CMEK pour Google Security Operations
Ce document explique comment configurer des clés de chiffrement gérées par le client (CMEK) pour Google Security Operations. Google SecOps chiffre par défaut les données client au repos à l'aide du chiffrement par défaut de Google, sans aucune action supplémentaire de votre part. Toutefois, si vous souhaitez contrôler davantage les clés de chiffrement ou si votre organisation l'exige, vous pouvez utiliser les CMEK pour les instances Google SecOps.
Les CMEK sont des clés de chiffrement dont vous êtes propriétaire, que vous gérez et que vous stockez dans Cloud Key Management Service. L'utilisation de CMEK permet de contrôler entièrement les clés de chiffrement, y compris la gestion de leur cycle de vie, de leur rotation et de leurs règles d'accès. Lorsque vous configurez CMEK, le service chiffre automatiquement toutes les données à l'aide de la clé spécifiée. En savoir plus sur CMEK
Utiliser des clés CMEK dans Cloud KMS
Pour contrôler vos clés de chiffrement, vous pouvez utiliser des CMEK dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google SecOps, comme suit :
- Vous gérez et stockez ces clés dans Cloud KMS.
- Les données du lac de données Google SecOps sont chiffrées au repos.
- Lorsque vous configurez votre instance Google SecOps avec une CMEK, elle utilise la clé Cloud KMS sélectionnée pour chiffrer les données au repos dans le lac de données.
- L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation.
Pour contrôler vos clés de chiffrement, vous pouvez utiliser des CMEK dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google SecOps. Vous gérez et stockez ces clés dans Cloud KMS. Les données du lac de données SecOps sont chiffrées au repos. Lorsque vous configurez votre instance Google SecOps avec une clé CMEK, Google SecOps utilise la clé Cloud KMS sélectionnée pour chiffrer vos données au repos dans le lac de données. L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation. En savoir plus sur les tarifs de Cloud KMS
Compatibilité CMEK par région
Les régions suivantes sont compatibles avec les clés CMEK :
- africa-south1 (Johannesburg, Afrique du Sud)
- europe-west3 (Francfort, Allemagne)
- europe-west2 (Londres, Royaume-Uni)
- europe-west12 (Turin, Italie)
Activer les CMEK
Les étapes suivantes décrivent le processus général d'intégration de CMEK à Google SecOps :
- Provisionnez la configuration d'une instance Google SecOps : acceptez l'invitation au provisionnement pour commencer. Notre équipe Google SecOps experte se chargera de la configuration et de l'intégration spécialisées.
- Créez une clé Cloud KMS dans la région où vous prévoyez d'héberger votre instance.
- Créez une instance Google SecOps et sélectionnez la clé CMEK que vous avez créée à l'étape 2. Vous serez invité à accorder à Google SecOps l'accès à cette clé lors de la création de l'instance.
- Facultatif : Planifiez une rotation des clés pour chaque clé. Nous vous recommandons cette pratique de sécurité pour minimiser l'impact d'une éventuelle compromission de clé.
Une fois l'intégration terminée, vous n'avez plus besoin de fournir de clé à l'aide de l'API ou de l'UI pour cette instance.
Gestion des clés
Vous gérez vos clés à l'aide de Cloud KMS. Les équipes Google SecOps ne peuvent ni détecter, ni exploiter les modifications d'une clé avant que celles-ci ne soient propagées par Cloud KMS. Bien que les modifications d'autorisations soient généralement rapides, les modifications importantes, telles que la désactivation ou la suppression d'une clé, peuvent prendre jusqu'à quatre heures pour prendre effet dans Google SecOps. En savoir plus sur Cloud KMS et les objectifs de niveau de service Cloud KMS
Lorsque vous désactivez votre clé CMEK, Google SecOps perd l'accès à vos données et ne peut plus les traiter. Cela signifie que Google SecOps ne peut pas lire, écrire ni mettre à jour les données existantes, et qu'il ne peut pas ingérer de nouvelles données. Si vous ne réactivez pas la clé, les données seront supprimées au bout de 30 jours. Lorsque vous réactivez l'accès à la clé KMS, Google SecOps commence automatiquement à ingérer et à traiter les nouvelles données depuis la désactivation de la clé.
Google SecOps est compatible avec deux types de gestion des clés :
- Créer une clé Cloud KMS (recommandé)
- Utilisez Cloud External Key Manager (Cloud EKM) : l'utilisation de clés Cloud EKM peut affecter la disponibilité en raison de la dépendance aux systèmes externes.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.