CMEK für Google Security Operations

In diesem Dokument wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für Google Security Operations konfigurieren. Google SecOps verschlüsselt inaktive Kundendaten standardmäßig mit der Google-Standardverschlüsselung, ohne dass Sie etwas tun müssen. Wenn Sie jedoch mehr Kontrolle über Verschlüsselungsschlüssel benötigen oder dies von einer Organisation vorgeschrieben wird, ist CMEK für Google SecOps-Instanzen verfügbar.

CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern. Mit CMEKs haben Sie die vollständige Kontrolle über Verschlüsselungsschlüssel, einschließlich der Verwaltung ihres Lebenszyklus, ihrer Rotation und ihrer Zugriffsrichtlinien. Wenn Sie CMEK konfigurieren, verschlüsselt der Dienst automatisch alle Daten mit dem angegebenen Schlüssel. CMEK

CMEKs in Cloud KMS verwenden

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden:

• Sie verwalten und speichern diese Schlüssel in Cloud KMS.
• Daten im Google SecOps Data Lake werden im Ruhezustand verschlüsselt.
• Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, werden die ruhenden Daten im Data Lake mit dem ausgewählten Cloud KMS-Schlüssel verschlüsselt.
• Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Google SecOps verwenden. Sie verwalten und speichern diese Schlüssel in Cloud KMS. Daten im SecOps Data Lake werden verschlüsselt, wenn sie inaktiv sind. Wenn Sie Ihre Google SecOps-Instanz mit einem CMEK konfigurieren, verwendet Google SecOps den ausgewählten Cloud KMS-Schlüssel, um Ihre inaktiven Daten im Data Lake zu verschlüsseln. Die Verwendung von CMEK mit Cloud KMS kann je nach Nutzungsmuster zusätzliche Kosten verursachen. Weitere Informationen zu Cloud KMS-Preisen

CMEK-Unterstützung nach Region

Die folgenden Regionen unterstützen CMEKs:

• africa-south1 (Johannesburg, Südafrika)
• europe-west3 (Frankfurt, Deutschland)
• europe-west2 (London, Vereinigtes Königreich)
• europe-west12 (Turin, Italien)

CMEK aktivieren

Die folgenden Schritte beschreiben den allgemeinen Prozess für das Onboarding von CMEK mit Google SecOps:

1. Konfiguration einer Google SecOps-Instanz bereitstellen: Nehmen Sie die Bereitstellungseinladung an, um zu beginnen. Unser Google SecOps-Expertenteam kümmert sich um die spezielle Konfiguration und Integration.
2. Erstellen Sie einen Cloud KMS-Schlüssel in der Region, in der Sie Ihre Instanz hosten möchten.
3. Erstellen Sie eine neue Google SecOps-Instanz und wählen Sie den CMEK-Schlüssel aus, den Sie in Schritt 2 erstellt haben. Sie werden aufgefordert, Google SecOps während der Instanzerstellung Zugriff auf diesen Schlüssel zu gewähren.
4. Optional: Planen Sie eine Schlüsselrotation für jeden Schlüssel. Wir empfehlen diese Sicherheitsmaßnahme, um die Auswirkungen eines potenziellen Schlüsselmissbrauchs zu minimieren.

Nachdem Sie das Onboarding abgeschlossen haben, müssen Sie für diese Instanz keinen Schlüssel mehr über die API oder die Benutzeroberfläche angeben.

Schlüsselverwaltung

Sie verwalten Ihre Schlüssel mit Cloud KMS. Google SecOps kann Schlüsseländerungen erst erkennen oder darauf reagieren, wenn sie von Cloud KMS weitergegeben wurden. Berechtigungsänderungen werden in der Regel schnell wirksam. Bei wichtigen Änderungen, z. B. beim Deaktivieren oder Löschen eines Schlüssels, kann es jedoch bis zu vier Stunden dauern, bis sie in Google SecOps wirksam werden. Weitere Informationen zu Cloud KMS und Cloud KMS-Service Level Objectives

Wenn Sie Ihren CMEK-Schlüssel deaktivieren, verliert Google SecOps den Zugriff auf Ihre Daten und kann sie nicht mehr verarbeiten. Das bedeutet, dass Google SecOps keine vorhandenen Daten lesen, schreiben oder aktualisieren und keine neuen Daten aufnehmen kann. Wenn Sie den Schlüssel nicht wieder aktivieren, werden die Daten nach 30 Tagen gelöscht. Wenn Sie den KMS-Schlüsselzugriff wieder aktivieren, beginnt Google SecOps automatisch mit dem Erfassen und Verarbeiten aller neuen Daten seit der Deaktivierung des Schlüssels.

Google SecOps unterstützt zwei Arten der Schlüsselverwaltung:

• Cloud KMS-Schlüssel erstellen (empfohlen)
• Cloud External Key Manager (Cloud EKM) verwenden: Die Verwendung von Cloud EKM-Schlüsseln kann sich aufgrund der Abhängigkeit von externen Systemen auf die Verfügbarkeit auswirken.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten