Google Security Operations 的 CMEK

本文档概述了如何为 Google Security Operations 配置客户管理的加密密钥 (CMEK)。Google SecOps 默认使用 Google 默认加密对静态客户数据进行加密，无需您采取任何额外操作。不过，如果您需要更好地控制加密密钥，或者组织有相关要求，则可以为 Google SecOps 实例使用 CMEK。

CMEK 是您拥有、管理和存储在 Cloud Key Management Service 中的加密密钥。使用 CMEK 可完全控制加密密钥，包括管理其生命周期、轮替和访问权限政策。配置 CMEK 后，服务会自动使用指定的密钥加密所有数据。详细了解 CMEK。

在 Cloud KMS 中使用 CMEK

如需控制加密密钥，您可以将 Cloud KMS 中的 CMEK 与集成 CMEK 的服务（包括 Google SecOps）搭配使用，具体操作如下：

• 您可以在 Cloud KMS 中管理和存储这些密钥。
• Google SecOps 数据湖中的数据会进行静态加密。
• 当您为 Google SecOps 实例配置 CMEK 时，该实例会使用所选的 Cloud KMS 密钥来加密数据湖中的静态数据。
• 将 CMEK 与 Cloud KMS 搭配使用可能会产生额外费用，具体取决于您的使用模式。

如需控制加密密钥，您可以将 Cloud KMS 中的 CMEK 与集成 CMEK 的服务（包括 Google SecOps）搭配使用。您可以在 Cloud KMS 中管理和存储这些密钥。SecOps 数据湖中的静态数据会经过加密。当您为 Google SecOps 实例配置 CMEK 时，Google SecOps 会使用所选的 Cloud KMS 密钥来加密数据湖中的静态数据。将 CMEK 与 Cloud KMS 搭配使用可能会产生额外费用，具体取决于您的使用模式。详细了解 Cloud KMS 价格。

各区域的 CMEK 支持情况

以下区域支持 CMEK：

• africa-south1（南非约翰内斯堡）
• europe-west3（德国法兰克福）
• europe-west2（英国伦敦）
• europe-west12（意大利都灵）

启用 CMEK

以下步骤概述了通过 Google SecOps 启用 CMEK 的流程：

1. 配置 Google SecOps 实例：接受配置邀请以开始配置。我们专业的 Google SecOps 团队将负责处理专门的配置和集成。
2. 在您计划托管实例的区域中创建 Cloud KMS 密钥。
3. 创建新的 Google SecOps 实例，然后选择您在第 2 步中创建的 CMEK 密钥。在创建实例期间，系统会提示您授予 Google SecOps 对此密钥的访问权限。
4. 可选：为每个密钥安排密钥轮替。我们建议采用这种安全做法，以最大限度地减少潜在的密钥泄露带来的影响。

完成初始配置后，您无需再通过 API 或界面为相应实例提供密钥。

密钥管理

您可以使用 Cloud KMS 管理密钥。在 Cloud KMS 传播任何密钥更改之前，Google SecOps 无法检测或处理任何密钥更改。虽然权限更改通常很快，但重大更改（例如停用或删除密钥）最多可能需要 4 小时才能在 Google SecOps 中生效。详细了解 Cloud KMS 和 Cloud KMS 服务等级目标。

停用 CMEK 密钥后，Google SecOps 将无法再访问您的数据，也无法再处理这些数据。这意味着 Google SecOps 无法读取、写入或更新现有数据，也无法注入任何新数据。如果您未重新启用密钥，数据将在 30 天后被删除。重新启用 KMS 密钥访问权限后，Google SecOps 会自动开始提取和处理自密钥停用以来的所有新数据。

Google SecOps 支持两种类型的密钥管理：

• 创建 Cloud KMS 密钥（推荐）
• 使用 Cloud External Key Manager (Cloud EKM) (Cloud EKM) - 由于依赖外部系统，使用 Cloud EKM 密钥可能会影响可用性。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。