Google Security Operations の CMEK

このドキュメントでは、Google Security Operations 用に顧客管理の暗号鍵(CMEK)を構成する方法について説明します。Google SecOps は、Google のデフォルトの暗号化を使用して、お客様のデータを保存時にデフォルトで暗号化します。お客様が追加で操作を行う必要はありません。ただし、暗号鍵をより細かく制御する場合や、組織で義務付けられている場合は、Google SecOps インスタンスで CMEK を使用できます。

CMEK は、ユーザーが所有、管理し、Cloud Key Management Service に保存する暗号鍵です。CMEK を使用すると、暗号鍵のライフサイクル、ローテーション、アクセス ポリシーの管理など、暗号鍵を完全に制御できます。CMEK を構成すると、サービスは指定された鍵を使用してすべてのデータを自動的に暗号化します。CMEK の詳細を確認する。

Cloud KMS で CMEK を使用する

暗号鍵を制御するには、次のように、Cloud KMS の CMEK を CMEK 統合サービス(Google SecOps など)で使用します。

  • これらの鍵は Cloud KMS で管理および保存します。
  • Google SecOps Data Lake のデータは保存時に暗号化されます。
  • CMEK を使用して Google SecOps インスタンスを構成すると、選択した Cloud KMS 鍵を使用して、データレイク内の保存データが暗号化されます。
  • Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。

暗号鍵を制御するには、Cloud KMS の CMEK を、Google SecOps などの CMEK 統合サービスで使用します。これらの鍵は Cloud KMS で管理および保存します。SecOps Data Lake のデータは保存時に暗号化されます。CMEK を使用して Google SecOps インスタンスを構成すると、Google SecOps は選択した Cloud KMS 鍵を使用して、データレイク内の保存データを暗号化します。Cloud KMS で CMEK を使用すると、使用パターンによっては追加費用が発生する場合があります。Cloud KMS の料金の詳細を確認する。

リージョン別の CMEK サポート

次のリージョンでは CMEK がサポートされています。

  • africa-south1(ヨハネスブルグ、南アフリカ)
  • europe-west3(ドイツ、フランクフルト)
  • europe-west2(英国、ロンドン)
  • europe-west12(トリノ、イタリア)

CMEK を有効にする

次の手順は、Google SecOps で CMEK をオンボーディングするプロセスの概要を示しています。

  1. Google SecOps インスタンスの構成をプロビジョニングする: プロビジョニングの招待を承諾して開始します。専門的な構成と統合は、Google の SecOps チームが担当します。
  2. インスタンスをホストする予定のリージョンに Cloud KMS 鍵を作成します。
  3. 新しい Google SecOps インスタンスを作成し、ステップ 2 で作成した CMEK 鍵を選択します。インスタンスの作成時に、この鍵へのアクセス権を Google SecOps に付与するよう求められます。
  4. 省略可: 鍵ごとに鍵のローテーションをスケジュールします。このセキュリティ対策は、鍵の漏洩による影響を最小限に抑えるために推奨されています。

オンボーディングが完了すると、そのインスタンスの API または UI を使用してキーを指定する必要がなくなります。

鍵管理

鍵は Cloud KMS を使用して管理します。Cloud KMS によって伝播されるまで、Google SecOps は鍵の変更を検出したり操作したりすることはできません。通常、権限の変更はすぐに反映されますが、鍵の無効化や削除などの大幅な変更は、Google SecOps で反映されるまでに最大 4 時間かかることがあります。Cloud KMSCloud KMS サービスレベル目標の詳細を確認する。

CMEK 鍵を無効にすると、Google SecOps はデータにアクセスできなくなり、データを処理できなくなります。つまり、Google SecOps は既存のデータの読み取り、書き込み、更新を行うことができず、新しいデータを取り込むこともできません。キーを再度有効にしない場合、データは 30 日後に削除されます。KMS 鍵アクセスを再度有効にすると、鍵が無効になってから生成された新しいデータの取り込みと処理が自動的に開始されます。

Google SecOps は、次の 2 種類の鍵管理をサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。