Esta página se ha traducido con Cloud Translation API.

CMEK para Google Security Operations

En este documento se explica cómo configurar las claves de cifrado gestionadas por el cliente (CMEK) en Google Security Operations. Google SecOps cifra de forma predeterminada los datos en reposo de los clientes mediante el cifrado predeterminado de Google, sin que tú tengas que hacer nada más. Sin embargo, si quieres tener más control sobre las claves de cifrado o si una organización te lo exige, puedes usar CMEK en las instancias de Google SecOps.

Las CMEKs son claves de encriptado que posees, gestionas y almacenas en Cloud Key Management Service. Si usas CMEKs, tendrás control total sobre las claves de cifrado, incluida la gestión de su ciclo de vida, rotación y políticas de acceso. Cuando configuras las CMEK, el servicio encripta automáticamente todos los datos con la clave especificada. CMEK

Usar CMEKs en Cloud KMS

Para controlar tus claves de cifrado, puedes usar CMEKs en Cloud KMS con servicios integrados con CMEKs, incluido Google SecOps, de la siguiente manera:

Estas claves se gestionan y almacenan en Cloud KMS.
Los datos del lago de datos de Google SecOps se cifran en reposo.
Cuando configuras tu instancia de Google SecOps con una CMEK, esta usa la clave de Cloud KMS seleccionada para cifrar los datos en reposo del lago de datos.
Usar CMEK con Cloud KMS puede conllevar costes adicionales, en función de tus patrones de uso.

Para controlar tus claves de cifrado, puedes usar CMEKs en Cloud KMS con servicios integrados con CMEK, como Google SecOps. Estas claves se gestionan y almacenan en Cloud KMS. Los datos del lago de datos de SecOps se cifran en reposo. Cuando configuras tu instancia de Google SecOps con una CMEK, Google SecOps usa la clave de Cloud KMS seleccionada para cifrar tus datos en reposo en el lago de datos. Usar CMEK con Cloud KMS puede conllevar costes adicionales, en función de tus patrones de uso. Consulta más información sobre los precios de Cloud KMS.

Compatibilidad con CMEK por región

Las siguientes regiones admiten CMEKs:

africa-south1 (Johannesburgo, Sudáfrica)
europe-west3 (Fráncfort, Alemania)
europe-west2 (Londres, Reino Unido)
europe-west12 (Turín, Italia)

Habilitar CMEK

En los siguientes pasos se describe el proceso general para incorporar CMEK con Google SecOps:

Aprovisiona la configuración de una instancia de Google SecOps: acepta la invitación de aprovisionamiento para empezar. Nuestro equipo experto de SecOps de Google se encargará de la configuración y la integración especializadas.
Crea una clave de Cloud KMS en la región en la que quieras alojar tu instancia.
Crea una instancia de Google SecOps y selecciona la clave CMEK que has creado en el paso 2. Se te pedirá que concedas acceso a Google SecOps a esta clave durante la creación de la instancia.
Opcional: Programa una rotación de claves para cada clave. Recomendamos esta práctica de seguridad para minimizar el impacto de una posible vulneración de la clave.

Una vez que hayas completado la incorporación, ya no tendrás que proporcionar una clave mediante la API o la interfaz de usuario para esa instancia.

Gestión de claves

Gestionas tus claves con Cloud KMS. Google SecOps no puede detectar ni actuar ante ningún cambio en las claves hasta que Cloud KMS lo propague. Aunque los cambios en los permisos suelen ser rápidos, los cambios significativos, como inhabilitar o eliminar una clave, pueden tardar hasta cuatro horas en aplicarse en Google SecOps. Consulta más información sobre Cloud KMS y los objetivos de nivel de servicio de Cloud KMS.

Cuando inhabilitas tu clave CMEK, Google SecOps pierde el acceso a tus datos y ya no puede procesarlos. Esto significa que Google SecOps no puede leer, escribir ni actualizar los datos que ya existen, y tampoco puede ingerir datos nuevos. Si no vuelves a habilitar la clave, los datos se eliminarán al cabo de 30 días. Cuando vuelvas a habilitar el acceso a la clave de KMS, Google SecOps empezará automáticamente a ingerir y procesar los datos nuevos que se hayan generado desde que se inhabilitó la clave.

Google SecOps admite dos tipos de gestión de claves:

Crea una clave de Cloud KMS (opción recomendada)
Usa Cloud External Key Manager (Cloud EKM): el uso de claves de Cloud EKM puede afectar a la disponibilidad, ya que depende de sistemas externos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.