Google Security Operations 的 CMEK
本文說明如何為 Google Security Operations 設定客戶管理的加密金鑰 (CMEK)。根據預設,Google SecOps 會使用 Google 預設加密功能,為客戶的靜態資料加密,您無需採取任何額外行動。不過,如要進一步控管加密金鑰,或機構有相關規定,Google SecOps 執行個體可使用 CMEK。
CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 中的加密金鑰。使用 CMEK 可全權控管加密金鑰,包括管理金鑰的生命週期、輪換和存取政策。設定 CMEK 後,服務會自動使用指定的金鑰加密所有資料。進一步瞭解 CMEK。
在 Cloud KMS 中使用 CMEK
如要控管加密金鑰,您可以在 Cloud KMS 中使用 CMEK,搭配整合 CMEK 的服務 (包括 Google SecOps),方法如下:
- 您可以在 Cloud KMS 中管理及儲存這些金鑰。
- Google SecOps Data Lake 中的靜態資料會經過加密。
- 使用 CMEK 設定 Google SecOps 執行個體時,系統會使用選取的 Cloud KMS 金鑰,加密資料湖中的靜態資料。
- 視使用模式而定,搭配 Cloud KMS 使用 CMEK 可能會產生額外費用。
如要控管加密金鑰,您可以在 Cloud KMS 中使用 CMEK,搭配整合 CMEK 的服務 (包括 Google SecOps)。您可以在 Cloud KMS 中管理及儲存這些金鑰。SecOps 資料湖泊中的靜態資料會經過加密,使用 CMEK 設定 Google SecOps 執行個體時,Google SecOps 會使用選取的 Cloud KMS 金鑰,加密資料湖中的靜態資料。 視使用模式而定,搭配 Cloud KMS 使用 CMEK 可能會產生額外費用。進一步瞭解 Cloud KMS 定價。
各區域的 CMEK 支援
下列區域支援 CMEK:
- africa-south1 (南非約翰尼斯堡)
- europe-west3 (德國法蘭克福)
- europe-west2 (英國倫敦)
- europe-west12 (義大利杜林)
啟用 CMEK
以下步驟概略說明如何透過 Google SecOps 啟用 CMEK:
- 佈建 Google SecOps 執行個體的設定:接受佈建邀請即可開始。Google SecOps 專家團隊會負責處理專門的設定和整合作業。
- 在您打算代管執行個體的區域中建立 Cloud KMS 金鑰。
- 建立新的 Google SecOps 執行個體,然後選取您在步驟 2 中建立的 CMEK 金鑰。建立執行個體時,系統會提示您授予 Google SecOps 這項金鑰的存取權。
- 選用:為每個金鑰排定金鑰輪替時間。建議您採用這項安全做法,盡量降低金鑰遭盜用的影響。
完成新手上路程序後,您就不再需要透過 API 或使用者介面為該執行個體提供金鑰。
金鑰管理
您可以使用 Cloud KMS 管理金鑰。在 Cloud KMS 傳播金鑰變更之前,Google SecOps 無法偵測或採取任何行動。權限變更通常很快就會生效,但重大變更 (例如停用或刪除金鑰) 最多可能需要四小時,才會在 Google SecOps 中生效。進一步瞭解 Cloud KMS 和 Cloud KMS 服務等級目標。
停用 CMEK 金鑰後,Google SecOps 就無法存取您的資料,也無法再處理資料。也就是說,Google SecOps 無法讀取、寫入或更新現有資料,也無法擷取任何新資料。如果未重新啟用金鑰,系統會在 30 天後刪除資料。重新啟用 KMS 金鑰存取權後,Google SecOps 會自動開始擷取及處理金鑰停用後的新資料。
Google SecOps 支援下列兩種金鑰管理方式:
- 建立 Cloud KMS 金鑰 (建議)
- 使用 Cloud External Key Manager (Cloud EKM):使用 Cloud EKM 金鑰時,由於需要依賴外部系統,可用性可能會受到影響。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。