in cui prevedi di attivare Security Command Center.

    Per trovare la posizione corretta, vedi Posizione chiave in questa pagina. Per scoprire come creare un keyring, consulta Creare un keyring.

  4. Crea una chiave Cloud KMS sul keyring. Per le istruzioni, vedi Creare una chiave.

  5. Per assicurarti che l'agente di servizio Cloud Security Command Center disponga delle autorizzazioni necessarie per criptare e decriptare i dati, chiedi all'amministratore di concedere all'agente di servizio Cloud Security Command Center il ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave Cloud KMS. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    L'amministratore potrebbe anche essere in grado di concedere all'agente di servizio Cloud Security Command Center le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Località chiave

Quando crei una chiave e un keyring Cloud KMS per Security Command Center, devi utilizzare una località corrispondente a quella di Security Command Center.

Se non prevedi di abilitare la residenza dei dati per Security Command Center, crea la chiave Cloud KMS e il portachiavi nella località us.

Se prevedi di abilitare la residenza dei dati, scegli la località Cloud KMS corrispondente alla località di Security Command Center:

Posizione di Security Command Center Posizione della chiave Cloud KMS
eu europe
sa me-central2
us us

Modifiche alla chiave CMEK

Dopo aver attivato Security Command Center con CMEK, non puoi modificare la chiave Cloud KMS o passare a un Google-owned and Google-managed encryption key.

Puoi ruotare la chiave CMEK, in modo che Security Command Center utilizzi la nuova versione della chiave. Tuttavia, alcune funzionalità di Security Command Center continuano a utilizzare la vecchia chiave per 30 giorni.

Tipi di risorse supportati

CMEK cripta i dati per i seguenti tipi di risorse di Security Command Center:

  • Risultati
  • Configurazioni delle notifiche
  • esportazioni BigQuery
  • Configurazioni di disattivazione

Vincoli delle policy dell'organizzazione CMEK

Per applicare l'utilizzo di CMEK per Security Command Center, puoi applicare i seguenti vincoli dei criteri dell'organizzazione a livello di organizzazione, cartella o progetto:

  • constraints/gcp.restrictNonCmekServices: richiede l'utilizzo di CMEK. Se applichi constraints/gcp.restrictNonCmekServices a un'organizzazione e hai elencato Security Command Center come servizio con limitazioni necessario per utilizzare CMEK, devi abilitare CMEK quando attivi Security Command Center.

  • constraints/gcp.restrictCmekCryptoKeyProjects: richiede che la chiave CMEK per Security Command Center provenga da un progetto o da un insieme di progetti specifici.

Se applichi entrambi questi vincoli all'organizzazione in cui attivi Security Command Center, Security Command Center richiede di abilitare CMEK e che la chiave CMEK si trovi in un progetto specifico.

Per informazioni su come vengono valutati i criteri dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta Informazioni sulla valutazione della gerarchia.

Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.

Configura CMEK per Security Command Center

Per utilizzare CMEK con Security Command Center, segui questi passaggi:

  1. Quando attivi Security Command Center per un'organizzazione, seleziona Modifica crittografia dei dati.

    Viene visualizzato il riquadro Modifica le impostazioni di crittografia dei dati.

  2. Seleziona Chiave Cloud KMS.

  3. Seleziona un progetto.

  4. Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi nelle posizioni compatibili.

    Per scoprire quali posizioni chiave sono compatibili con Security Command Center, consulta la sezione Posizione chiave in questa pagina.

  5. Fai clic su Fine e continua la procedura di attivazione di Security Command Center.

Dopo aver attivato Security Command Center per la tua organizzazione, Security Command Center cripta i tuoi dati utilizzando la chiave Cloud KMS che hai scelto.

Risoluzione dei problemi relativi a CMEK

Le seguenti sezioni ti aiutano a risolvere i problemi che potrebbero verificarsi con i tipi di risorse che supportano CMEK.

Ripristina l'accesso del service agent alle chiavi

Con CMEK abilitata, il service agent Cloud Security Command Center deve avere accesso alla tua chiave Cloud KMS. Se questo service agent non dispone del ruolo IAM richiesto per la tua chiave, allora alcune funzionalità di Security Command Center non funzioneranno correttamente.

Per determinare se hai questo problema, visualizza l'elenco delle entità che hanno accesso alla tua chiave. Se il service agent è configurato correttamente, l'elenco include un principal con l'identificatore service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com e il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Se non vedi questa entità e questo ruolo, concedi il ruolo richiesto all'agente di servizio sulla chiave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

  • KEY_RING: il portachiavi per la tua chiave Cloud KMS
  • LOCATION: la posizione della tua chiave Cloud KMS
  • KEY_NAME: il nome della chiave Cloud KMS
  • ORGANIZATION_NUMBER: il numero dell'organizzazione

Ripristinare le chiavi disattivate o con eliminazione programmata

Se una chiave o una versione della chiave Cloud KMS è disabilitata, puoi abilitare una versione della chiave.

Allo stesso modo, se è pianificata l'eliminazione di una chiave Cloud KMS, puoi ripristinare una versione della chiave. Una volta distrutta una chiave, non puoi recuperarla e non avrai accesso alle risorse di Security Command Center che supportano CMEK.

Risolvi gli errori durante la creazione di risorse protette

Se scegli Google-owned and Google-managed encryption keys quando attivi Security Command Center e poi applichi un vincolo dei criteri dell'organizzazione CMEK all'interno di questa organizzazione, non potrai creare nuove risorse che supportano CMEK.

Se non riesci a creare queste risorse, controlla se è applicato un vincolo di policy dell'organizzazione CMEK per la tua organizzazione o per qualsiasi progetto o cartella dell'organizzazione. Per saperne di più, consulta Vincoli delle policy dell'organizzazione per le chiavi CMEK in questa pagina.

Quote e prezzi

Quando utilizzi CMEK in Security Command Center, i tuoi progetti possono consumare le quote di richieste crittografiche di Cloud KMS. Le istanze criptate con CMEK consumano quote durante la lettura o la scrittura di dati in Security Command Center. Le operazioni di crittografia e decrittografia che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per maggiori informazioni, consulta la pagina Quote di Cloud KMS.

Inoltre, vengono applicati costi Cloud KMS quando Security Command Center utilizza la tua CMEK per criptare o decriptare i dati. Per maggiori informazioni, consulta la pagina Prezzi di Cloud KMS.