Cette page a été traduite par l'API Cloud Translation.

CMEK pour Google Security Operations

Ce document explique comment configurer des clés de chiffrement gérées par le client (CMEK) pour Google Security Operations. Google SecOps chiffre par défaut les données client au repos à l'aide du chiffrement par défaut de Google, sans aucune action supplémentaire de votre part. Toutefois, pour un contrôle plus strict des clés de chiffrement ou lorsque cela est imposé par une organisation, le chiffrement CMEK est disponible pour les instances Google SecOps.

Les clés CMEK sont des clés de chiffrement que vous possédez, gérez et stockez dans Cloud Key Management Service. L'utilisation de clés CMEK vous permet de contrôler entièrement les clés de chiffrement, y compris de gérer leur cycle de vie, leur rotation et leurs stratégies d'accès. Lorsque vous configurez CMEK, le service chiffre automatiquement toutes les données à l'aide de la clé spécifiée. En savoir plus sur CMEK

Utiliser des clés CMEK dans Cloud KMS

Pour contrôler vos clés de chiffrement, vous pouvez utiliser des clés CMEK dans Cloud KMS avec des services intégrant les CMEK, y compris Google SecOps, comme suit:

Vous gérez et stockez ces clés dans Cloud KMS.
Les données du lac de données Google SecOps sont chiffrées au repos.
Lorsque vous configurez votre instance Google SecOps avec une CMEK, elle utilise la clé Cloud KMS sélectionnée pour chiffrer les données au repos dans le lac de données.
L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation.

Pour contrôler vos clés de chiffrement, vous pouvez utiliser des clés CMEK dans Cloud KMS avec des services intégrant les CMEK, y compris Google SecOps. Vous gérez et stockez ces clés dans Cloud KMS. Les données du lac de données SecOps sont chiffrées au repos. Lorsque vous configurez votre instance Google SecOps avec une clé CMEK, Google SecOps utilise la clé Cloud KMS sélectionnée pour chiffrer vos données au repos dans le lac de données. L'utilisation de CMEK avec Cloud KMS peut entraîner des coûts supplémentaires, en fonction de vos habitudes d'utilisation. En savoir plus sur les tarifs de Cloud KMS

Compatibilité CMEK par région

Les régions suivantes sont compatibles avec les clés CMEK:

europe-west3 (Francfort, Allemagne)
europe-west12 (Turin, Italie)

Activer CMEK

Les étapes suivantes décrivent le processus général d'intégration de CMEK avec Google SecOps:

Provisionner la configuration d'une instance Google SecOps: acceptez l'invitation de provisionnement pour commencer. Notre équipe Google SecOps spécialisée s'occupera de la configuration et de l'intégration.
Créez une clé Cloud KMS dans la région dans laquelle vous prévoyez d'héberger votre instance.
Créez une instance Google SecOps et sélectionnez la clé CMEK que vous avez créée à l'étape 2. Vous serez invité à accorder à Google SecOps l'accès à cette clé lors de la création de l'instance.
Facultatif: Planifiez une rotation des clés pour chaque clé. Nous vous recommandons cette pratique de sécurité pour minimiser l'impact d'un piratage de clé potentiel.

Une fois l'intégration terminée, vous n'avez plus besoin de fournir de clé à l'aide de l'API ou de l'UI pour cette instance.

Gestion des clés

Vous gérez vos clés à l'aide de Cloud KMS. Google SecOps ne peut ni détecter, ni exploiter les modifications d'une clé avant que celles-ci ne soient propagées par Cloud KMS. Bien que les modifications d'autorisations soient généralement rapides, les modifications importantes, telles que la désactivation ou la suppression d'une clé, peuvent prendre jusqu'à quatre heures pour prendre effet dans Google SecOps. En savoir plus sur Cloud KMS et les objectifs de niveau de service Cloud KMS

Lorsque vous désactivez votre clé CMEK, Google SecOps perd l'accès à vos données et ne peut plus les traiter. Cela signifie que Google SecOps ne peut pas lire, écrire ni mettre à jour les données existantes, et qu'il ne peut pas ingérer de nouvelles données. Si vous ne réactivez pas la clé, les données seront supprimées au bout de 30 jours. Lorsque vous réactivez l'accès à la clé KMS, Google SecOps commence automatiquement à ingérer et à traiter toutes les nouvelles données depuis la désactivation de la clé.

Google SecOps est compatible avec deux types de gestion des clés:

Créer une clé Cloud KMS (recommandé)
Utiliser Cloud External Key Manager (Cloud EKM) : l'utilisation de clés Cloud EKM peut affecter la disponibilité en raison de la dépendance à l'égard de systèmes externes.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.