CMEK para o Google Security Operations

Este documento descreve como configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para as Operações de segurança do Google. O Google SecOps criptografa os dados do cliente em repouso por padrão usando a criptografia padrão do Google sem que você precise fazer nada. No entanto, para ter mais controle sobre as chaves de criptografia ou quando exigido por uma organização, a CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service. O uso de CMEKs oferece controle total sobre as chaves de criptografia, incluindo o gerenciamento do ciclo de vida, da rotação e das políticas de acesso. Quando você configura a CMEK, o serviço criptografa automaticamente todos os dados usando a chave especificada. Saiba mais sobre o CMEK.

Usar CMEKs no Cloud KMS

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps, da seguinte maneira:

  • Você gerencia e armazena essas chaves no Cloud KMS.
  • Os dados no data lake do Google SecOps são criptografados em repouso.
  • Quando você configura a instância do Google SecOps com uma CMEK, ela usa a chave do Cloud KMS selecionada para criptografar dados em repouso no Data Lake.
  • O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso.

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps. Você gerencia e armazena essas chaves no Cloud KMS. Os dados no data lake do SecOps são criptografados em repouso. Quando você configura a instância do Google SecOps com uma CMEK, ele usa a chave do Cloud KMS selecionada para criptografar os dados em repouso no Data Lake. O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso. Saiba mais sobre os preços do Cloud KMS.

Suporte a CMEK por região

As regiões a seguir oferecem suporte a CMEKs:

  • europe-west3 (Frankfurt, Alemanha)
  • europe-west12 (Turim, Itália)

Ativar a CMEK

As etapas a seguir descrevem o processo geral para integrar a CMEK ao Google SecOps:

  1. Provisionar a configuração de uma instância do Google SecOps: aceite o convite de provisionamento para começar. Nossa equipe de especialistas em SecOps do Google vai cuidar da configuração e integração especializadas.
  2. Crie uma chave do Cloud KMS na região em que você planeja hospedar a instância.
  3. Crie uma nova instância do Google SecOps e selecione a chave CMEK criada na etapa 2. Você vai precisar conceder acesso à chave ao Google SecOps durante a criação da instância.
  4. Opcional: programe uma rotação de chaves para cada chave. Recomendamos essa prática de segurança para minimizar o impacto de possíveis comprometimentos de chaves.

Depois de concluir a integração, não será mais necessário fornecer uma chave usando a API ou a interface para essa instância.

Gerenciamento de chaves

Você gerencia suas chaves usando o Cloud KMS. O Google SecOps não pode detectar nem agir sobre nenhuma alteração de chave até que seja propagada pelo Cloud KMS. Embora as mudanças de permissão sejam geralmente rápidas, mudanças significativas, como a desativação ou exclusão de uma chave, podem levar até quatro horas para entrar em vigor no Google SecOps. Saiba mais sobre o Cloud KMS e as metas de nível de serviço do Cloud KMS.

Quando você desativa a chave CMEK, o Google SecOps perde o acesso aos seus dados e não pode mais processá-los. Isso significa que o Google SecOps não pode ler, gravar nem atualizar dados existentes, nem ingerir novos dados. Se você não reativar a chave, os dados serão excluídos após 30 dias. Quando você reativa o acesso à chave do KMS, o Google SecOps começa a ingerir e processar automaticamente todos os novos dados desde que a chave foi desativada.

O Google SecOps oferece suporte a dois tipos de gerenciamento de chaves:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.