CMEK per Google Security Operations
Questo documento descrive come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Google Security Operations. Google SecOps cripta i dati archiviati non attivi dei clienti per impostazione predefinita utilizzando la crittografia predefinita di Google senza ulteriori azioni da parte tua. Tuttavia, per un maggiore controllo sulle chiavi di crittografia o quando richiesto da un'organizzazione, CMEK è disponibile per le istanze Google SecOps.
Le CMEK sono chiavi di crittografia di tua proprietà, che gestisci e memorizzi in Cloud Key Management Service. L'utilizzo delle chiavi CMEK offre il controllo completo sulle chiavi di crittografia, inclusa la gestione del ciclo di vita, della rotazione e delle norme di accesso. Quando configuri CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Scopri di più su CMEK.
Utilizzare le chiavi CMEK in Cloud KMS
Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con i servizi integrati con CMEK, tra cui Google SecOps, nel seguente modo:
- Gestisci e archivi queste chiavi in Cloud KMS.
- I dati nel data lake di Google SecOps sono criptati at-rest.
- Quando configuri l'istanza Google SecOps con una CMEK, utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del Data Lake.
- L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei tuoi pattern di utilizzo.
Per controllare le chiavi di crittografia, puoi utilizzare le chiavi CMEK in Cloud KMS con i servizi integrati con CMEK, tra cui Google SecOps. Gestisci e archivi queste chiavi in Cloud KMS. I dati nel data lake SecOps sono criptati at-rest. Quando configuri l'istanza Google SecOps con una chiave CMEK, Google SecOps utilizza la chiave Cloud KMS selezionata per criptare i dati at-rest all'interno del data lake. L'utilizzo di CMEK con Cloud KMS potrebbe comportare costi aggiuntivi, a seconda dei tuoi pattern di utilizzo. Scopri di più sui prezzi di Cloud KMS.
Supporto di CMEK per regione
Le seguenti regioni supportano le chiavi CMEK:
- africa-south1 (Johannesburg, Sudafrica)
- europe-west3 (Francoforte, Germania)
- europe-west2 (Londra, Regno Unito)
- europe-west12 (Torino, Italia)
Attivare CMEK
I seguenti passaggi descrivono la procedura generale per l'onboarding di CMEK con Google SecOps:
- Esegui il provisioning della configurazione di un'istanza Google SecOps: accetta l'invito al provisioning per iniziare. Il nostro team di esperti di Google SecOps si occuperà della configurazione e dell'integrazione specializzate.
- Crea una chiave Cloud KMS nella regione in cui prevedi di ospitare l'istanza.
- Crea una nuova istanza Google SecOps e seleziona la chiave CMEK che hai creato nel passaggio 2. Ti verrà chiesto di concedere a Google SecOps l'accesso a questa chiave durante la creazione dell'istanza.
- (Facoltativo) Pianifica una rotazione delle chiavi per ogni chiave. Abbiamo consigliato questa pratica di sicurezza per ridurre al minimo l'impatto di una potenziale compromissione delle chiavi.
Una volta completato l'onboarding, non devi più fornire una chiave utilizzando l'API o la UI per quell'istanza.
Gestione delle chiavi
Gestisci le chiavi utilizzando Cloud KMS. Google SecOps non può rilevare o intervenire su eventuali modifiche alle chiavi finché non vengono propagate da Cloud KMS. Sebbene le modifiche alle autorizzazioni siano in genere rapide, le modifiche significative, come la disattivazione o l'eliminazione di una chiave, possono richiedere fino a quattro ore per essere applicate in Google SecOps. Scopri di più su Cloud KMS e sugli obiettivi del livello di servizio di Cloud KMS.
Quando disattivi la chiave CMEK, Google SecOps perde l'accesso ai tuoi dati e non può più elaborarli. Ciò significa che Google SecOps non può leggere, scrivere o aggiornare i dati esistenti e non può importare nuovi dati. Se non riattivi la chiave, i dati verranno eliminati dopo 30 giorni. Quando riattivi l'accesso alla chiave KMS, Google SecOps inizia automaticamente a importare ed elaborare i nuovi dati da quando la chiave è stata disattivata.
Google SecOps supporta due tipi di gestione delle chiavi:
- Crea una chiave Cloud KMS (consigliato)
- Utilizza Cloud External Key Manager (Cloud EKM): l'utilizzo delle chiavi Cloud EKM potrebbe influire sulla disponibilità a causa della dipendenza da sistemi esterni.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.