הפעלת CMEK ב-Security Command Center

כברירת מחדל, Security Command Center מצפין את התוכן של הלקוחות במנוחה. ‫Security Command Center מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Security Command Center. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של המפתחות הסימטריים להצפנת מפתחות (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבים של Security Command Center דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

כדי להפריד טוב יותר בין התפקידים ולשלוט בגישה למפתחות, מומלץ לנהל את המפתחות בפרויקט ייעודי ללא משאבים אחרים של Google Cloud .

אתם יכולים להגדיר את Security Command Center כך שישתמש במפתחות הצפנה בניהול הלקוח (CMEK) באמצעות מפתחות Cloud Key Management Service כשמפעילים את Security Command Center לארגון. אפשר גם לשנות את ההגדרה אחרי שמפעילים את Security Command Center.

אי אפשר להפעיל CMEK באמצעות הפעלות ברמת הפרויקט ב-Security Command Center.

מידע נוסף על הפעלת Security Command Center ושינוי ההגדרה זמין במאמרים הבאים:

אפשר להשתמש באילוצים של מדיניות הארגון כדי לאכוף הגדרת הצפנה נדרשת. מידע על שימוש במגבלות של מדיניות הארגון לגבי CMEK וב-Security Command Center זמין בקטע מגבלות של מדיניות הארגון לגבי CMEK בדף הזה.

אזהרה: אם תשביתו את מפתח ה-CMEK, תבטלו את הגישה אליו או תמחקו אותו אחרי ההפעלה,‏ Security Command Center יפסיק לפעול ואתם עלולים לאבד את הנתונים שלכם ב-Security Command Center. השמדה של גרסת מפתח היא פעולה סופית שגורמת לאובדן נתונים שלא ניתן לשחזר.

סוגי המשאבים שנתמכים

אתם יכולים להשתמש ב-CMEK כדי להצפין נתונים עבור סוגי המשאבים הבאים ב-Security Command Center:

  • ממצאים
  • הגדרות של התראות
  • ייצוא ל-BigQuery
  • הגדרות השתקה

הגדרה מחדש של הצפנת נתונים

אחרי שמפעילים את Security Command Center, אפשר לשנות את ההגדרה של הצפנת הנתונים בין מפתחות Cloud KMS לבין Google-owned and Google-managed encryption keys.

אזהרה: אם תשביתו את מפתח ה-CMEK, תבטלו את הגישה אליו או תמחקו אותו אחרי ההפעלה,‏ Security Command Center יפסיק לפעול ואתם עלולים לאבד את הנתונים שלכם ב-Security Command Center. השמדה של גרסת מפתח היא פעולה סופית שגורמת לאובדן נתונים שלא ניתן לשחזר.

אתם יכולים לבצע רוטציה של מפתח ה-CMEK, וכתוצאה מכך Security Command Center ישתמש בגרסת המפתח החדשה. עם זאת, חלק מהיכולות של Security Command Center ממשיכות להשתמש במפתח הישן למשך 30 יום.

לפני שמתחילים

בקטע הבא מפורטים השלבים שצריך לבצע לפני שינוי ההגדרה.

קביעת המיקום המרכזי

כשיוצרים מפתח ואוסף מפתחות של Cloud KMS עבור Security Command Center, צריך להשתמש במיקום שתואם למיקום של Security Command Center.

אם אתם לא מתכננים להפעיל מיקום נתונים ב-Security Command Center, אתם יכולים ליצור את המפתח ואת אוסף המפתחות של Cloud KMS במיקום us.

אם אתם מתכננים להפעיל את מיקום הנתונים, תצטרכו לבחור את המיקום ב-Cloud KMS שמתאים למיקום של Security Command Center:

המיקום של Security Command Center מיקום מפתח Cloud KMS
eu europe
sa me-central2
us us

הגדרה של אילוצים של מדיניות הארגון לגבי CMEK

כדי לאכוף את השימוש ב-CMEK ב-Security Command Center, אתם יכולים לאכוף את אילוצי מדיניות הארגון הבאים ברמת הארגון, התיקייה או הפרויקט:

  • constraints/gcp.restrictNonCmekServices: נדרש שימוש ב-CMEK. אם אתם אוכפים את constraints/gcp.restrictNonCmekServices בארגון, וציינתם את Security Command Center כשירות מוגבל שנדרש לשימוש ב-CMEK, אתם צריכים להפעיל את CMEK כשאתם מפעילים את Security Command Center.

  • constraints/gcp.restrictCmekCryptoKeyProjects: דורש שמפתח Cloud KMS של Security Command Center יגיע מפרויקט ספציפי או מקבוצה ספציפית של פרויקטים.

אם אוכפים את שני האילוצים האלה בארגון שבו מפעילים את Security Command Center, אז כדי להשתמש ב-Security Command Center צריך להפעיל CMEK, ומפתח ה-CMEK צריך להיות ממוקם בפרויקט ספציפי.

במאמר הסבר על הערכת ההיררכיה מוסבר איך מדיניות הארגון מוערכת בGoogle Cloud היררכיית המשאבים (ארגונים, תיקיות ופרויקטים).

מידע כללי על שימוש במדיניות הארגון ל-CMEK זמין במאמר מדיניות הארגון ל-CMEK.

הגדרת המפתחות של Cloud Key Management Service

לפני שמגדירים את Security Command Center לשימוש ב-CMEK, צריך לבצע את הפעולות הבאות:

  1. מתקינים ומפעילים את Google Cloud CLI:

      התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:

      gcloud init

      אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  2. יוצרים Google Cloud פרויקט עם Cloud KMS מופעל. זהו פרויקט המפתח שלכם.

  3. יוצרים אוסף מפתחות במיקום הנכון. המיקום של אוסף המפתחות צריך להיות זהה למיקום שבו אתם מתכננים להפעיל את Security Command Center.

    כדי למצוא את המיקום הנכון, אפשר לעיין בקטע מיקום המפתח בדף הזה. במאמר יצירת אוסף מפתחות מוסבר איך ליצור אוסף מפתחות.

  4. יוצרים מפתח של Cloud KMS באוסף המפתחות. הוראות מפורטות מופיעות במאמר יצירת מפתח.

הגדרת הצפנת נתונים ב-Security Command Center

אפשר להגדיר הצפנת נתונים כשמפעילים את רמת השירות Standard או את רמת השירות Premium של Security Command Center בארגון.

אפשר לשנות את הגדרת הצפנת הנתונים במסלולים הרגיל והפרימיום אחרי שמפעילים את Security Command Center. למידע נוסף, ראו שינוי ההגדרה של מיקום הנתונים או של הצפנת הנתונים.

אחרי שמגדירים את CMEK, ‏ Security Command Center מצפין את הנתונים באמצעות מפתח Cloud KMS שבחרתם.

פתרון בעיות שקשורות ל-CMEK

בקטעים הבאים מוסבר איך לפתור בעיות שעלולות להתרחש בסוגי משאבים שתומכים ב-CMEK.

שחזור הגישה של סוכן שירות למפתחות

אם CMEK מופעל, לסוכן השירות של Cloud Security Command Center צריכה להיות גישה למפתח Cloud KMS. אם לסוכן השירות הזה אין את תפקיד ה-IAM הנדרש במפתח, חלק מהתכונות של Security Command Center לא יפעלו בצורה תקינה.

כדי לבדוק אם הבעיה הזו קיימת אצלכם, צריך להציג את רשימת חשבונות המשתמשים שיש להם גישה למפתח. אם סוכן השירות מוגדר בצורה נכונה, הרשימה כוללת חשבון ראשי עם המזהה service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com והתפקיד Cloud KMS CryptoKey Encrypter/Decrypter ‏(roles/cloudkms.cryptoKeyEncrypterDecrypter).

אם לא מופיעים חשבון המשתמש והתפקיד האלה, צריך להקצות את התפקיד הנדרש לסוכן השירות במפתח:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_RING: אוסף המפתחות של מפתח Cloud KMS
  • LOCATION: המיקום של מפתח Cloud KMS
  • KEY_NAME: השם של מפתח Cloud KMS
  • ORGANIZATION_NUMBER: מספר הארגון

שחזור מפתחות שהושבתו או מתוזמנים להשמדה

אם מפתח או גרסת מפתח של Cloud KMS מושבתים, אפשר להפעיל גרסת מפתח.

באופן דומה, אם מפתח Cloud KMS מתוזמן להשמדה, אפשר לשחזר גרסת מפתח. אחרי שמפתח מושמד, אי אפשר לשחזר אותו ולא תהיה לכם גישה למשאבים ב-Security Command Center שתומכים ב-CMEK.

פתרון שגיאות ביצירת משאבים מוגנים

אם בוחרים באפשרות Google-owned and Google-managed encryption keys כשמפעילים את Security Command Center, ואז אוכפים אילוץ של מדיניות הארגון בנושא CMEK בארגון הזה, לא תהיה אפשרות ליצור משאבים חדשים שתומכים ב-CMEK.

אם אתם לא מצליחים ליצור את המשאבים האלה, כדאי לבדוק אם אילוץ מדיניות הארגון ל-CMEK נאכף בארגון שלכם, או בפרויקטים או בתיקיות באותו ארגון. מידע נוסף זמין בקטע מגבלות במדיניות הארגון לגבי CMEK בדף הזה.

מכסות ותמחור

כשמשתמשים ב-CMEK ב-Security Command Center, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. כשקוראים או כותבים נתונים ב-Security Command Center, המכסות נצרכות על ידי מכונות וירטואליות שמוצפנות באמצעות CMEK. פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על מכסות Cloud KMS רק אם משתמשים במפתחות חומרה (Cloud HSM) או במפתחות חיצוניים (Cloud EKM). מידע נוסף זמין במאמר בנושא מכסות ב-Cloud KMS.

בנוסף, יחולו חיובים על Cloud KMS כש-Security Command Center משתמש ב-CMEK שלכם כדי להצפין או לפענח נתונים. מידע נוסף זמין במאמר בנושא תמחור של Cloud KMS.