Esta página foi traduzida pela API Cloud Translation.

CMEK para o Google Security Operations

Este documento descreve como configurar chaves de encriptação geridas pelo cliente (CMEK) para o Google Security Operations. Por predefinição, o Google SecOps encripta os dados de clientes em repouso através da encriptação predefinida da Google, sem que seja necessária qualquer ação adicional da sua parte. No entanto, para ter mais controlo sobre as chaves de encriptação ou quando exigido por uma organização, a CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de encriptação que lhe pertencem, que gere e que armazena no Cloud Key Management Service. A utilização de CMEKs oferece controlo total sobre as chaves de encriptação, incluindo a gestão do respetivo ciclo de vida, rotação e políticas de acesso. Quando configura a CMEK, o serviço encripta automaticamente todos os dados com a chave especificada. Saiba mais acerca das CMEK.

Use CMEKs no Cloud KMS

Para controlar as suas chaves de encriptação, pode usar CMEKs no Cloud KMS com serviços integrados com CMEKs, incluindo o Google SecOps, da seguinte forma:

Gerir e armazenar estas chaves no Cloud KMS.
Os dados no Google SecOps Data Lake são encriptados em repouso.
Quando configura a sua instância do Google SecOps com uma CMEK, esta usa a chave do Cloud KMS selecionada para encriptar os dados em repouso no Data Lake.
A utilização da CMEK com o Cloud KMS pode incorrer em custos adicionais, consoante os seus padrões de utilização.

Para controlar as suas chaves de encriptação, pode usar CMEKs no Cloud KMS com serviços integrados com CMEK, incluindo o Google SecOps. Gerir e armazenar estas chaves no Cloud KMS. Os dados no SecOps Data Lake são encriptados em repouso. Quando configura a sua instância do Google SecOps com uma CMEK, o Google SecOps usa a chave do Cloud KMS selecionada para encriptar os seus dados em repouso no lago de dados. A utilização da CMEK com o Cloud KMS pode incorrer em custos adicionais, consoante os seus padrões de utilização. Saiba mais acerca dos preços do Cloud KMS.

Suporte de CMEK por região

As seguintes regiões suportam CMEKs:

africa-south1 (Joanesburgo, África do Sul)
europe-west3 (Frankfurt, Alemanha)
europe-west2 (Londres, Reino Unido)
europe-west12 (Turim, Itália)

Ative as CMEK

Os passos seguintes descrevem o processo de integração de nível elevado da CMEK com o Google SecOps:

Aprovisione a configuração de uma instância do Google SecOps: aceite o convite de aprovisionamento para começar. A nossa equipa de especialistas do Google SecOps vai tratar da configuração e integração especializadas.
Crie uma chave do Cloud KMS na região onde planeia alojar a sua instância.
Crie uma nova instância do Google SecOps e selecione a chave CMEK que criou no passo 2. É-lhe pedido que conceda acesso do Google SecOps a esta chave durante a criação da instância.
Opcional: agende uma alteração da chave para cada chave. Recomendamos esta prática de segurança para minimizar o impacto de uma potencial violação de chaves.

Depois de concluir a integração, já não precisa de fornecer uma chave através da API ou da IU para essa instância.

Gestão de chaves

Gerir as chaves através do Cloud KMS. O Google SecOps não consegue detetar nem agir em relação a alterações de chaves até que sejam propagadas pelo Cloud KMS. Embora as alterações às autorizações sejam normalmente rápidas, as alterações significativas, como desativar ou eliminar uma chave, podem demorar até quatro horas a entrar em vigor no Google SecOps. Saiba mais acerca do Cloud KMS e dos objetivos ao nível do serviço do Cloud KMS.

Quando desativa a chave CMEK, o Google SecOps perde o acesso aos seus dados e deixa de os poder processar. Isto significa que o Google SecOps não pode ler, escrever nem atualizar dados existentes, e não pode carregar novos dados. Se não reativar a chave, os dados são eliminados após 30 dias. Quando reativa o acesso à chave do KMS, o Google SecOps começa automaticamente a carregar e processar todos os novos dados desde que a chave foi desativada.

O Google SecOps suporta dois tipos de gestão de chaves:

Crie uma chave do Cloud KMS (recomendado)
Use o Cloud External Key Manager (Cloud EKM): a utilização de chaves do Cloud EKM pode afetar a disponibilidade devido à dependência de sistemas externos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.