Esta página se ha traducido con Cloud Translation API.

Habilitar CMEK en Security Command Center

De forma predeterminada, Security Command Center cifra el contenido del cliente en reposo. Security Command Center se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Security Command Center. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Cloud KMS también te permite monitorizar el uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y el gestor de las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceso a tus recursos de Security Command Center será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).

Para admitir la separación de tareas y tener un mayor control sobre el acceso a las claves, te recomendamos que crees y gestiones las claves en un proyecto independiente que no incluya otros recursos de Google Cloud .

Para usar CMEK con Security Command Center, debes configurar CMEK al activar Security Command Center en una organización. No puedes configurar CMEK durante la activación a nivel de proyecto. Para obtener más información, consulta el artículo sobre cómo activar Security Command Center Standard o Premium en una organización.

Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias cifradas con CMEK consumen cuotas al leer o escribir datos en Security Command Center. Las operaciones de cifrado y descifrado con claves CMEK solo afectan a las cuotas de Cloud KMS si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.

CMEK cifra los siguientes datos en Security Command Center y en la API de Security Command Center:

Resultados
Configuraciones de notificaciones
Exportaciones de BigQuery
Configuraciones de silencio

Antes de empezar

Antes de configurar CMEK para Security Command Center, haz lo siguiente:

Instala e inicializa Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crea un Google Cloud proyecto con Cloud KMS habilitado. Este es tu proyecto clave.
Crea un conjunto de claves en la ubicación correcta. La ubicación del conjunto de claves debe corresponderse con la ubicación en la que tiene previsto activar Security Command Center. Para ver qué ubicaciones de llavero corresponden a cada ubicación de Security Command Center, consulta la tabla de la sección Ubicación de la clave de este documento. Para obtener más información sobre cómo crear un conjunto de claves, consulta Crear un conjunto de claves.
Crea una clave de Cloud KMS en el conjunto de claves. Para obtener más información sobre cómo crear una clave en un conjunto de claves, consulta Crear una clave.
Para asegurarte de que la cuenta de servicio de Cloud Security Command Center tiene los permisos necesarios para cifrar y descifrar datos, pide a tu administrador que le asigne el rol de gestión de identidades y accesos Encargado del cifrado y descifrado de la clave criptográfica Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS.
Importante: Debes asignar este rol a la cuenta de servicio de Cloud Security Command Center, no a tu cuenta de usuario. Si no se asigna el rol a la entidad correcta, pueden producirse errores de permisos.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda conceder a la cuenta de servicio de Cloud Security Command Center los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Ubicación de la clave

La ubicación de tu clave de Cloud KMS debe corresponderse con la ubicación en la que hayas activado Security Command Center. Usa la siguiente tabla para identificar qué ubicación de clave de Cloud KMS corresponde a cada ubicación de Security Command Center.

Ubicación de Security Command Center	Ubicación de la clave de Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Si no habilitas la residencia de datos al activar Security Command Center, usa global para la ubicación de Security Command Center y us para la ubicación de la clave de Cloud KMS. Para obtener más información sobre la residencia de datos, consulta el artículo Planificar la residencia de datos.

Limitaciones

Si la organización que estás activando contiene uno o varios proyectos con Security Command Center, no puedes usar CMEK para Security Command Center en esa organización.

No puedes cambiar la clave de Cloud KMS ni cambiar aGoogle-owned and Google-managed encryption key después de activar Security Command Center.

Puedes rotar la clave, lo que hará que Security Command Center use la nueva versión de la clave. Sin embargo, algunas funciones de Security Command Center seguirán usando la clave antigua durante 30 días.

Configurar CMEK para Security Command Center

Para usar claves de cifrado gestionadas por el cliente con Security Command Center, sigue estos pasos:

Durante la configuración de Security Command Center para una organización, en la página Seleccionar servicios, vaya a Cifrado de datos y seleccione Cambiar la solución de gestión de claves de cifrado de datos (opcional). Se abrirá la opción Cifrado.
Selecciona Clave de Cloud KMS.
Selecciona un proyecto.
Selecciona una clave. Puedes seleccionar una clave de cualquier proyecto, Google Cloud incluidos los que no estén en la organización que estés activando. En la lista solo se muestran las llaves de ubicaciones compatibles. Para obtener más información sobre las ubicaciones de las claves de CMEK de Security Command Center, consulta la tabla de la sección Ubicación de las claves.

Después de conceder el rol y completar la configuración de Security Command Center, este cifra tus datos con la clave de Cloud KMS que hayas elegido.

Comprobar la configuración de CMEK

Para comprobar que has configurado correctamente las CMEK en Security Command Center, sigue estos pasos:

En Security Command Center, selecciona Configuración.
Vaya a la pestaña Detalles del nivel.
En Detalles de la configuración > Cifrado de datos, si se ha configurado una CMEK para Security Command Center, el nombre de la clave se muestra como un enlace después de Cifrado de datos.

Precios

Aunque no se aplican cargos adicionales por habilitar las CMEKs en Security Command Center Standard y Premium, sí se aplican cargos en Cloud KMS cuando Security Command Center usa tu CMEK para cifrar y descifrar datos. Para obtener más información, consulta los precios de Cloud KMS.

Restaurar el acceso a Security Command Center

Con las CMEK habilitadas, la cuenta de servicio de Security Command Center necesita acceder a tu clave de Cloud KMS para funcionar. No revoques los permisos de la cuenta de servicio en la CMEK, no inhabilite la CMEK ni programe su destrucción. Todas estas acciones provocan que las siguientes funciones de Security Command Center dejen de funcionar:

Resultados
Configuraciones de exportaciones continuas
Exportaciones de BigQuery
Reglas de silencio

Si intentas usar Security Command Center mientras la clave de Cloud KMS no está disponible, verás un mensaje de error en Security Command Center o un error FAILED_PRECONDITION en la API.

Puede perder las funciones de Security Command Center debido a una clave de Cloud KMS por uno de los siguientes motivos:

Es posible que se haya revocado el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS de la clave en la cuenta de servicio. Puedes restaurar el acceso a Security Command Center después de que se haya revocado una clave.
Es posible que la clave de Cloud KMS se haya inhabilitado. Puedes restaurar el acceso a Security Command Center después de inhabilitar una clave.
Es posible que se haya programado la eliminación de la clave. Puedes restaurar el acceso a Security Command Center después de que se haya programado la destrucción de una clave.

Restaurar el acceso a Security Command Center después de revocar una clave

Para restaurar el acceso a tu clave en Security Command Center, concede a la cuenta de servicio de Cloud Security Command Center el rol Encargado de cifrar o descifrar claves de CryptoKey de Cloud KMS en la clave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Haz los cambios siguientes:

KEY_RING: el conjunto de claves de tu clave de Cloud KMS
LOCATION: la ubicación de tu clave de Cloud KMS
KEY_NAME: el nombre de tu clave de Cloud KMS
ORG_NUMBER: número de tu organización

Restaurar el acceso a Security Command Center después de inhabilitar una clave

Para obtener más información sobre cómo habilitar una versión de clave inhabilitada, consulta Habilitar una versión de clave.

Restaurar el acceso a Security Command Center después de programar la eliminación de una clave

Para obtener más información sobre cómo restaurar una clave programada para eliminarse, consulta Destruir y restaurar versiones de clave.

Una vez que se ha destruido una clave, no puedes recuperarla ni restaurar el acceso a Security Command Center.