Se usó la API de Cloud Translation para traducir esta página.

CMEK para Google Security Operations

En este documento, se describe cómo configurar las claves de encriptación administradas por el cliente (CMEK) para Google Security Operations. Google SecOps encripta los datos del cliente almacenados en reposo de forma predeterminada con la encriptación predeterminada de Google sin que debas realizar ninguna acción adicional. Sin embargo, para obtener más control sobre las claves de encriptación o cuando una organización lo exija, las CMEK están disponibles para las instancias de SecOps de Google.

Las CMEK son claves de encriptación que posees, administras y almacenas en Cloud Key Management Service. El uso de CMEK proporciona control total sobre las claves de encriptación, incluida la administración de su ciclo de vida, rotación y políticas de acceso. Cuando configuras la CMEK, el servicio encripta automáticamente todos los datos con la clave especificada. Obtén más información sobre CMEK.

Usa CMEK en Cloud KMS

Para controlar tus claves de encriptación, puedes usar CMEK en Cloud KMS con servicios integrados en CMEK, incluido Google SecOps, de la siguiente manera:

Administras y almacenas estas claves en Cloud KMS.
Los datos del lago de datos de Google SecOps están encriptados en reposo.
Cuando configuras tu instancia de Google SecOps con una CMEK, esta usa la clave de Cloud KMS seleccionada para encriptar los datos en reposo dentro del lago de datos.
El uso de CMEK con Cloud KMS puede generar costos adicionales, según tus patrones de uso.

Para controlar tus claves de encriptación, puedes usar CMEK en Cloud KMS con servicios integrados en CMEK, como Google SecOps. Administras y almacenas estas claves en Cloud KMS. Los datos del lago de datos de SecOps se encriptan en reposo. Cuando configuras tu instancia de Google SecOps con una CMEK, Google SecOps usa la clave de Cloud KMS seleccionada para encriptar tus datos en reposo dentro del lago de datos. El uso de CMEK con Cloud KMS puede generar costos adicionales, según tus patrones de uso. Obtén más información sobre los precios de Cloud KMS.

Compatibilidad con CMEK por región

Las siguientes regiones admiten CMEK:

europe-west3 (Fráncfort, Alemania)
europe-west12 (Turín, Italia)

Habilita CMEK

En los siguientes pasos, se describe el proceso de alto nivel para integrar CMEK con Google SecOps:

Aprovisiona la configuración de una instancia de Google SecOps: Acepta la invitación de aprovisionamiento para comenzar. Nuestro equipo experto de SecOps de Google se encargará de la configuración y la integración especializadas.
Crea una clave de Cloud KMS en la región en la que planeas alojar tu instancia.
Crea una nueva instancia de Google SecOps y selecciona la clave de CMEK que creaste en el paso 2. Se te pedirá que otorgues acceso a esta clave a Google SecOps durante la creación de la instancia.
Opcional: Programa una rotación de claves para cada clave. Recomendamos esta práctica de seguridad para minimizar el impacto de una posible vulneración de la clave.

Una vez que hayas completado la integración, ya no necesitarás proporcionar una clave con la API o la IU para esa instancia.

Administración de claves

Administras tus claves con Cloud KMS. Google SecOps no puede detectar ni realizar cambios en ningún cambio de clave hasta que Cloud KMS los propague. Si bien los cambios de permisos suelen ser rápidos, los cambios significativos, como inhabilitar o borrar una clave, pueden tardar hasta cuatro horas en aplicarse en Google SecOps. Obtén más información sobre Cloud KMS y los objetivos de nivel de servicio de Cloud KMS.

Cuando inhabilitas tu clave CMEK, Google SecOps pierde el acceso a tus datos y ya no puede procesarlos. Esto significa que Google SecOps no puede leer, escribir ni actualizar datos existentes, ni transferir datos nuevos. Si no vuelves a habilitar la clave, los datos se borrarán después de 30 días. Cuando vuelves a habilitar el acceso a la clave de KMS, Google SecOps comienza a transferir y procesar automáticamente los datos nuevos desde que se inhabilitó la clave.

Google SecOps admite dos tipos de administración de claves:

Crea una clave de Cloud KMS (recomendado)
Usa Cloud External Key Manager (Cloud EKM): El uso de claves de Cloud EKM puede afectar la disponibilidad debido a la dependencia de sistemas externos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.