CMEK untuk Google Security Operations

Dokumen ini menguraikan cara mengonfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk Google Security Operations. Google SecOps mengenkripsi data pelanggan dalam penyimpanan secara default menggunakan enkripsi default Google tanpa tindakan tambahan dari Anda. Namun, untuk kontrol yang lebih besar atas kunci enkripsi atau jika diwajibkan oleh organisasi, CMEK tersedia untuk instance Google SecOps.

CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service. Penggunaan CMEK memberikan kontrol penuh atas kunci enkripsi, termasuk mengelola siklus proses, rotasi, dan kebijakan aksesnya. Saat Anda mengonfigurasi CMEK, layanan akan otomatis mengenkripsi semua data menggunakan kunci yang ditentukan. Pelajari CMEK lebih lanjut.

Menggunakan CMEK di Cloud KMS

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Google SecOps, sebagai berikut:

  • Anda mengelola dan menyimpan kunci ini di Cloud KMS.
  • Data di Google SecOps Data Lake dienkripsi dalam penyimpanan.
  • Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, instance tersebut akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data dalam penyimpanan dalam Data Lake.
  • Penggunaan CMEK dengan Cloud KMS dapat menimbulkan biaya tambahan, bergantung pada pola penggunaan Anda.

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google SecOps. Anda mengelola dan menyimpan kunci ini di Cloud KMS. Data di SecOps Data Lake dienkripsi saat dalam penyimpanan. Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, Google SecOps akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data dalam penyimpanan di Data Lake. Penggunaan CMEK dengan Cloud KMS dapat menimbulkan biaya tambahan, bergantung pada pola penggunaan Anda. Pelajari harga Cloud KMS lebih lanjut.

Dukungan CMEK menurut wilayah

Wilayah berikut mendukung CMEK:

  • europe-west3 (Frankfurt, Jerman)
  • europe-west12 (Turin, Italia)

Mengaktifkan CMEK

Langkah-langkah berikut menguraikan proses tingkat tinggi untuk mengaktifkan CMEK dengan Google SecOps:

  1. Menyediakan konfigurasi instance Google SecOps: Terima undangan penyediaan untuk memulai. Tim pakar Google SecOps kami akan menangani konfigurasi dan integrasi khusus.
  2. Buat kunci Cloud KMS di region tempat Anda berencana menghosting instance.
  3. Buat instance Google SecOps baru dan pilih kunci CMEK yang Anda buat di Langkah 2. Anda akan diminta untuk memberikan akses ke kunci ini kepada Google SecOps selama pembuatan instance.
  4. Opsional: Jadwalkan rotasi kunci untuk setiap kunci. Kami merekomendasikan praktik keamanan ini untuk meminimalkan dampak potensi penyusupan kunci.

Setelah menyelesaikan orientasi, Anda tidak perlu lagi memberikan kunci menggunakan API atau UI untuk instance tersebut.

Pengelolaan kunci

Anda mengelola kunci menggunakan Cloud KMS. Google SecOps tidak dapat mendeteksi atau menindaklanjuti perubahan kunci apa pun hingga perubahan tersebut disebarkan oleh Cloud KMS. Meskipun perubahan izin biasanya cepat, perubahan yang signifikan, seperti menonaktifkan atau menghapus kunci, dapat memerlukan waktu hingga empat jam agar dapat diterapkan di Google SecOps. Pelajari Cloud KMS dan Tujuan Tingkat Layanan Cloud KMS lebih lanjut.

Jika Anda menonaktifkan kunci CMEK, Google SecOps akan kehilangan akses ke data Anda dan tidak dapat lagi memprosesnya. Artinya, Google SecOps tidak dapat membaca, menulis, atau memperbarui data yang ada, dan tidak dapat menyerap data baru. Jika Anda tidak mengaktifkan kembali kunci, data akan dihapus setelah 30 hari. Saat Anda mengaktifkan kembali akses kunci KMS, Google SecOps akan otomatis mulai menyerap dan memproses data baru sejak kunci dinonaktifkan.

Google SecOps mendukung dua jenis pengelolaan kunci:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.