כברירת מחדל, Security Command Center מצפין את התוכן של הלקוחות במנוחה. Security Command Center מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.
אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים משולבי CMEK, כולל Security Command Center. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר לכם גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות להצפנת מפתחות (KEK) סימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.
אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Security Command Center דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).
כדי לתמוך בהפרדת תפקידים ולשפר את השליטה בגישה למפתחות, מומלץ ליצור ולנהל מפתחות בפרויקט נפרד שלא כולל משאבים אחרים של Google Cloud .
כדי להפעיל CMEK ב-Security Command Center, צריך לבחור בהצפנת נתונים ב-Cloud KMS כשמפעילים ארגון ב-Security Command Center. אחרי שמפעילים את Security Command Center, אי אפשר יותר להגדיר הצפנת נתונים. אי אפשר להפעיל CMEK במהלך הפעלה ברמת הפרויקט. מידע נוסף זמין במאמרים הבאים:
- הפעלת רמת השירות Security Command Center Standard בארגון
- הפעלת המסלול Security Command Center Premium בארגון
אתם יכולים להשתמש באילוצים על מדיניות הארגון ל-CMEK כדי לאכוף את הגדרות ההצפנה כשאתם מפעילים את Security Command Center. מידע על שימוש באילוצים של מדיניות הארגון לגבי CMEK וב-Security Command Center מופיע בקטע אילוצים של מדיניות הארגון לגבי CMEK בדף הזה.
לפני שמתחילים
לפני שמגדירים CMEK ל-Security Command Center, צריך לבצע את הפעולות הבאות:
מתקינים ומפעילים את Google Cloud CLI:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
יוצרים Google Cloud פרויקט עם Cloud KMS מופעל. זהו פרויקט המפתח שלכם.
יוצרים אוסף מפתחות במיקום הנכון. המיקום של אוסף המפתחות צריך להיות זהה למיקום שבו אתם מתכננים להפעיל את Security Command Center.
כדי למצוא את המיקום הנכון, אפשר לעיין בקטע מיקום המפתח בדף הזה. במאמר יצירת אוסף מפתחות מוסבר איך ליצור אוסף מפתחות.
יוצרים מפתח של Cloud KMS באוסף המפתחות. הוראות מפורטות מופיעות במאמר יצירת מפתח.
כדי לוודא שלסוכן השירות של Cloud Security Command Center יש את ההרשאות הנדרשות להצפנה ולפענוח של נתונים, צריך לבקש מהאדמין להקצות לסוכן השירות של Cloud Security Command Center את תפקיד ה-IAM Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) במפתח Cloud KMS.
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שהאדמין גם יוכל לתת לסוכן השירות של Cloud Security Command Center את ההרשאות שנדרשות באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
מיקום המפתח
כשיוצרים מפתח ואוסף מפתחות של Cloud KMS עבור Security Command Center, צריך להשתמש במיקום שתואם למיקום של Security Command Center.
אם אתם לא מתכננים להפעיל מיקום נתונים ב-Security Command Center, אתם יכולים ליצור את המפתח ואת אוסף המפתחות של Cloud KMS במיקום us.
אם אתם מתכננים להפעיל את התכונה 'מיקום נתונים', אתם צריכים לבחור את המיקום ב-Cloud KMS שמתאים למיקום של Security Command Center:
| המיקום של Security Command Center | מיקום מפתח Cloud KMS |
|---|---|
eu |
europe |
sa |
me-central2 |
us |
us |
שינויים במפתח ה-CMEK
אחרי שמפעילים את Security Command Center עם CMEK, אי אפשר לשנות את מפתח Cloud KMS או לעבור ל- Google-owned and Google-managed encryption key.
אתם יכולים לבצע רוטציה של מפתח ה-CMEK, וכתוצאה מכך Security Command Center ישתמש בגרסת המפתח החדשה. עם זאת, חלק מהיכולות של Security Command Center ימשיכו להשתמש במפתח הישן למשך 30 יום.
סוגי המשאבים שנתמכים
הצפנה באמצעות CMEK מתבצעת עבור סוגי המשאבים הבאים ב-Security Command Center:
- ממצאים
- הגדרות של התראות
- ייצוא ל-BigQuery
- הגדרות השתקה
אילוצים של מדיניות הארגון לגבי CMEK
כדי לאכוף את השימוש ב-CMEK ב-Security Command Center, אתם יכולים לאכוף את אילוצי מדיניות הארגון הבאים ברמת הארגון, התיקייה או הפרויקט:
constraints/gcp.restrictNonCmekServices: נדרש שימוש ב-CMEK. אם אתם אוכפים אתconstraints/gcp.restrictNonCmekServicesבארגון, וציינתם את Security Command Center כשירות מוגבל שנדרש לשימוש ב-CMEK, אתם צריכים להפעיל את CMEK כשאתם מפעילים את Security Command Center.
constraints/gcp.restrictCmekCryptoKeyProjects: דורש שמפתח ה-CMEK של Security Command Center יגיע מפרויקט ספציפי או מקבוצה ספציפית של פרויקטים.
אם תאכפו את שני האילוצים האלה בארגון שבו תפעילו את Security Command Center, תצטרכו להפעיל את CMEK ב-Security Command Center, ומפתח ה-CMEK יצטרך להיות ממוקם בפרויקט ספציפי.
מידע על האופן שבו מדיניות הארגון מוערכת בGoogle Cloud היררכיית המשאבים (ארגונים, תיקיות ופרויקטים) זמין במאמר הסבר על הערכת ההיררכיה.
מידע כללי על שימוש במדיניות הארגון ל-CMEK זמין במאמר מדיניות הארגון ל-CMEK.
הגדרת CMEK ל-Security Command Center
כדי להשתמש ב-CMEK עם Security Command Center, פועלים לפי השלבים הבאים:
כשמפעילים את Security Command Center בארגון, בוחרים באפשרות עריכת הצפנת הנתונים.
נפתחת החלונית עריכת הגדרות הצפנת הנתונים.
בוחרים באפשרות מפתח Cloud KMS.
בוחרים פרויקט.
בוחרים מקש. אפשר לבחור מפתח מכל Google Cloud פרויקט, כולל פרויקטים בארגונים אחרים. ברשימה מוצגים רק מקשים במיקומים תואמים.
בקטע מיקום מרכזי שבדף הזה מפורטות המיקומים המרכזיים שתואמים ל-Security Command Center.
לוחצים על Done (סיום) וממשיכים בתהליך ההפעלה של Security Command Center.
אחרי שמפעילים את Security Command Center בארגון, המערכת מצפינה את הנתונים באמצעות מפתח Cloud KMS שבחרתם.
פתרון בעיות שקשורות ל-CMEK
בקטעים הבאים מוסבר איך לפתור בעיות שעלולות להתרחש עם סוגי משאבים שתומכים ב-CMEK.
שחזור הגישה של סוכן שירות למפתחות
אם CMEK מופעל, לסוכן השירות של Cloud Security Command Center צריכה להיות גישה למפתח Cloud KMS. אם לסוכן השירות הזה אין את תפקיד ה-IAM הנדרש במפתח שלכם, חלק מהתכונות של Security Command Center לא יפעלו בצורה תקינה.
כדי לבדוק אם הבעיה הזו קיימת אצלכם, צריך להציג את רשימת חשבונות המשתמשים שיש להם גישה למפתח.
אם סוכן השירות מוגדר בצורה נכונה, הרשימה כוללת חשבון ראשי עם המזהה service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com והתפקיד Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter).
אם לא מופיעים חשבון המשתמש והתפקיד הזה, צריך להעניק את התפקיד הנדרש לסוכן השירות במפתח:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
מחליפים את מה שכתוב בשדות הבאים:
-
KEY_RING: אוסף המפתחות של מפתח Cloud KMS -
LOCATION: המיקום של מפתח Cloud KMS -
KEY_NAME: השם של מפתח Cloud KMS ORGANIZATION_NUMBER: מספר הארגון
שחזור מפתחות שהושבתו או מתוזמנים להשמדה
אם מפתח או גרסת מפתח של Cloud KMS מושבתים, אפשר להפעיל גרסת מפתח.
באופן דומה, אם מפתח Cloud KMS מתוזמן להשמדה, אפשר לשחזר גרסת מפתח. אחרי שמפתח מושמד, אי אפשר לשחזר אותו ולא תהיה לכם גישה למשאבים ב-Security Command Center שתומכים ב-CMEK.
פתרון שגיאות ביצירת משאבים מוגנים
אם בוחרים באפשרות Google-owned and Google-managed encryption keys כשמפעילים את Security Command Center, ואז אוכפים אילוץ של מדיניות הארגון בנושא CMEK בארגון הזה, לא תהיה אפשרות ליצור משאבים חדשים שתומכים ב-CMEK.
אם אתם לא מצליחים ליצור את המשאבים האלה, כדאי לבדוק אם נאכף בארגון שלכם אילוץ של מדיניות הארגון ל-CMEK, או אם נאכף אילוץ כזה בפרויקטים או בתיקיות בארגון. מידע נוסף זמין בקטע מגבלות במדיניות הארגון לגבי CMEK בדף הזה.
מכסות ותמחור
כשמשתמשים ב-CMEK ב-Security Command Center, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. כשקוראים או כותבים נתונים ב-Security Command Center, המכסות נצרכות על ידי מכונות וירטואליות שמוצפנות באמצעות CMEK. פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על מכסות Cloud KMS רק אם משתמשים במפתחות חומרה (Cloud HSM) או במפתחות חיצוניים (Cloud EKM). מידע נוסף זמין במאמר בנושא מכסות ב-Cloud KMS.
בנוסף, יחולו חיובים על Cloud KMS כש-Security Command Center משתמש ב-CMEK שלכם כדי להצפין או לפענח נתונים. מידע נוסף זמין במאמר בנושא תמחור של Cloud KMS.