Diese Seite wurde von der Cloud Translation API übersetzt.

CMEK für Google Security Operations

In diesem Dokument wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) für Google Security Operations konfigurieren. Google SecOps verschlüsselt inaktive Kundendaten standardmäßig mit der Google-Standardverschlüsselung, ohne dass Sie etwas tun müssen. Für mehr Kontrolle über Verschlüsselungsschlüssel oder wenn dies von einer Organisation vorgeschrieben ist, ist CMEK für Google SecOps-Instanzen verfügbar.

CMEKs sind Verschlüsselungsschlüssel, die Ihnen gehören, die Sie verwalten und im Cloud Key Management Service speichern. Mit CMEKs haben Sie die volle Kontrolle über Verschlüsselungsschlüssel, einschließlich der Verwaltung ihres Lebenszyklus, ihrer Rotation und ihrer Zugriffsrichtlinien. Wenn Sie CMEK konfigurieren, verschlüsselt der Dienst alle Daten automatisch mit dem angegebenen Schlüssel. Weitere Informationen zu CMEK

CMEKs in Cloud KMS verwenden

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden. Gehen Sie dazu so vor:

Sie verwalten und speichern diese Schlüssel in Cloud KMS.
Daten im Google SecOps Data Lake sind im Ruhezustand verschlüsselt.
Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, werden ruhende Daten im Data Lake mit dem ausgewählten Cloud KMS-Schlüssel verschlüsselt.
Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden. Sie verwalten und speichern diese Schlüssel in Cloud KMS. Daten im SecOps Data Lake werden im Ruhezustand verschlüsselt. Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, verwendet Google SecOps den ausgewählten Cloud KMS-Schlüssel, um Ihre ruhenden Daten im Data Lake zu verschlüsseln. Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen. Weitere Informationen zu Cloud KMS-Preisen

CMEK-Unterstützung nach Region

CMEKs werden in den folgenden Regionen unterstützt:

europe-west3 (Frankfurt, Deutschland)
europe-west12 (Turin, Italien)

CMEK aktivieren

In den folgenden Schritten wird der allgemeine Prozess zum Einrichten von CMEK mit Google SecOps beschrieben:

Konfiguration einer Google SecOps-Instanz bereitstellen: Nehmen Sie die Bereitstellungseinladung an, um zu beginnen. Unser erfahrenes Google SecOps-Team übernimmt die spezielle Konfiguration und Integration.
Erstellen Sie einen Cloud KMS-Schlüssel in der Region, in der Sie Ihre Instanz hosten möchten.
Erstellen Sie eine neue Google SecOps-Instanz und wählen Sie den CMEK-Schlüssel aus, den Sie in Schritt 2 erstellt haben. Sie werden während der Instanzerstellung aufgefordert, Google SecOps Zugriff auf diesen Schlüssel zu gewähren.
Optional: Planen Sie eine Schlüsselrotation für jeden Schlüssel. Wir empfehlen diese Sicherheitsmaßnahme, um die Auswirkungen eines potenziellen Schlüsselmissbrauchs zu minimieren.

Nach Abschluss des Onboardings müssen Sie für diese Instanz keinen Schlüssel mehr über die API oder die Benutzeroberfläche angeben.

Schlüsselverwaltung

Sie verwalten Ihre Schlüssel mit Cloud KMS. Google SecOps kann Schlüsseländerungen erst erkennen oder darauf reagieren, wenn sie von Cloud KMS weitergegeben wurden. Berechtigungsänderungen werden in der Regel schnell übernommen. Bei größeren Änderungen wie dem Deaktivieren oder Löschen eines Schlüssels kann es jedoch bis zu vier Stunden dauern, bis sie in Google SecOps wirksam werden. Weitere Informationen zu Cloud KMS und den Cloud KMS-Servicelevelzielen

Wenn Sie Ihren CMEK-Schlüssel deaktivieren, verliert Google SecOps den Zugriff auf Ihre Daten und kann sie nicht mehr verarbeiten. Das bedeutet, dass Google SecOps keine vorhandenen Daten lesen, schreiben oder aktualisieren und keine neuen Daten aufnehmen kann. Wenn Sie den Schlüssel nicht wieder aktivieren, werden die Daten nach 30 Tagen gelöscht. Wenn Sie den Zugriff auf den KMS-Schlüssel wieder aktivieren, beginnt Google SecOps automatisch mit der Aufnahme und Verarbeitung aller neuen Daten, die seit der Deaktivierung des Schlüssels erfasst wurden.

Google SecOps unterstützt zwei Arten der Schlüsselverwaltung:

Cloud KMS-Schlüssel erstellen (empfohlen)
Cloud External Key Manager (Cloud EKM) verwenden: Die Verwendung von Cloud EKM-Schlüsseln kann sich auf die Verfügbarkeit auswirken, da externe Systeme erforderlich sind.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten