De forma predeterminada, Security Command Center encripta el contenido del cliente en reposo. Security Command Center controla la encriptación por ti sin que tengas que realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Security Command Center. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Security Command Center es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Para una mejor separación de tareas y control sobre el acceso a las claves, te recomendamos que administres las claves en un proyecto dedicado sin otros Google Cloud recursos.Puedes configurar Security Command Center para que use claves de Cloud Key Management Service (Cloud KMS) cuando actives Security Command Center para la organización. También puedes cambiar la configuración después de que se active Security Command Center.
No puedes habilitar CMEK con las activaciones de Security Command Center a nivel del proyecto.
Para obtener más información sobre cómo activar Security Command Center y cambiar la configuración, consulta lo siguiente:
- Activa el nivel Standard de Security Command Center para una organización
- Activa el nivel Premium de Security Command Center para una organización
- Modifica la configuración de residencia de datos o encriptación de datos
Puedes usar restricciones de políticas de la organización para aplicar una configuración de encriptación obligatoria. Para obtener información sobre el uso de las restricciones de las políticas de la organización relativas a CMEK y Security Command Center, consulta Restricciones de las políticas de la organización relativas a CMEK en esta página.
Advertencia: Si inhabilitas, revocas el acceso o destruyes la CMEK después de la activación, Security Command Center dejará de funcionar y podrías perder tus datos de Security Command Center. La destrucción de una versión de clave es permanente y provoca una pérdida de datos irrecuperable.
Tipos de recursos admitidos
Puedes usar CMEK para encriptar datos de los siguientes tipos de recursos de Security Command Center:
- Resultados
- Configuraciones de notificación
- Exportaciones de BigQuery
- Configuraciones de silenciamiento
Cómo volver a configurar la encriptación de datos
Después de activar Security Command Center, puedes cambiar la configuración de encriptación de datos entre las claves de Cloud KMS y Google-owned and Google-managed encryption keys.
Advertencia: Si inhabilitas, revocas el acceso o destruyes la CMEK después de la activación, Security Command Center dejará de funcionar y podrías perder tus datos de Security Command Center. La destrucción de una versión de clave es permanente y provoca una pérdida de datos irrecuperable.
Puedes rotar la clave CMEK, lo que hace que Security Command Center use la nueva versión de clave. Sin embargo, algunas capacidades de Security Command Center seguirán usando la clave anterior durante 30 días.
Antes de comenzar
En la siguiente sección, se describen los pasos que debes realizar antes de cambiar la configuración.
Determina la ubicación de la clave
Cuando creas una clave y un llavero de claves de Cloud KMS para Security Command Center, debes usar una ubicación que corresponda a tu ubicación de Security Command Center.
Si no planeas habilitar
la residencia de datos para Security Command Center,
crea tu clave y llavero de claves de Cloud KMS en la us ubicación.
Si planeas habilitar la residencia de datos, elige la ubicación de Cloud KMS que corresponda a tu ubicación de Security Command Center:
| Ubicación de Security Command Center | Ubicación de la clave de Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Define restricciones de políticas de la organización para CMEK
Para aplicar el uso de CMEK para Security Command Center, puedes aplicar las siguientes restricciones de políticas de la organización a nivel de la organización, la carpeta o el proyecto:
constraints/gcp.restrictNonCmekServices: Requiere que uses CMEK. Si aplicasconstraints/gcp.restrictNonCmekServicesen una organización y enumeraste Security Command Center como un servicio restringido que requiere el uso de CMEK, debes habilitar CMEK cuando actives Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: Requiere que la clave de Cloud KMS para Security Command Center provenga de un proyecto o conjunto de proyectos específicos.
Si aplicas ambas restricciones en la organización en la que activas Security Command Center, Security Command Center requiere que habilites CMEK y que la clave CMEK se encuentre en un proyecto específico.
Para obtener información sobre cómo se evalúan las políticas de la organización en la Google Cloud jerarquía de recursos (organizaciones, carpetas y proyectos), consulta Comprende la evaluación de jerarquías.
Para obtener información general sobre el uso de las políticas de la organización relativas a CMEK, consulta Políticas de la organización relativas a CMEK.
Configura las claves de Cloud Key Management Service
Antes de configurar Security Command Center para que use CMEK, haz lo siguiente:
Instala y, luego, inicializa Google Cloud CLI:
Instala la Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI con el siguiente comando:
gcloud initSi usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.
Crea un Google Cloud proyecto con Cloud KMS habilitado. Este es tu proyecto de clave.
Crea un llavero de claves en la ubicación correcta. La ubicación del llavero de claves debe corresponder a la ubicación en la que planeas activar Security Command Center.
Para encontrar la ubicación correcta, consulta Ubicación de la clave en esta página. Para aprender a crear un llavero de claves, consulta Crea un llavero de claves.
Crea una clave de Cloud KMS en el llavero de claves. Para obtener instrucciones, consulta Crea una clave.
Configura la encriptación de datos para Security Command Center
Puedes configurar la encriptación de datos cuando actives el nivel de servicio Standard o Premium de Security Command Center para una organización.
Puedes cambiar la configuración de encriptación de datos en los niveles Standard y Premium después de activar Security Command Center. Para obtener más información, consulta Modifica la configuración de residencia de datos o encriptación de datos.
Después de configurar CMEK, Security Command Center encripta los datos con la clave de Cloud KMS que elegiste.
Solución de problemas de CMEK
En las siguientes secciones, se te ayudará a resolver los problemas que puedan ocurrir con los tipos de recursos que admiten CMEK.
Restablece el acceso del agente de servicio a las claves
Con CMEK habilitado, el agente de servicio de Cloud Security Command Center debe tener acceso a tu clave de Cloud KMS. Si este agente de servicio no tiene el rol de IAM requerido en tu clave, entonces algunas funciones de Security Command Center no funcionarán correctamente.
Para determinar si tienes este problema, consulta la lista de
principales que tienen acceso a tu clave.
Si el agente de servicio está configurado correctamente, la lista incluye un principal
con el identificador
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
y el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Si no ves este principal y rol, otorga el rol requerido al agente de servicio en tu clave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Reemplaza lo siguiente:
KEY_RING: Es el llavero de claves de tu clave de Cloud KMS.LOCATION: Es la ubicación de tu clave de Cloud KMS.KEY_NAME: Es el nombre de tu clave de Cloud KMS.ORGANIZATION_NUMBER: Es tu número de organización.
Restablece las claves que están inhabilitadas o programadas para su destrucción
Si una clave o versión de clave de Cloud KMS está inhabilitada, puedes habilitar una versión de clave.
Del mismo modo, si una clave de Cloud KMS está programada para su destrucción, entonces puedes restablecer una versión de clave. Después de que se destruye una clave, no puedes recuperarla y no tendrás acceso a los recursos de Security Command Center que admiten CMEK.
Resuelve errores al crear recursos protegidos
Si eliges Google-owned and Google-managed encryption keys cuando activas Security Command Center y, luego, aplicas una restricción de políticas de la organización relativas a CMEK dentro de esa organización, no podrás crear recursos nuevos que admitan CMEK.
Si no puedes crear estos recursos, verifica si se aplica una restricción de políticas de la organización relativas a CMEK para tu organización o para cualquier proyecto o carpeta de esa organización. Para obtener más información, consulta Restricciones de las políticas de la organización relativas a CMEK en esta página.
Cuotas y precios
Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias encriptadas con CMEK consumen cuotas cuando leen o escriben datos en Security Command Center. Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS solo si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta Cuotas de Cloud KMS.
Además, se aplican cargos de Cloud KMS cuando Security Command Center usa tu CMEK para encriptar o desencriptar datos. Para obtener más información, consulta Precios de Cloud KMS.