Modifier la configuration de la résidence ou du chiffrement des données

Ce document explique comment modifier la configuration de résidence et de chiffrement des données dans les niveaux Standard et Premium après avoir activé Security Command Center pour votre organisation. Cette page explique comment effectuer les opérations suivantes :

  • Activer ou désactiver la résidence des données et modifier l'emplacement des données.
  • Modifier la configuration du chiffrement des données pour utiliser des clés de chiffrement gérées par Google ou des clés Cloud Key Management Service.
  • Modifier la clé Cloud KMS.

Limites

Les limites suivantes s'appliquent à cette fonctionnalité :

  • Vous ne pouvez effectuer une migration des données qu'une seule fois par semaine. Si vous prévoyez de modifier l'emplacement ou le chiffrement des données plusieurs fois, effectuez les modifications à au moins une semaine d'intervalle.

  • Cette fonctionnalité n'est pas compatible si Security Command Center n'est activé qu'au niveau du projet.

  • Lors de la migration des données, les ressources notificationConfigs avec la structure v1 sont mises à jour vers la structure v2.

    Le source_properties champ n'est pas compatible avec l'API v2. Si nécessaire, mettez à jour les configurations d'exportation pour Pub/Sub et BigQuery.

    Pour en savoir plus, consultez Migrer vers la version 2 de l'API Security Command Center.

Avant de commencer

Avant de modifier la configuration, procédez comme suit :

  1. Planifiez la modification.
  2. Assurez-vous de disposer des rôles requis.
  3. Créez ou localisez les clés Cloud Key Management Service si vous modifiez l'emplacement ou les clés des données.
  4. Préparez les règles Ignorer et les configurations d'exportation si vous modifiez l'emplacement des données.

Planifier la modification

Si vous migrez depuis l'emplacement de données global par défaut, consultez Planifier la résidence des données pour découvrir comment Security Command Center prend en charge la résidence des données.

Si vous prévoyez de remplacer le chiffrement des données par des clés de chiffrement gérées par Google par une clé Cloud KMS, consultez Activer les CMEK pour Security Command Center pour découvrir comment utiliser des clés de chiffrement gérées par le client (CMEK) avec Security Command Center.

Planifiez la modification de la configuration à un moment où vous n'effectuez pas d'exportations groupées. Si vous avez lancé une exportation groupée, attendez la fin de ce processus.

Une fois la configuration modifiée, le processus de migration des données peut prendre entre 4 et 24 heures, selon le volume de résultats. Pendant ce temps, Security Command Center et les services de détection intégrés activés sont temporairement mis en pause :

  • Security Command Center ne génère ni ne met à jour les résultats. Les résultats envoyés à Security Command Center à partir de services intégrés ou tiers ne sont pas reçus.
  • Les exportations de données de Security Command Center vers d'autres ressources sont mises en pause.
  • Les pages Security Command Center de la console ne sont pas accessibles.
  • Les API Security Command Center suivantes ne sont pas disponibles :

    • securitycenter.googleapis.com
    • securitycentermanagement.googleapis.com

    Si une méthode d'API est appelée pendant la migration, elle renvoie une erreur FAILED_PRECONDITION avec le message API access is temporarily unavailable due to an ongoing data migration.

Une fois la migration terminée, Security Command Center et les services intégrés redémarrent automatiquement.

Si Security Command Center est intégré à d'autres produits, attendez-vous à ce que ces connexions soient interrompues pendant la migration.

Lorsque vous modifiez la configuration de la résidence des données, des champs spécifiques sont mis à jour avec le nouvel identifiant d'emplacement (par exemple, de global à us). Cela affecte les ressources suivantes :

  • Résultats : valeurs name et canonicalNames.
  • Règles Ignorer : name valeur dans le MuteConfig.

Prévoyez de mettre à jour les requêtes de recherche de résultats, les systèmes externes et les scripts qui dépendent de ces valeurs de champ.

Rôles requis

Pour obtenir les autorisations nécessaires pour migrer l'emplacement ou le chiffrement des données Security Command Center, demandez à votre administrateur de vous accorder le rôle IAM Administrateur du centre de sécurité (roles/securitycenter.admin) dans votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer ou localiser les clés Cloud Key Management Service

Créez un projet de clé et des clés Cloud Key Management Service si l'une des conditions suivantes s'applique :

  • Vous prévoyez de modifier les clés Cloud Key Management Service.

  • Vous prévoyez de modifier la configuration de la résidence des données tout en utilisant des clés Cloud Key Management Service. Dans ce cas, vous devez sélectionner à nouveau les clés Cloud Key Management Service.

Pour en savoir plus, consultez Activer les CMEK pour Security Command Center.

Préparer les règles Ignorer et les configurations d'exportation

Si vous prévoyez de modifier l'emplacement des données, mettez à jour les configurations suivantes qui dépendent des valeurs de champ avec un identifiant d'emplacement :

  • Règles Ignorer les résultats
  • Exportations continues Pub/Sub

Modifiez les valeurs de champ pour utiliser le nouvel identifiant d'emplacement (par exemple, de global à us).

Modifier la configuration et démarrer la migration

Vous pouvez utiliser la console globale et juridictionnelle Google Cloud pour modifier la configuration de la résidence ou du chiffrement des données. Tenez compte des éléments suivants lorsque vous choisissez une console :

  • Sélectionner la clé CMEK : le menu de la clé Cloud KMS n'affiche que les clés qui se trouvent dans la même juridiction que la console. Si vous utilisez la console global, le menu affiche toutes les clés.
  • Recevoir des notifications: Google Cloud les notifications de la console ne s'affichent que pour l'utilisateur qui a démarré la migration de la résidence des données et uniquement dans la même console que celle utilisée pour configurer les paramètres (globaux ou juridictionnels).

Vous pouvez modifier la configuration de la résidence des données, celle du chiffrement des données, ou les deux.

  1. Dans la Google Cloud console, accédez à Settings > Setup details (Paramètres > Détails de la configuration).

    Accéder aux détails de la configuration

  2. Sélectionnez l'organisation dans laquelle Security Command Center est activé.

  3. Cliquez sur Manage data residency and encryption (Gérer la résidence et le chiffrement des données).

  4. Sous Manage data residency (Gérer la résidence des données), activez ou désactivez la résidence des données. Si vous activez la résidence des données, sélectionnez l'emplacement des données. Si vous ne modifiez pas la sélection existante, le processus de migration des données ne modifie pas les identifiants d'emplacement dans les valeurs de champ des résultats et des ressources.

  5. Cliquez sur Continuer.

  6. Sous Manage data encryption (Gérer le chiffrement des données), sélectionnez la configuration Encryption (Chiffrement).

    • Sélectionnez Google-managed encryption key (Clé de chiffrement gérée par Google) ou Cloud KMS key (Clé Cloud KMS).
    • Si vous sélectionnez Cloud KMS key (Clé Cloud KMS), procédez comme suit :

      • Cliquez sur Browse (Parcourir) pour sélectionner le projet dans lequel les clés sont stockées.
      • Sélectionnez la clé gérée par le client.

    Si l'organisation utilise des clés Cloud KMS et que vous avez modifié la configuration de la résidence des données, vous devez sélectionner à nouveau le projet de clé et la clé Cloud Key Management Service.

  7. Vérifiez les modifications, puis cliquez sur Start migration (Démarrer la migration). Cliquez sur Cancel (Annuler) pour revenir en arrière et modifier les sélections.

  8. Dans la boîte de dialogue Start data migration (Démarrer la migration des données), confirmez en saisissant l'ID de l'organisation, puis en cliquant sur Confirm data migration (Confirmer la migration des données).

  9. La page d'état de la migration des données s'affiche, indiquant que la migration est en cours.

    Les pages Security Command Center ne sont pas accessibles pendant la migration des données. Si vous tentez d'accéder à Security Command Center pendant la migration, la page d'état de la migration s'affiche.

  10. Une fois la migration terminée, la page d'état affiche un lien permettant d'ouvrir la console dans l'emplacement nouvellement configuré.

Vérifier les fonctionnalités après la migration des données

Une fois la migration terminée, assurez-vous que Security Command Center, les services associés et les intégrations fonctionnent comme prévu.

  • Vérifiez que Security Command Center est disponible et que les services précédemment activés sont activés.

  • Vérifiez que les configurations d'exportation des données spécifient les ressources appropriées :

  • Si vous avez modifié la configuration de la résidence des données, procédez comme suit :

    • Règles Ignorer : mettez à jour les règles qui dépendent du résultat name ou canonicalName.

    • Mettez à jour les filtres et les requêtes de résultats qui dépendent du name ou du canonicalName du résultat pour spécifier le nouvel emplacement.

    • Vérifiez que les requêtes de résultats fonctionnent comme prévu.

  • Vérifiez que les intégrations avec d'autres Google Cloud services, tels que Cloud Hub, Application Design Center, le tableau de bord de stratégie de sécurité GKE ou l'ingestion de données Google SecOps, fonctionnent comme prévu.

Étape suivante