Esta página foi traduzida pela API Cloud Translation.

CMEK para o Google Security Operations

Este documento descreve como configurar chaves de criptografia gerenciadas pelo cliente (CMEK) para as Operações de segurança do Google. O Google SecOps criptografa os dados do cliente em repouso por padrão usando a criptografia padrão do Google sem que você precise fazer nada. No entanto, para ter mais controle sobre as chaves de criptografia ou quando exigido por uma organização, o CMEK está disponível para instâncias do Google SecOps.

As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service. O uso de CMEKs oferece controle total sobre as chaves de criptografia, incluindo o gerenciamento do ciclo de vida, da rotação e das políticas de acesso. Quando você configura a CMEK, o serviço criptografa automaticamente todos os dados usando a chave especificada. Saiba mais sobre a CMEK.

Usar CMEKs no Cloud KMS

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps, da seguinte maneira:

Você gerencia e armazena essas chaves no Cloud KMS.
Os dados no data lake do Google SecOps são criptografados em repouso.
Quando você configura a instância do Google SecOps com uma CMEK, ela usa a chave do Cloud KMS selecionada para criptografar dados em repouso no Data Lake.
O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso.

Para controlar suas chaves de criptografia, use CMEKs no Cloud KMS com serviços integrados a CMEKs, incluindo o Google SecOps. Você gerencia e armazena essas chaves no Cloud KMS. Os dados no data lake do SecOps são criptografados em repouso. Quando você configura a instância do Google SecOps com uma CMEK, ele usa a chave do Cloud KMS selecionada para criptografar os dados em repouso no Data Lake. O uso da CMEK com o Cloud KMS pode gerar custos adicionais, dependendo dos seus padrões de uso. Saiba mais sobre os preços do Cloud KMS.

Suporte a CMEK por região

As regiões a seguir oferecem suporte a CMEKs:

europe-west3 (Frankfurt, Alemanha)
europe-west2 (Londres, Reino Unido)
europe-west12 (Turim, Itália)

Ativar a CMEK

As etapas a seguir descrevem o processo geral de integração da CMEK com o Google SecOps:

Provisionar a configuração de uma instância do Google SecOps: aceite o convite de provisionamento para começar. Nossa equipe de especialistas em SecOps do Google vai cuidar da configuração e integração especializadas.
Crie uma chave do Cloud KMS na região em que você planeja hospedar a instância.
Crie uma nova instância do Google SecOps e selecione a chave CMEK criada na etapa 2. Você vai precisar conceder acesso à chave ao Google SecOps durante a criação da instância.
Opcional: programe uma rotação de chaves para cada chave. Recomendamos essa prática de segurança para minimizar o impacto de possíveis comprometimentos de chaves.

Depois de concluir a integração, não será mais necessário fornecer uma chave usando a API ou UI para essa instância.

Gerenciamento de chaves

Você gerencia suas chaves usando o Cloud KMS. O Google SecOps não pode detectar nem agir sobre nenhuma alteração de chave até que seja propagada pelo Cloud KMS. Embora as mudanças de permissão sejam geralmente rápidas, as mudanças significativas, como a desativação ou exclusão de uma chave, podem levar até quatro horas para entrar em vigor no Google SecOps. Saiba mais sobre o Cloud KMS e as metas de nível de serviço do Cloud KMS.

Quando você desativa a chave CMEK, o Google SecOps perde o acesso aos seus dados e não pode mais processá-los. Isso significa que o Google SecOps não pode ler, gravar nem atualizar dados existentes, nem ingerir novos dados. Se você não reativar a chave, os dados serão excluídos após 30 dias. Quando você reativa o acesso à chave do KMS, o Google SecOps começa a ingerir e processar automaticamente todos os novos dados desde que a chave foi desativada.

O Google SecOps oferece suporte a dois tipos de gerenciamento de chaves:

Criar uma chave do Cloud KMS (recomendado)
Usar o Cloud External Key Manager (Cloud EKM): o uso de chaves do Cloud EKM pode afetar a disponibilidade devido à dependência de sistemas externos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.