CMEK untuk Google Security Operations

Dokumen ini menguraikan cara mengonfigurasi kunci enkripsi yang dikelola pelanggan (CMEK) untuk Google Security Operations. SecOps Google mengenkripsi data pelanggan dalam penyimpanan secara default menggunakan enkripsi default Google tanpa tindakan tambahan apa pun dari Anda. Namun, untuk kontrol yang lebih besar atas kunci enkripsi atau jika diwajibkan oleh organisasi, CMEK tersedia untuk instance Google SecOps.

CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service. Penggunaan CMEK memberikan kontrol penuh atas kunci enkripsi, termasuk mengelola siklus proses, rotasi, dan kebijakan aksesnya. Saat Anda mengonfigurasi CMEK, layanan akan otomatis mengenkripsi semua data menggunakan kunci yang ditentukan. Pelajari CMEK lebih lanjut.

Menggunakan CMEK di Cloud KMS

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google SecOps, sebagai berikut:

  • Anda mengelola dan menyimpan kunci ini di Cloud KMS.
  • Data di Google SecOps Data Lake dienkripsi dalam penyimpanan.
  • Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, instance tersebut akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data dalam penyimpanan di dalam Data Lake.
  • Penggunaan CMEK dengan Cloud KMS dapat menimbulkan biaya tambahan, bergantung pada pola penggunaan Anda.

Untuk mengontrol kunci enkripsi, Anda dapat menggunakan CMEK di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google SecOps. Anda mengelola dan menyimpan kunci ini di Cloud KMS. Data di SecOps Data Lake dienkripsi saat dalam penyimpanan. Saat Anda mengonfigurasi instance Google SecOps dengan CMEK, Google SecOps akan menggunakan kunci Cloud KMS yang dipilih untuk mengenkripsi data Anda dalam penyimpanan di Data Lake. Penggunaan CMEK dengan Cloud KMS dapat menimbulkan biaya tambahan, bergantung pada pola penggunaan Anda. Pelajari lebih lanjut harga Cloud KMS.

Dukungan CMEK menurut region

Region berikut mendukung CMEK:

  • africa-south1 (Johannesburg, Afrika Selatan)
  • europe-west3 (Frankfurt, Jerman)
  • europe-west2 (London, Inggris Raya)
  • europe-west12 (Turin, Italia)

Mengaktifkan CMEK

Langkah-langkah berikut menguraikan proses tingkat tinggi untuk mengaktifkan CMEK dengan Google SecOps:

  1. Menyediakan konfigurasi instance Google SecOps: Terima undangan penyediaan untuk memulai. Tim Google SecOps ahli kami akan menangani konfigurasi dan integrasi khusus.
  2. Buat kunci Cloud KMS di region tempat Anda berencana menghosting instance.
  3. Buat instance Google SecOps baru dan pilih kunci CMEK yang Anda buat di Langkah 2. Anda akan diminta untuk memberikan akses Google SecOps ke kunci ini selama pembuatan instance.
  4. Opsional: Jadwalkan rotasi kunci untuk setiap kunci. Kami merekomendasikan praktik keamanan ini untuk meminimalkan dampak potensi penyusupan kunci.

Setelah menyelesaikan aktivasi, Anda tidak perlu lagi memberikan kunci menggunakan API atau UI untuk instance tersebut.

Pengelolaan kunci

Anda mengelola kunci menggunakan Cloud KMS. Google SecOps tidak dapat mendeteksi atau menindaklanjuti perubahan kunci apa pun hingga perubahan tersebut diterapkan oleh Cloud KMS. Meskipun perubahan izin biasanya cepat, perubahan signifikan, seperti menonaktifkan atau menghapus kunci, dapat memerlukan waktu hingga empat jam agar diterapkan di Google SecOps. Pelajari lebih lanjut Cloud KMS dan Tujuan Tingkat Layanan Cloud KMS.

Saat Anda menonaktifkan kunci CMEK, Google SecOps akan kehilangan akses ke data Anda dan tidak dapat lagi memprosesnya. Artinya, Google SecOps tidak dapat membaca, menulis, atau memperbarui data yang ada, dan tidak dapat menyerap data baru. Jika Anda tidak mengaktifkan kembali kunci, data akan dihapus setelah 30 hari. Saat Anda mengaktifkan kembali akses kunci KMS, Google SecOps akan otomatis mulai menyerap dan memproses data baru sejak kunci dinonaktifkan.

Google SecOps mendukung dua jenis pengelolaan kunci:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.