CMEK per Google Security Operations

Questo documento illustra come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Google Security Operations. Google SecOps cripta i dati inattivi dei clienti per impostazione predefinita utilizzando la crittografia predefinita di Google senza che tu debba fare altro. Tuttavia, per un maggiore controllo sulle chiavi di crittografia o se richiesto da un'organizzazione, CMEK è disponibile per le istanze Google SecOps.

Le chiavi CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service. L'utilizzo delle chiavi CMEK offre il controllo completo sulle chiavi di crittografia, inclusa la gestione del loro ciclo di vita, della rotazione e dei criteri di accesso. Quando configuri CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Scopri di più su CMEK.

Utilizzare le chiavi CMEK in Cloud KMS

Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con i servizi integrati con CMEK, tra cui Google SecOps, come segue:

• Gestisci e memorizzi queste chiavi in Cloud KMS.
• I dati nel data lake Google SecOps sono criptati quando sono inattivi.
• Quando configuri l'istanza Google SecOps con una chiave CMEK, viene utilizzata la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del data lake.
• L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei pattern di utilizzo.

Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con servizi integrati con CMEK, tra cui Google SecOps. Gestisci e memorizzi queste chiavi in Cloud KMS. I dati nel data lake SecOps sono criptati at-rest. Quando configuri l'istanza Google SecOps con una chiave CMEK, Google SecOps utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del data lake. L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei pattern di utilizzo. Scopri di più sui prezzi di Cloud KMS.

Supporto CMEK per regione

Le seguenti regioni supportano i CMEK:

• europe-west3 (Francoforte, Germania)
• europe-west12 (Torino, Italia)

Attivare CMEK

I passaggi riportati di seguito descrivono la procedura di alto livello per l'onboarding di CMEK con Google SecOps:

1. Esegui il provisioning della configurazione di un'istanza Google SecOps: accetta l'invito al provisioning per iniziare. Il nostro team di esperti Google SecOps gestirà la configurazione e l'integrazione specializzata.
2. Crea una chiave Cloud KMS nella regione in cui prevedi di ospitare l'istanza.
3. Crea una nuova istanza Google SecOps e seleziona la chiave CMEK che hai creato nel passaggio 2. Ti verrà chiesto di concedere a Google SecOps l'accesso a questa chiave durante la creazione dell'istanza.
4. (Facoltativo) Pianifica una rotazione delle chiavi per ogni chiave. Abbiamo consigliato questa prassi di sicurezza per ridurre al minimo l'impatto di una potenziale compromissione della chiave.

Una volta completato l'onboarding, non dovrai più fornire una chiave utilizzando l'API o l'interfaccia utente per l'istanza.

Gestione delle chiavi

Gestisci le tue chiavi utilizzando Cloud KMS. Google SecOps non può rilevare o intervenire su eventuali modifiche alle chiavi finché non vengono propagate da Cloud KMS. Sebbene le modifiche alle autorizzazioni siano in genere rapide, quelle significative, come la disattivazione o l'eliminazione di una chiave, possono richiedere fino a quattro ore per essere applicate in Google SecOps. Scopri di più su Cloud KMS e sugli obiettivi di livello del servizio Cloud KMS.

Quando disattivi la chiave CMEK, Google SecOps perde l'accesso ai tuoi dati e non può più elaborarli. Ciò significa che Google SecOps non può leggere, scrivere o aggiornare i dati esistenti e non può importare nuovi dati. Se non riattivi la chiave, i dati verranno eliminati dopo 30 giorni. Quando riattivi l'accesso alla chiave KMS, Google SecOps inizia automaticamente a importare ed elaborare i nuovi dati da quando la chiave è stata disattivata.

Google SecOps supporta due tipi di gestione delle chiavi:

• Crea una chiave Cloud KMS (opzione consigliata)
• Utilizza Cloud External Key Manager (Cloud EKM): l'utilizzo delle chiavi Cloud EKM potrebbe influire sulla disponibilità a causa della dipendenza da sistemi esterni.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.