Google Security Operations の CMEK
このドキュメントでは、Google Security Operations 用に顧客管理の暗号鍵(CMEK)を構成する方法について説明します。Google SecOps は、Google のデフォルトの暗号化を使用して、お客様のデータを保存時にデフォルトで暗号化します。お客様が追加で操作を行う必要はありません。ただし、暗号鍵をより細かく制御する場合や、組織で義務付けられている場合は、Google SecOps インスタンスで CMEK を使用できます。
CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。CMEK を使用すると、暗号鍵のライフサイクル、ローテーション、アクセス ポリシーの管理など、暗号鍵を完全に制御できます。CMEK を構成すると、サービスは指定された鍵を使用してすべてのデータを自動的に暗号化します。CMEK の詳細を確認する。
Cloud KMS で CMEK を使用する
暗号鍵を制御するには、次のように、Cloud KMS の CMEK を CMEK 統合サービス(Google SecOps など)で使用します。
- これらの鍵は Cloud KMS で管理および保存します。
- Google SecOps Data Lake のデータは保存時に暗号化されます。
- CMEK を使用して Google SecOps インスタンスを構成すると、選択した Cloud KMS 鍵を使用して、データレイク内の保存データが暗号化されます。
- Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。
暗号鍵を制御するには、Cloud KMS の CMEK を、Google SecOps などの CMEK 統合サービスで使用します。これらの鍵は Cloud KMS で管理および保存します。SecOps Data Lake のデータは保存時に暗号化されます。CMEK を使用して Google SecOps インスタンスを構成すると、Google SecOps は選択した Cloud KMS 鍵を使用して、データレイク内の保存データを暗号化します。Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。Cloud KMS の料金の詳細を確認する。
リージョン別の CMEK サポート
次のリージョンでは CMEK がサポートされています。
- africa-south1(ヨハネスブルグ、南アフリカ)
- europe-west3(ドイツ、フランクフルト)
- europe-west2(英国、ロンドン)
- europe-west12(トリノ、イタリア)
CMEK を有効にする
次の手順は、Google SecOps で CMEK をオンボーディングするプロセスの概要を示しています。
- Google SecOps インスタンスの構成をプロビジョニングする: プロビジョニングの招待を承諾して開始します。専門的な構成と統合は、Google の SecOps チームが担当します。
- インスタンスをホストする予定のリージョンに Cloud KMS 鍵を作成します。
- 新しい Google SecOps インスタンスを作成し、ステップ 2 で作成した CMEK 鍵を選択します。インスタンスの作成時に、この鍵へのアクセス権を Google SecOps に付与するよう求められます。
- 省略可: 鍵ごとに鍵のローテーションをスケジュールします。このセキュリティ対策は、鍵の漏洩による影響を最小限に抑えるために推奨されています。
オンボーディングが完了すると、そのインスタンスの API または UI を使用してキーを指定する必要がなくなります。
鍵管理
鍵は Cloud KMS を使用して管理します。Cloud KMS によって伝播されるまで、Google SecOps は鍵の変更を検出したり操作したりすることはできません。通常、権限の変更はすぐに反映されますが、鍵の無効化や削除などの大幅な変更は、Google SecOps で反映されるまでに最大 4 時間かかることがあります。Cloud KMS と Cloud KMS サービスレベル目標の詳細を確認する。
CMEK 鍵を無効にすると、Google SecOps はデータにアクセスできなくなり、データを処理できなくなります。つまり、Google SecOps は既存のデータの読み取り、書き込み、更新を行うことができず、新しいデータを取り込むこともできません。キーを再度有効にしない場合、データは 30 日後に削除されます。KMS 鍵アクセスを再度有効にすると、鍵が無効になってから生成された新しいデータの取り込みと処理が自動的に開始されます。
Google SecOps は、次の 2 種類の鍵管理をサポートしています。
- Cloud KMS 鍵を作成する(推奨)
- Cloud External Key Manager(Cloud EKM)を使用する - Cloud EKM 鍵を使用すると、外部システムへの依存により可用性に影響する可能性があります。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。