Esta página foi traduzida pela API Cloud Translation.

Ative as CMEK para o Security Command Center

Por predefinição, o Security Command Center encripta o conteúdo do cliente em repouso. O Security Command Center processa a encriptação por si sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o Security Command Center. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do Security Command Center é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).

Para suportar a separação de funções e um maior controlo sobre o acesso às chaves, recomendamos que crie e faça a gestão das chaves num projeto separado que não inclua outros Google Cloud recursos.

Para usar as CMEK com o Security Command Center, tem de configurar as CMEK quando ativar o Security Command Center para uma organização. Não pode configurar as CMEK durante a ativação ao nível do projeto. Para saber mais, consulte o artigo Ative o Security Command Center Standard ou Premium para uma organização.

Quando usa CMEK no Security Command Center, os seus projetos podem consumir quotas de pedidos criptográficos do Cloud KMS. As instâncias encriptadas com CMEK consomem quotas quando leem ou escrevem dados no Security Command Center. As operações de encriptação e desencriptação que usam chaves CMEK afetam as quotas do Cloud KMS apenas se usar hardware (Cloud HSM) ou chaves externas (Cloud EKM). Para mais informações, consulte as cotas do Cloud KMS.

A CMEK encripta os seguintes dados no Security Command Center e na API Security Command Center:

Conclusões
Configurações de notificações
Exportações do BigQuery
Configurações de desativação do som

Antes de começar

Antes de configurar as CMEK para o Security Command Center, faça o seguinte:

Instale e inicialize a CLI Google Cloud:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crie um Google Cloud projeto com o Cloud KMS ativado. Este é o seu projeto principal.
Crie um conjunto de chaves que esteja na localização correta. A localização do seu porta-chaves tem de corresponder à localização onde planeia ativar o Security Command Center. Para ver que localizações de porta-chaves correspondem a cada localização do Security Command Center, consulte a tabela na secção Localização da chave deste documento. Para mais informações sobre como criar um conjunto de chaves, consulte o artigo Crie um conjunto de chaves.
Crie uma chave do Cloud KMS no conjunto de chaves. Para mais informações sobre como criar uma chave num conjunto de chaves, consulte o artigo Crie uma chave.
Para garantir que a conta de serviço do Cloud Security Command Center tem as autorizações necessárias para encriptar e desencriptar dados, peça ao seu administrador para conceder à conta de serviço do Cloud Security Command Center a função do IAM encriptar/desencriptar do CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave do Cloud KMS.
Importante: tem de conceder esta função à conta de serviço do Cloud Security Command Center, não à sua conta de utilizador. Se não conceder a função ao principal correto, podem ocorrer erros de autorização.
Para mais informações sobre a concessão de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

O seu administrador também pode atribuir as autorizações necessárias à conta de serviço do Cloud Security Command Center através de funções personalizadas ou outras funções predefinidas.

Localização da chave

A localização da sua chave do Cloud KMS tem de corresponder à localização onde ativou o Security Command Center. Use a tabela seguinte para identificar a localização da chave do Cloud KMS que corresponde à localização do Security Command Center.

Localização do Security Command Center	Localização da chave do Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Se não ativar a residência de dados quando ativar o Security Command Center, use global para a localização do Security Command Center e us para a localização da chave do Cloud KMS. Para mais informações sobre a residência de dados, consulte o artigo Planeamento da residência de dados.

Limitações

Se a organização que está a ativar contiver um ou mais projetos com o Security Command Center, não pode usar a CMEK para o Security Command Center dessa organização.

Não pode alterar a chave do Cloud KMS nem mudar para o Google-owned and Google-managed encryption key depois de ativar o Security Command Center.

Pode rodar a chave, o que faz com que o Security Command Center use a nova versão da chave. No entanto, algumas capacidades do Security Command Center continuam a usar a chave antiga durante 30 dias.

Configure a CMEK para o Security Command Center

Para usar as CMEK com o Security Command Center:

Durante a configuração do Security Command Center para uma organização, na página Selecionar serviços, em Encriptação de dados, selecione Alterar solução de gestão de chaves de encriptação de dados (opcional). A opção Encriptação é aberta.
Selecione Chave do Cloud KMS.
Selecione um projeto.
Selecione uma tecla. Pode selecionar uma chave de qualquer Google Cloud projeto, incluindo os que não estão na organização que está a ativar. Apenas são apresentadas na lista as chaves em localizações compatíveis. Para mais informações sobre as localizações de chaves para o CMEK para o Security Command Center, consulte a tabela na secção Localização da chave.

Depois de conceder a função e concluir a configuração do Security Command Center, o Security Command Center encripta os seus dados através da chave do Cloud KMS escolhida.

Verifique a configuração da CMEK

Para verificar se configurou com êxito as CMEK para o Security Command Center:

No Security Command Center, selecione Definições.
Aceda ao separador Detalhes do nível.
Em Detalhes da configuração > Encriptação de dados, se a CMEK para o Security Command Center estiver configurada, o nome da chave é apresentado como um link após Encriptação de dados.

Preços

Embora não haja custos adicionais para ativar as CMEK no Security Command Center Standard e Premium, aplicam-se custos no Cloud KMS quando o Security Command Center usa as suas CMEK para encriptar e desencriptar dados. Para mais informações, consulte os preços do Cloud KMS.

Restaurar o acesso ao Security Command Center

Com a CMEK ativada, a conta de serviço do Security Command Center requer acesso à sua chave do Cloud KMS para funcionar. Não revogue as autorizações da conta de serviço para a CMEK, desative a CMEK nem agende a destruição da CMEK. Estas ações fazem com que as seguintes capacidades do Security Command Center deixem de funcionar:

Conclusões
Configurações de exportações contínuas
Exportações do BigQuery
Regras de desativação do som

Se tentar usar o Security Command Center enquanto a chave do Cloud KMS estiver indisponível, é apresentada uma mensagem de erro no Security Command Center ou um erro FAILED_PRECONDITION na API.

Pode perder as capacidades do Security Command Center devido a uma chave do Cloud KMS por um dos seguintes motivos:

A função encriptador/desencriptador de CryptoKey do Cloud KMS na chave da conta de serviço pode ter sido revogada. Pode restaurar o acesso ao Security Command Center depois de uma chave ser revogada.
A chave do Cloud KMS pode ter sido desativada. Pode restaurar o acesso ao Security Command Center depois de uma chave ser desativada.
A chave pode estar agendada para destruição. Pode restaurar o acesso ao Security Command Center depois de uma chave ser agendada para destruição.

Restaurar o acesso ao Security Command Center após a revogação de uma chave

Para restaurar o acesso à sua chave no Security Command Center, conceda à conta de serviço do Cloud Security Command Center a função de encriptar/desencriptar do CryptoKey do Cloud KMS na chave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua o seguinte:

KEY_RING: o conjunto de chaves da sua chave do Cloud KMS
LOCATION: a localização da sua chave do Cloud KMS
KEY_NAME: o nome da sua chave do Cloud KMS
ORG_NUMBER: o número da sua organização

Restaure o acesso ao Security Command Center depois de uma chave ser desativada

Para mais informações sobre como ativar uma chave desativada, consulte o artigo Ative uma versão de chave.

Restaure o acesso ao Security Command Center depois de uma chave ser agendada para destruição

Para mais informações sobre como restaurar uma chave agendada para destruição, consulte o artigo Destrua e restaure versões de chaves.

Depois de uma chave ser destruída, não é possível recuperá-la nem restaurar o acesso ao Security Command Center.