适用于 Google Security Operations 的 CMEK

本文档简要介绍了如何为 Google 安全运营配置客户管理的加密密钥 (CMEK)。默认情况下，Google SecOps 会使用 Google 默认加密对静态存储的客户数据进行加密，无需您采取任何额外操作。不过，如果您需要更好地控制加密密钥，或者组织强制要求，则可以为 Google SecOps 实例使用 CMEK。

CMEK 是您拥有、管理并存储在 Cloud Key Management Service 中的加密密钥。使用 CMEK 可完全控制加密密钥，包括管理其生命周期、轮替和访问权限政策。您配置 CMEK 后，该服务会自动使用指定的密钥加密所有数据。详细了解 CMEK。

在 Cloud KMS 中使用 CMEK

如需控制加密密钥，您可以将 Cloud KMS 中的 CMEK 与集成 CMEK 的服务（包括 Google SecOps）结合使用，具体方法如下：

• 您可以在 Cloud KMS 中管理和存储这些密钥。
• Google SecOps 数据湖中的数据处于静态加密状态。
• 使用 CMEK 配置 Google SecOps 实例后，该实例会使用所选的 Cloud KMS 密钥来加密数据湖中的静态数据。
• 将 CMEK 与 Cloud KMS 搭配使用可能会产生额外费用，具体取决于您的使用模式。

如需控制加密密钥，您可以在 Cloud KMS 中使用 CMEK，并将其与集成 CMEK 的服务（包括 Google SecOps）搭配使用。您可以在 Cloud KMS 中管理和存储这些密钥。SecOps 数据湖中的数据在静态时会被加密。使用 CMEK 配置 Google SecOps 实例后，Google SecOps 会使用所选的 Cloud KMS 密钥来加密数据湖中的静态数据。 将 CMEK 与 Cloud KMS 搭配使用可能会产生额外费用，具体取决于您的使用模式。详细了解 Cloud KMS 价格。

CMEK 支持情况（按区域）

以下区域支持 CMEK：

• europe-west3（德国法兰克福）
• europe-west12（意大利都灵）

启用 CMEK

以下步骤概述了将 CMEK 与 Google SecOps 集成的概要流程：

1. 预配 Google SecOps 实例的配置：接受预配邀请即可开始。我们的 Google SecOps 专家团队将负责完成专门的配置和集成。
2. 在您计划托管实例的区域中创建 Cloud KMS 密钥。
3. 创建新的 Google SecOps 实例，然后选择您在第 2 步中创建的 CMEK 密钥。在创建实例时，系统会提示您授予 Google SecOps 对此密钥的访问权限。
4. 可选：为每个密钥安排密钥轮替。我们建议采用此安全做法，以最大限度地减少潜在的密钥泄露影响。

完成初始配置后，您无需再使用 API 或界面为该实例提供密钥。

密钥管理

您可以使用 Cloud KMS 管理密钥。在 Cloud KMS 传播任何密钥更改之前，Google SecOps 无法检测或处理任何密钥更改。虽然权限更改通常很快，但重大更改（例如停用或删除密钥）在 Google SecOps 中最多可能需要 4 小时才能生效。详细了解 Cloud KMS 和 Cloud KMS 服务等级目标。

停用 CMEK 密钥后，Google SecOps 将无法再访问您的数据，也无法再对其进行处理。这意味着，Google SecOps 无法读取、写入或更新现有数据，也无法提取任何新数据。如果您未重新启用该密钥，相应数据将在 30 天后被删除。当您重新启用 KMS 密钥访问权限后，Google SecOps 会自动开始提取和处理自停用密钥以来的所有新数据。

Google SecOps 支持两种类型的密钥管理：

• 创建 Cloud KMS 密钥（推荐）
• 使用 Cloud External Key Manager (Cloud EKM) (Cloud EKM)：由于需要依赖外部系统，因此使用 Cloud EKM 密钥可能会影响可用性。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。