Por padrão, o Security Command Center criptografa o conteúdo do cliente em repouso. O Security Command Center executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Security Command Center. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Security Command Center é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Para uma melhor separação de funções e controle sobre o acesso às chaves, recomendamos gerenciar chaves em um projeto dedicado sem outros recursos do Google Cloud .É possível configurar o Security Command Center para usar chaves de criptografia gerenciadas pelo cliente (CMEK) com chaves do Cloud Key Management Service ao ativar o Security Command Center para a organização. Também é possível mudar a configuração depois que o Security Command Center for ativado.
Não é possível ativar a CMEK com ativações do Security Command Center no nível do projeto.
Para saber mais sobre como ativar o Security Command Center e mudar a configuração, consulte o seguinte:
- Ativar o nível Standard do Security Command Center para uma organização
- Ativar o nível Premium do Security Command Center para uma organização
- Modificar a configuração de residência ou criptografia de dados
É possível usar restrições da política da organização para aplicar uma configuração de criptografia obrigatória. Para informações sobre como usar restrições da política da organização de CMEK e o Security Command Center, consulte Restrições da política da organização de CMEK nesta página.
Aviso: se você desativar, revogar o acesso ou destruir a CMEK após a ativação, o Security Command Center vai parar de funcionar, e você poderá perder os dados dele. A destruição de uma versão da chave é permanente e causa perda irrecuperável de dados.
Tipos de recursos compatíveis
É possível usar a CMEK para criptografar dados dos seguintes tipos de recursos do Security Command Center:
- Descobertas
- Configurações de notificação
- Exportações do BigQuery
- Configurações de silenciamento
Reconfigurar a criptografia de dados
Depois de ativar o Security Command Center, é possível mudar a configuração de criptografia de dados entre chaves do Cloud KMS e Google-owned and Google-managed encryption keys.
Aviso: se você desativar, revogar o acesso ou destruir a CMEK após a ativação, o Security Command Center vai parar de funcionar, e você poderá perder os dados dele. A destruição de uma versão da chave é permanente e causa perda irrecuperável de dados.
Você pode alternar a chave CMEK, o que faz com que o Security Command Center use a nova versão da chave. No entanto, alguns recursos do Security Command Center continuam usando a chave antiga por 30 dias.
Antes de começar
A seção a seguir descreve as etapas a serem realizadas antes de mudar a configuração.
Determinar o local principal
Ao criar uma chave e um keyring do Cloud KMS para o Security Command Center, use um local que corresponda ao local do Security Command Center.
Se você não planeja ativar a
residência de dados para o Security Command Center,
crie a chave e o keyring do Cloud KMS no local us.
Se você planeja ativar a residência de dados, escolha o local do Cloud KMS que corresponde ao local do Security Command Center:
| Local do Security Command Center | Local da chave do Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
Definir restrições da política da organização para CMEK
Para aplicar o uso da CMEK no Security Command Center, é possível aplicar as seguintes restrições de política da organização no nível da organização, da pasta ou do projeto:
constraints/gcp.restrictNonCmekServices: exige o uso da CMEK. Se você aplicarconstraints/gcp.restrictNonCmekServicesem uma organização e listar o Security Command Center como um serviço restrito necessário para usar a CMEK, será preciso ativar a CMEK ao ativar o Security Command Center.constraints/gcp.restrictCmekCryptoKeyProjects: exige que a chave do Cloud KMS para o Security Command Center venha de um projeto ou conjunto de projetos específico.
Se você aplicar essas duas restrições na organização em que ativar o Security Command Center, ele vai exigir que você ative a CMEK e que a chave da CMEK esteja localizada em um projeto específico.
Para informações sobre como as políticas da organização são avaliadas na hierarquia de recursosGoogle Cloud (organizações, pastas e projetos), consulte Noções básicas sobre a avaliação de hierarquia.
Para informações gerais sobre o uso de políticas da organização de CMEK, consulte Políticas da organização de CMEK.
Configurar as chaves do Cloud Key Management Service
Antes de configurar o Security Command Center para usar a CMEK, faça o seguinte:
Instale e inicialize a Google Cloud CLI:
Instale a CLI do Google Cloud. Após a instalação, inicialize a Google Cloud CLI executando o seguinte comando:
gcloud initAo usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.
Crie um Google Cloud projeto com o Cloud KMS ativado. Esse é o projeto de chave.
Crie um keyring no local correto. O local do keyring precisa corresponder ao local em que você planeja ativar o Security Command Center.
Para encontrar o local correto, consulte Localização principal nesta página. Para saber como criar um keyring, consulte Criar um keyring.
Crie uma chave do Cloud KMS no keyring. Para instruções, consulte Criar uma chave.
Configurar a criptografia de dados para o Security Command Center
É possível configurar a criptografia de dados ao ativar o nível de serviço Standard ou Premium do Security Command Center para uma organização.
É possível mudar a configuração de criptografia de dados nos níveis Standard e Premium depois de ativar o Security Command Center. Para mais informações, consulte Modificar a configuração de residência ou criptografia de dados.
Depois de configurar a CMEK, o Security Command Center criptografa os dados usando a chave do Cloud KMS escolhida.
Como resolver problemas do CMEK
As seções a seguir ajudam você a resolver problemas que podem ocorrer com tipos de recursos que oferecem suporte à CMEK.
Restaurar o acesso do agente de serviço às chaves
Com a CMEK ativada, o agente de serviço do Cloud Security Command Center precisa ter acesso à sua chave do Cloud KMS. Se esse agente de serviço não tiver o papel do IAM necessário na sua chave, alguns recursos do Security Command Center não vão funcionar corretamente.
Para determinar se você tem esse problema, confira a lista de
principais que têm acesso à sua chave.
Se o agente de serviço estiver configurado corretamente, a lista vai incluir um principal
com o identificador
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
e o papel de criptografador/descriptografador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter).
Se você não encontrar esse principal e papel, conceda o papel necessário ao agente de serviço na sua chave:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Substitua:
KEY_RING: o keyring da chave do Cloud KMSLOCATION: o local da chave do Cloud KMS.KEY_NAME: o nome da chave do Cloud KMSORGANIZATION_NUMBER: o número da organização
Restaurar chaves desativadas ou programadas para destruição
Se uma chave ou versão de chave do Cloud KMS estiver desativada, você poderá ativar uma versão de chave.
Da mesma forma, se uma chave do Cloud KMS estiver programada para destruição, você poderá restaurar uma versão da chave. Depois que uma chave é destruída, não é possível recuperá-la, e você não terá acesso aos recursos do Security Command Center que oferecem suporte à CMEK.
Resolver erros ao criar recursos protegidos
Se você escolher Google-owned and Google-managed encryption keys ao ativar o Security Command Center e, em seguida, aplicar uma restrição de política da organização da CMEK nessa organização, não será possível criar novos recursos compatíveis com a CMEK.
Se não for possível criar esses recursos, verifique se uma restrição de política da organização de CMEK está sendo aplicada à sua organização ou a projetos ou pastas nela. Para mais informações, consulte Restrições da política da organização de CMEK nesta página.
Cotas e preços
Quando você usa CMEK no Security Command Center, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. As instâncias criptografadas com CMEK consomem cotas ao ler ou gravar dados no Security Command Center. As operações de criptografia e descriptografia que usam chaves CMEK afetam as cotas do Cloud KMS somente se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.
Além disso, as cobranças do Cloud KMS são aplicadas quando o Security Command Center usa sua CMEK para criptografar ou descriptografar dados. Para mais informações, consulte os preços do Cloud KMS.