Questa pagina è stata tradotta dall'API Cloud Translation.

Attivare CMEK per Security Command Center

Per impostazione predefinita, Security Command Center cripta i contenuti inattivi dei clienti. Security Command Center gestisce la crittografia per tuo conto senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, incluso Security Command Center. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Security Command Center è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Per supportare la separazione dei compiti e un maggiore controllo dell'accesso alle chiavi, ti consigliamo di creare e gestire le chiavi in un progetto separato che non includa altre risorse Google Cloud .

Quando utilizzi CMEK in Security Command Center, i tuoi progetti possono consumare le quote di richieste crittografiche di Cloud KMS. Le istanze criptate con CMEK consumano quote durante la lettura o la scrittura di dati in Security Command Center. Le operazioni di crittografia e decrittografia che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.

Per utilizzare Security Command Center con CMEK, devi scegliere CMEK quando attivi un'organizzazione Security Command Center. Dopo aver attivato Security Command Center, non puoi più configurare la crittografia dei dati. Non puoi configurare CMEK durante l'attivazione a livello di progetto. Per saperne di più, consulta le seguenti risorse:

Puoi utilizzare i criteri dell'organizzazione CMEK per applicare le impostazioni di crittografia che hai scelto quando attivi Security Command Center. Per informazioni sull'utilizzo delle policy dell'organizzazione CMEK con Security Command Center, consulta Utilizzare le policy dell'organizzazione CMEK.

CMEK cripta i seguenti dati in Security Command Center e nell'API Security Command Center:

Risultati
Configurazioni delle notifiche
esportazioni BigQuery
Configurazioni di disattivazione

Prima di iniziare

Prima di configurare CMEK per Security Command Center:

Installa e inizializza Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crea un progetto Google Cloud con Cloud KMS abilitato. Questo è il tuo progetto chiave.
Crea un keyring nella posizione corretta. La posizione del portachiavi deve corrispondere alla posizione in cui prevedi di attivare Security Command Center. Per vedere quali posizioni del portachiavi corrispondono a ciascuna posizione di Security Command Center, consulta la tabella nella sezione Posizione della chiave di questo documento. Per saperne di più su come creare un portachiavi, vedi Creare un portachiavi.
Crea una chiave Cloud KMS sul keyring. Per saperne di più su come creare una chiave su un portachiavi, vedi Creare una chiave.
Per assicurarti che il service account Cloud Security Command Center disponga delle autorizzazioni necessarie per criptare e decriptare i dati, chiedi all'amministratore di concedere al service account Cloud Security Command Center il ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave Cloud KMS.
Importante: devi concedere questo ruolo al service account Cloud Security Command Center, non al tuo account utente. La mancata concessione del ruolo all'entità corretta potrebbe comportare errori di autorizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al service account Cloud Security Command Center le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Località chiave

La posizione della chiave Cloud KMS deve corrispondere alla posizione in cui hai attivato Security Command Center. La seguente tabella mostra la posizione della chiave Cloud KMS corrispondente per ogni posizione di Security Command Center.

Posizione di Security Command Center	Posizione della chiave Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Se non abiliti la residenza dei dati quando attivi Security Command Center, utilizza global per la posizione di Security Command Center e us per la posizione della chiave Cloud KMS. Per saperne di più sulla residenza dei dati, consulta Pianificare la residenza dei dati.

Se utilizzi il vincolo della policy dell'organizzazione constraints/gcp.restrictNonCmekServices con Security Command Center, CMEK è l'unica opzione di crittografia a tua disposizione.

Limitazioni

Di seguito sono riportate le limitazioni dell'utilizzo di CMEK con Security Command Center:

Se hai già attivato Security Command Center in un'organizzazione o in un progetto dell'organizzazione che stai attivando, non puoi utilizzare CMEK in Security Command Center per quell'organizzazione.
Non puoi configurare CMEK durante l'attivazione a livello di progetto.
Non puoi modificare la chiave Cloud KMS o passare a Google-owned and Google-managed encryption key dopo aver attivato Security Command Center.

Avviso: se disattivi, revochi l'accesso o distruggi la CMEK dopo l'attivazione, Security Command Center smette di funzionare e potresti perdere i dati di Security Command Center. L'eliminazione di una versione della chiave è permanente e causa la perdita non recuperabile dei dati.
Puoi ruotare la chiave, in modo che Security Command Center utilizzi la nuova versione della chiave. Tuttavia, alcune funzionalità di Security Command Center continuano a utilizzare la vecchia chiave per 30 giorni.

Utilizza le policy dell'organizzazione CMEK con Security Command Center

Per applicare l'utilizzo di CMEK per Security Command Center, puoi applicare i seguenti criteri dell'organizzazione a livello di organizzazione, cartella o progetto:

constraints/gcp.restrictNonCmekServices, che richiede l'utilizzo di CMEK. Se imposti constraints/gcp.restrictNonCmekServices in un'organizzazione e hai elencato Security Command Center come servizio con limitazioni richiesto per utilizzare CMEK, devi utilizzare CMEK quando attivi Security Command Center.
constraints/gcp.restrictCmekCryptoKeyProjects, che richiede l'utilizzo di una chiave di un progetto o di un insieme di progetti specifico quando utilizzi CMEK con Security Command Center. La policy dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects, da sola, ti consente comunque di scegliere la crittografia predefinita di Google.

Se imposti sia constraints/gcp.restrictNonCmekServices che constraints/gcp.restrictCmekCryptoKeyProjects nell'organizzazione in cui attivi Security Command Center, Security Command Center richiede l'utilizzo di CMEK e che la chiave CMEK si trovi in un progetto specifico.

Se imposti constraints/gcp.restrictNonCmekServices su un progetto o una cartella, devi utilizzare CMEK nell'organizzazione in cui attivi Security Command Center e elencare Security Command Center come servizio con limitazioni, altrimenti alcune funzionalità di Security Command Center non funzioneranno correttamente.

Per informazioni su come vengono valutati i criteri dell'organizzazione nella Google Cloud gerarchia delle risorse (organizzazioni, cartelle e progetti), consulta Informazioni sulla valutazione della gerarchia.

Per informazioni generali sull'utilizzo delle policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.

Configura CMEK per Security Command Center

Per utilizzare CMEK con Security Command Center, segui questi passaggi:

Durante l'attivazione di Security Command Center per un'organizzazione, seleziona Modifica crittografia dei dati. Viene visualizzato il riquadro Modifica le impostazioni di crittografia dei dati.
Seleziona Chiave Cloud KMS.
Seleziona un progetto.
Seleziona una chiave. Puoi selezionare una chiave da qualsiasi Google Cloud progetto, inclusi i progetti di altre organizzazioni. Nell'elenco vengono visualizzate solo le chiavi in posizioni compatibili. Per saperne di più sulle posizioni delle chiavi per CMEK per Security Command Center, consulta la tabella nella sezione Posizione della chiave.
Fai clic su Fine e continua la procedura di attivazione di Security Command Center.

Dopo aver attivato Security Command Center per la tua organizzazione, Security Command Center cripta i tuoi dati utilizzando la chiave Cloud KMS che hai scelto.

Controllare la configurazione CMEK

Per verificare di aver configurato correttamente CMEK per Security Command Center:

In Security Command Center, seleziona Impostazioni.
Vai alla scheda Dettagli livello.
Vai a Dettagli configurazione > Crittografia dei dati per visualizzare il nome della chiave. Se è configurata la chiave CMEK per Security Command Center, il nome della chiave viene visualizzato come link dopo Crittografia dei dati.

Risoluzione dei problemi relativi a CMEK per Security Command Center

Sebbene non siano previsti costi aggiuntivi per abilitare CMEK in Security Command Center Standard e Premium, in Cloud KMS vengono applicati addebiti quando Security Command Center utilizza CMEK per criptare e decriptare i dati. Per ulteriori informazioni, consulta la pagina Prezzi di Cloud KMS.

Ripristinare l'accesso a Security Command Center

Con CMEK abilitata, il account di servizio Security Command Center richiede l'accesso alla chiave Cloud KMS per funzionare. Non revocare le autorizzazioni dell'account di servizio per la chiave CMEK, disattivare la chiave CMEK o pianificarne l'eliminazione. Queste azioni causano l'interruzione del funzionamento delle seguenti funzionalità di Security Command Center:

Risultati
Configurazioni delle esportazioni continue
esportazioni BigQuery
Regole di disattivazione

Se la chiave Cloud KMS non è disponibile quando provi a utilizzare Security Command Center, visualizzerai un messaggio di errore o un errore API FAILED_PRECONDITION.

Puoi perdere le funzionalità di Security Command Center perché una chiave Cloud KMS presenta uno dei seguenti problemi:

Il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS sulla chiave dell'account di servizio potrebbe essere stato revocato. Puoi ripristinare l'accesso a Security Command Center dopo la revoca di una chiave.
La chiave Cloud KMS potrebbe essere stata disattivata. Puoi ripristinare l'accesso a Security Command Center dopo la disattivazione di una chiave.
Potrebbe essere stata pianificata l'eliminazione della chiave. Puoi ripristinare l'accesso a Security Command Center dopo la pianificazione della distruzione di una chiave.

Ripristinare l'accesso a Security Command Center dopo la revoca di una chiave

Per ripristinare l'accesso alla chiave in Security Command Center, concedi all'account di servizio Cloud Security Command Center il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS sulla chiave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

KEY_RING: il portachiavi per la chiave Cloud KMS
LOCATION: la posizione della chiave Cloud KMS
KEY_NAME: il nome della chiave Cloud KMS
ORG_NUMBER: il numero della tua organizzazione

Ripristinare l'accesso a Security Command Center dopo la disattivazione di una chiave

Per saperne di più su come abilitare una versione della chiave disattivata, vedi Abilitare una versione della chiave.

Ripristinare l'accesso a Security Command Center dopo la pianificazione dell'eliminazione di una chiave

Per ulteriori informazioni su come ripristinare una chiave per la quale è stata pianificata l'eliminazione, consulta Eliminare e ripristinare le versioni delle chiavi.

Una volta eliminata una chiave, non puoi recuperarla e non puoi ripristinare l'accesso a Security Command Center.

Errori durante la creazione di risorse protette

Se si verifica un errore durante la creazione di nuovi risultati, configurazioni di notifiche, configurazioni di disattivazione o esportazioni BigQuery, controlla se è impostato un criterio dell'organizzazione CMEK per la tua organizzazione o per qualsiasi progetto o cartella dell'organizzazione.

Se scegli Google-owned and Google-managed encryption keys quando attivi un'organizzazione Security Command Center e imposti il criterio dell'organizzazione CMEK constraints/gcp.restrictNonCmekServices su un progetto o una cartella dell'organizzazione ed elenchi Security Command Center come servizio con limitazioni, non puoi creare nuove risorse protette in quel progetto o in quella cartella. Per ulteriori informazioni, vedi Utilizzare le policy dell'organizzazione CMEK con Security Command Center.

Prezzi

Sebbene non siano previsti costi aggiuntivi per abilitare CMEK in Security Command Center Standard o Premium, in Cloud KMS vengono applicati addebiti quando Security Command Center utilizza la tua CMEK per criptare o decriptare i dati. Per ulteriori informazioni, consulta la pagina Prezzi di Cloud KMS.