CMEK para o Google Security Operations

Este documento descreve como configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para o Google Security Operations. Por padrão, o Google SecOps criptografa dados de clientes em repouso usando a criptografia padrão do Google sem que você precise fazer nada. No entanto, para ter mais controle sobre as chaves de criptografia ou quando exigido por uma organização, a CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service. O uso de CMEKs oferece controle total sobre as chaves de criptografia, incluindo o gerenciamento do ciclo de vida, da rotação e das políticas de acesso. Ao configurar a CMEK, o serviço criptografa automaticamente todos os dados usando a chave especificada. Saiba mais sobre a CMEK.

Usar CMEKs no Cloud KMS

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps, da seguinte forma:

  • Você gerencia e armazena essas chaves no Cloud KMS.
  • Os dados no data lake do Google SecOps são criptografados em repouso.
  • Quando você configura sua instância do Google SecOps com uma CMEK, ela usa a chave do Cloud KMS selecionada para criptografar dados em repouso no data lake.
  • O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso.

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps. Você gerencia e armazena essas chaves no Cloud KMS. Os dados no data lake de SecOps são criptografados em repouso. Quando você configura sua instância do Google SecOps com uma CMEK, o Google SecOps usa a chave do Cloud KMS selecionada para criptografar seus dados em repouso no data lake. O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso. Saiba mais sobre os preços do Cloud KMS.

Suporte da CMEK por região

As seguintes regiões oferecem suporte a CMEKs:

  • africa-south1 (Joanesburgo, África do Sul)
  • europe-west3 (Frankfurt, Alemanha)
  • europe-west2 (Londres, Reino Unido)
  • europe-west12 (Turim, Itália)

Ativar a CMEK

As etapas a seguir descrevem o processo geral para integrar a CMEK com o Google SecOps:

  1. Provisionar a configuração de uma instância do Google SecOps: aceite o convite de provisionamento para começar. Nossa equipe especializada de SecOps do Google vai cuidar da configuração e integração especializadas.
  2. Crie uma chave do Cloud KMS na região em que você planeja hospedar a instância.
  3. Crie uma instância do Google SecOps e selecione a chave CMEK criada na etapa 2. Você vai precisar conceder acesso do Google SecOps a essa chave durante a criação da instância.
  4. Opcional: programe uma rotação de chaves para cada chave. Recomendamos essa prática de segurança para minimizar o impacto de um possível comprometimento de chave.

Depois de concluir a integração, não será mais necessário fornecer uma chave usando a API ou UI para essa instância.

Gerenciamento de chaves

Você gerencia suas chaves usando o Cloud KMS. O Google SecOps não pode detectar nem agir sobre nenhuma mudança de chave até que seja propagada pelo Cloud KMS. Embora as mudanças de permissão sejam geralmente rápidas, as alterações significativas, como desativar ou excluir uma chave, podem levar até quatro horas para entrar em vigor no Google SecOps. Saiba mais sobre o Cloud KMS e os objetivos de nível de serviço do Cloud KMS.

Quando você desativa a chave CMEK, o Google SecOps perde o acesso aos seus dados e não pode mais processá-los. Isso significa que o Google SecOps não pode ler, gravar ou atualizar dados atuais nem ingerir novos dados. Se você não reativar a chave, os dados serão excluídos após 30 dias. Quando você reativa o acesso à chave do KMS, o Google SecOps começa automaticamente a ingerir e processar novos dados desde que a chave foi desativada.

O Google SecOps é compatível com dois tipos de gerenciamento de chaves:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.