Security Command Center verschlüsselt inaktive Kundendaten standardmäßig. Security Command Center übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Security Command Center verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Security Command Center-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Um die Aufgabentrennung zu unterstützen und mehr Kontrolle über den Zugriff auf Schlüssel zu erhalten, empfehlen wir, Schlüssel in einem separaten Projekt zu erstellen und zu verwalten, das keine anderen Google Cloud Ressourcen enthält.
Wenn Sie CMEK mit Security Command Center verwenden möchten, müssen Sie CMEK konfigurieren, wenn Sie Security Command Center für eine Organisation aktivieren. Sie können CMEK nicht während der Aktivierung auf Projektebene konfigurieren. Weitere Informationen finden Sie unter Security Command Center Standard oder Premium für eine Organisation aktivieren.
Wenn Sie CMEK in Security Command Center verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Instanzen nutzen Kontingente, wenn Daten in Security Command Center gelesen oder geschrieben werden. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.Mit CMEK werden die folgenden Daten in Security Command Center und der Security Command Center API verschlüsselt:
- Ergebnisse
- Benachrichtigungskonfigurationen
- BigQuery-Exporte
- Konfigurationen zum Ausblenden
Hinweise
Bevor Sie CMEK für Security Command Center einrichten, führen Sie die folgenden Schritte aus:
Installieren Sie die Google Cloud CLI und initialisieren Sie sie:
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Erstellen Sie ein Google Cloud Projekt, in dem Cloud KMS aktiviert ist. Das ist Ihr Schlüsselprojekt.
Erstellen Sie einen Schlüsselbund am richtigen Speicherort. Der Speicherort des Schlüsselbunds muss dem Speicherort entsprechen, an dem Sie Security Command Center aktivieren möchten. In der Tabelle im Abschnitt Schlüsselstandort dieses Dokuments sehen Sie, welche Schlüsselbundstandorte den einzelnen Security Command Center-Standorten entsprechen. Weitere Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
Erstellen Sie einen Cloud KMS-Schlüssel für den Schlüsselbund. Weitere Informationen zum Erstellen eines Schlüssels in einem Schlüsselbund finden Sie unter Schlüssel erstellen.
Damit das Cloud Security Command Center-Dienstkonto die erforderlichen Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten hat, bitten Sie Ihren Administrator, dem Cloud Security Command Center-Dienstkonto die
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM-Rolle für den Cloud KMS-Schlüssel zu gewähren.
Ihr Administrator kann dem Cloud Security Command Center-Dienstkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.
Speicherort des Schlüssels
Der Speicherort Ihres Cloud KMS-Schlüssels muss dem Speicherort entsprechen, an dem Sie Security Command Center aktiviert haben. In der folgenden Tabelle sehen Sie, welcher Cloud KMS-Schlüsselstandort welchem Security Command Center-Standort entspricht.
| Security Command Center-Standort | Cloud KMS-Schlüsselstandort |
|---|---|
eu |
europe |
global |
us |
sa |
me-central2 |
us |
us |
Wenn Sie den Datenstandort beim Aktivieren von Security Command Center nicht aktivieren, verwenden Sie global für den Security Command Center-Standort und us für den Cloud KMS-Schlüsselstandort.
Weitere Informationen zum Datenstandort finden Sie unter Datenstandort planen.
Beschränkungen
Wenn die Organisation, die Sie aktivieren, ein oder mehrere Projekte mit Security Command Center enthält, können Sie CMEK für Security Command Center für diese Organisation nicht verwenden.
Sie können den Cloud KMS-Schlüssel nicht ändern oder zuGoogle-owned and Google-managed encryption key wechseln, nachdem Sie Security Command Center aktiviert haben.
Sie können den Schlüssel rotieren, sodass Security Command Center die neue Schlüsselversion verwendet. Einige Security Command Center-Funktionen verwenden den alten Schlüssel jedoch noch 30 Tage lang.
CMEK für Security Command Center einrichten
So verwenden Sie CMEK mit Security Command Center:
- Wählen Sie bei der Einrichtung von Security Command Center für eine Organisation auf der Seite Dienste auswählen unter Datenverschlüsselung die Option Lösung für die Schlüsselverwaltung für die Datenverschlüsselung ändern (optional) aus. Die Option Verschlüsselung wird geöffnet.
- Wählen Sie Cloud KMS-Schlüssel aus.
- Wählen Sie ein Projekt aus.
- Wählen Sie einen Schlüssel aus. Sie können einen Schlüssel aus einem beliebigen Google Cloud Projekt auswählen, auch aus Projekten, die nicht zu der Organisation gehören, die Sie aktivieren. In der Liste werden nur Schlüssel an kompatiblen Standorten angezeigt. Weitere Informationen zu Schlüsselspeicherorten für CMEK für Security Command Center finden Sie in der Tabelle im Abschnitt Schlüsselspeicherort.
Nachdem Sie die Rolle gewährt und die Einrichtung von Security Command Center abgeschlossen haben, verschlüsselt Security Command Center Ihre Daten mit dem von Ihnen ausgewählten Cloud KMS-Schlüssel.
CMEK-Konfiguration prüfen
So prüfen Sie, ob Sie CMEK für Security Command Center erfolgreich eingerichtet haben:
- Wählen Sie im Security Command Center die Einstellungen aus.
- Rufen Sie den Tab Tier Detail (Stufendetails) auf.
- Wenn CMEK für Security Command Center eingerichtet ist, wird der Schlüsselname unter Einrichtungsdetails > Datenverschlüsselung als Link angezeigt.
Preise
Für die Aktivierung von CMEK in Security Command Center Standard und Premium fallen keine zusätzlichen Gebühren an. In Cloud KMS fallen jedoch Gebühren an, wenn Security Command Center Ihren CMEK-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwendet. Weitere Informationen finden Sie unter Cloud KMS – Preise.
Zugriff auf Security Command Center wiederherstellen
Wenn CMEK aktiviert ist, benötigt das Security Command Center-Dienstkonto Zugriff auf Ihren Cloud KMS-Schlüssel, um zu funktionieren. Widerrufen Sie nicht die Berechtigungen des Dienstkontos für den CMEK, deaktivieren Sie den CMEK nicht und planen Sie nicht, den CMEK zu löschen. Diese Aktionen führen dazu, dass die folgenden Security Command Center-Funktionen nicht mehr funktionieren:
- Ergebnisse
- Konfigurationen für kontinuierliche Exporte
- BigQuery-Exporte
- Ausblendungsregeln
Wenn Sie versuchen, Security Command Center zu verwenden, während der Cloud KMS-Schlüssel nicht verfügbar ist, wird in Security Command Center eine Fehlermeldung oder in der API ein FAILED_PRECONDITION-Fehler angezeigt.
Sie können Security Command Center-Funktionen aus einem der folgenden Gründe verlieren, die mit einem Cloud KMS-Schlüssel zusammenhängen:
- Die Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den Schlüssel für das Dienstkonto wurde möglicherweise widerrufen. Sie können den Zugriff auf Security Command Center wiederherstellen, nachdem ein Schlüssel widerrufen wurde.
- Der Cloud KMS-Schlüssel wurde möglicherweise deaktiviert. Sie können den Zugriff auf Security Command Center wiederherstellen, nachdem ein Schlüssel deaktiviert wurde.
- Der Schlüssel ist möglicherweise zum Löschen geplant. Sie können den Zugriff auf Security Command Center wiederherstellen, nachdem ein Schlüssel zur Vernichtung geplant wurde.
Zugriff auf Security Command Center nach dem Widerrufen eines Schlüssels wiederherstellen
Um den Zugriff auf Ihren Schlüssel in Security Command Center wiederherzustellen, weisen Sie dem Cloud Security Command Center-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den Schlüssel zu:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Ersetzen Sie Folgendes:
- KEY_RING: der Schlüsselbund für Ihren Cloud KMS-Schlüssel
- LOCATION: der Speicherort Ihres Cloud KMS-Schlüssels
- KEY_NAME: der Name Ihres Cloud KMS-Schlüssels
- ORG_NUMBER: Ihre Organisationsnummer
Zugriff auf Security Command Center nach dem Deaktivieren eines Schlüssels wiederherstellen
Weitere Informationen zum Aktivieren eines deaktivierten Schlüssels finden Sie unter Schlüsselversion aktivieren.
Zugriff auf Security Command Center wiederherstellen, nachdem ein Schlüssel zum Löschen vorgemerkt wurde
Weitere Informationen zum Wiederherstellen eines Schlüssels, der zum Löschen vorgemerkt ist, finden Sie unter Schlüsselversionen löschen und wiederherstellen.
Nachdem ein Schlüssel vernichtet wurde, können Sie ihn nicht wiederherstellen und auch den Zugriff auf Security Command Center nicht wiederherstellen.