הצטרפות ל-Cloud HSM ל-Google Workspace

בדף הזה מוסבר איך להפעיל את Cloud HSM for Google Workspace‏ (CHGWS), שירות מפתחות ההצפנה ל-Google Workspace שמוצע על ידי Cloud Key Management Service‏ (Cloud KMS). ‫Cloud HSM ל-Google Workspace מספק אמצעי בקרה משופרים על הפרטיות ב-Google Workspace, ועוזר לכם לעמוד בתקנים רגולטוריים כמו DISA IL5 ולשפר את אבטחת המידע. ‫Cloud HSM הוא שירות מנוהל באופן מלא לניהול מפתחות, עם זמינות גבוהה, שפועל בקנה מידה של ענן בהתאם לתקנים, עם מפתחות שמגובים בחומרה ומאוחסנים במודולים של אבטחת חומרה (HSMs) שתואמים לתקן FIPS 140-2 ברמה 3.

‫CHGWS תואם גם למפתחות של Cloud HSM עם ריבוי דיירים וגם למפתחות של Cloud HSM עם דייר יחיד.

מידע נוסף זמין במאמר Cloud HSM ל-Google Workspace.

לפני שמתחילים

לפני שמגדירים את Cloud HSM ל-Google Workspace, צריך לוודא שמתקיימים התנאים המוקדמים הבאים:

  • הגדרת Google Workspace.
  • מפעילים הצפנה מצד הלקוח (CSE) ב-Google Workspace.
  • מגדירים את ספק הזהויות (IdP) בהצפנה מצד הלקוח ב-Google Workspace. חשוב לזכור את מזהה הלקוח של ספק הזהויות. אם אתם משתמשים ב-Google Identity Platform, מזהה הלקוח מופיע בפרויקט Cloud de Confiance .
  • אופציונלי: אם אתם מאפשרים גישה לתוכן מוצפן באמצעות CSE באפליקציות של Google Workspace שאינן מבוססות אינטרנט (כמו אפליקציות לנייד או למחשב), אתם צריכים להוסיף את מזהי הלקוח של הפלטפורמות האלה להגדרות של ספק הזהויות במסוף Google Admin. חשוב לרשום את כל מזהי הלקוחות של ספק ה-IdP הזה. אם אתם משתמשים ב-Google Identity Platform, תוכלו למצוא את מזהי הלקוח האלה ב Cloud de Confiance פרויקט שלכם. בספקי זהויות אחרים, צריך ליצור את מזהי הלקוח האלה בנפרד.

מיקומים תואמים

אתם יכולים לאחסן את המפתחות של Cloud KMS בכל מיקום אזורי או רב-אזורי באזורים הגיאוגרפיים של ארה"ב או אירופה. ‫Cloud HSM ל-Google Workspace תומך במפתחות של Cloud HSM עם דיירים רבים וגם במפתחות של Cloud HSM עם דייר יחיד. כדי למצוא מיקום ספציפי, אפשר לעבור אל מיקומים ב-Cloud KMS ולסנן לפי סוג ה-HSM.

‫Cloud HSM ל-Google Workspace מספק אוטומטית את נקודת הקצה באחד מהאזורים המרובים הבאים, הקרובים ביותר למיקום המפתח:

  • us
  • eur3

הגדרת Cloud de Confiance פרויקט ל-Cloud KMS

‫Cloud HSM לנקודות קצה של Google Workspace מסתמך על מפתחות Cloud KMS לפעולות קריפטוגרפיות. מגדירים פרויקט חדש Cloud de Confiance לאירוח מפתחות Cloud KMS.

  1. יוצרים Cloud de Confiance פרויקט. זהו פרויקט המפתח שלך. רושמים את מזהה הפרויקט ואת מספר הפרויקט. תצטרכו אותם כדי להשלים את ההגדרה.

  2. מפעילים את החיוב בפרויקט שיצרתם.

  3. מפעילים את Cloud KMS API ב Cloud de Confiance פרויקט המפתחות.

    להפעלת ה-API

  4. במסוף Cloud de Confiance , לוחצים על terminal (טרמינל) Activate Cloud Shell (הפעלת Cloud Shell).

  5. כדי לוודא שאתם בפרויקט הנכון, משווים את מזהה הפרויקט שלכם למזהה הפרויקט בהנחיה של Cloud Shell.

  6. באמצעות Cloud Shell, יוצרים את חשבון השירות של Cloud HSM for Google Workspace:

    gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com

    שימו לב לזהות בשירות שנוצרה על ידי הפקודה הזו. תצטרכו את שם זהות השירות בשלב הבא.

  7. מקצים לחשבון השירות שיצרתם את התפקיד סוכן שירות של מפתח CHGWS:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט של פרויקט המפתח.
    • PROJECT_NUMBER: מספר הפרויקט של פרויקט המפתח.

ניהול נקודת הקצה של שירות CHGWS

בקטעים הבאים מוסבר איך להגדיר ולנהל את נקודות הקצה של CHGWS.

הגדרת מפתחות Cloud KMS

מגדירים את משאבי Cloud KMS לנקודת הקצה של שירות המפתחות של CHGWS.

  1. יוצרים אוסף מפתחות באחד מהאזורים הנתמכים:

    gcloud kms keyrings create KEY_RING --location LOCATION
    • מחליפים את KEY_RING בשם שרוצים להשתמש בו עבור מחזיק המפתחות של CHGWS – לדוגמה, CHGWS_KEY_RING.
    • מחליפים את LOCATION במיקום שבו רוצים ליצור את מחזיק המפתחות, לדוגמה, us.

  2. יוצרים מפתח Cloud HSM.

    Cloud HSM עם ריבוי דיירים

    כדי ליצור מפתח עם רמת ההגנה hsm:

    gcloud kms keys create KEY_NAME \
    --protection-level "hsm" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

    מחליפים את מה שכתוב בשדות הבאים:

    • KEY_NAME: השם שבו רוצים להשתמש עבור המפתח, לדוגמה, CHGWS_KEY.
    • KEY_RING: השם של מחזיק המפתחות, לדוגמה CHGWS_KEY_RING.
    • LOCATION: המיקום שבו יצרתם את מחזיק המפתחות, לדוגמה us.
    • ROTATION_PERIOD: התדירות שבה רוצים לבצע רוטציה של המפתחות, לדוגמה 7d.
    • NEXT_ROTATION_TIME: התאריך והשעה שבהם יתבצע סבב המפתחות הבא, לדוגמה 2024-03-20T01:00:00.

    ‫Cloud HSM לדייר יחיד

    כדי ליצור מפתח עם רמת ההגנה hsm_single_tenant, קודם צריך להקצות מופע של Cloud HSM בדייר יחיד באותו מיקום.

    1. יצירה והקצאה של מופע Cloud HSM עם דייר יחיד: פועלים לפי ההוראות במדריך יצירה וניהול של מופע Cloud HSM עם דייר יחיד. רושמים את מזהה המכונה שהוקצה. תשתמשו בו בשלב הבא.

    2. יצירת מפתח:

      gcloud kms keys create KEY_NAME \
    --protection-level "hsm_single_tenant" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

      מחליפים את מה שכתוב בשדות הבאים:

      • KEY_NAME: השם שבו רוצים להשתמש עבור המפתח, לדוגמה, CHGWS_KEY.
      • KEY_RING: השם של מחזיק המפתחות, לדוגמה CHGWS_KEY_RING.
      • LOCATION: המיקום שבו יצרתם את מחזיק המפתחות, לדוגמה us.
      • PROJECT_ID: מזהה הפרויקט של פרויקט המפתח.
      • INSTANCE_NAME: השם של מופע Cloud HSM עם דייר יחיד שבו רוצים ליצור את המפתח.
      • ROTATION_PERIOD: התדירות שבה רוצים לבצע רוטציה של המפתחות, לדוגמה 7d.
      • NEXT_ROTATION_TIME: התאריך והשעה שבהם יתבצע סבב המפתחות הבא, לדוגמה 2024-03-20T01:00:00.

    פרטים נוספים על אפשרויות ליצירת מפתחות זמינים במאמר יצירת מפתחות.

בקשה להצטרפות וליצירת נקודת קצה

כדי לבקש קליטה ויצירה של נקודת קצה, צריך לפנות לנציג של החשבון כדי לקבל עזרה בשליחת בקשה לקליטת נקודת קצה. בבקשה, צריך לכלול את הפרטים הבאים:

  • פרטים על Google Workspace

    • מזהה Google Workspace: מזהה Google Workspace שלכם. כדי למצוא את המזהה שלכם ב-Google Workspace, צריך לפעול לפי ההוראות במאמר איך מוצאים את מספר הלקוח.

    • כתובות אימייל של אדמינים ב-Google Workspace: מזינים רשימה מופרדת בפסיקים של כתובות אימייל של אדמינים.

  • פרטי ספק הזהויות (IdP)

    • פרטי ספק הזהויות (IdP) הראשי:

      • IdP JSON Web Key Set (JWKS) URL: ב-Google Identity Platform, משתמשים בכתובת https://www.googleapis.com/oauth2/v3/certs.
      • מונפק טוקן JSON Web Token‏ (JWT): ב-Google Identity Platform, משתמשים ב-https://accounts.google.com.
      • JWT audience: מזהה הלקוח של ספק ה-IdP שלכם לאפליקציות אינטרנט.
      • קהלים נוספים של JWT: אופציונלי. אם הגדרתם אפליקציות שאינן פלטפורמות אינטרנט, צריך לספק את מזהי הלקוחות שלהן. ב-Google Identity Platform, משתמשים במזהי הלקוח שמופיעים בקטע אם משתמשים בזהות Google ל-CSE.

    • פרטי IdP לאורח: אופציונלי. אם אתם משתמשים בספק זהויות (IdP) לאורחים, אתם צריכים למלא את החלק הזה.

      • Guest IdP JWKS URL: כתובת ה-URL של JWKS של ה-IdP לאורח.
      • Guest JWT token issuer: מנפיק אסימון ה-JWT של ה-IdP של האורח.
      • Guest JWT audience: מזהה הלקוח של ספק ה-IdP לאורחים באפליקציות אינטרנט, למעט Google Meet.
      • קהלים נוספים של JWT לאורחים: אופציונלי. אם אתם מגדירים מזהה לקוח של Google Meet באינטרנט או מזהי לקוח של אפליקציות אחרות שאינן פלטפורמות באינטרנט, אתם צריכים לספק מזהי לקוח לכל אחת מהן. ב-Google Identity Platform, משתמשים במזהי הלקוח שמופיעים בקטע אם תשתמשו בזהות Google להצפנה מצד הלקוח.

  • פרטים על מפתח ה-CSE

    • מזהה הפרויקט ב-Google Cloud: PROJECT_ID
    • מספר הפרויקט ב-Google Cloud: PROJECT_NUMBER
    • שם מחזיק המפתחות ב-Cloud KMS: KEY_RING
    • המיקום של אוסף המפתחות ב-Cloud KMS: LOCATION
    • שם מפתח Cloud KMS: KEY_NAME
    • רמת ההגנה של מפתח Cloud KMS: צריכה להיות hsm או hsm_single_tenant
    • כתובת URL בסיסית של CHGWS: אופציונלי. רשימה של כתובות URL להפעלת העברת מפתחות. אם אתם מגדירים את CHGWS בפעם הראשונה עבור Google Workspace הזה, השאירו את השדה הזה ריק.

  • פרטים נוספים

    • שם הלקוח: צריך להזין את שם הלקוח.
    • מספר המשתמשים הצפוי: מציינים את מספר המשתמשים הצפוי במופע של Google Workspace.

הגדרת נקודת קצה של CHGWS ב-CSE של Google Workspace

מגדירים את Google Workspace CSE כך שישתמש בכתובת ה-URL של CHGWS שנוצרה כשיוצרים את נקודת הקצה של CHGWS. פועלים לפי ההוראות במאמר הוספה וניהול של שירותי מפתחות להצפנה מצד הלקוח.

Key Service Migration

‫CHGWS מאפשר לכם להעביר את השירות למפתחות הצפנה אל CHGWS או ממנו. כדי להתחיל בהעברה של שירות למפתחות הצפנה, צריך לפנות לנציג של החשבון כדי לקבל עזרה בשליחת בקשת העברה. בבקשה, חשוב לכלול את הפרטים הבאים:

  • מזהה נקודת הקצה: מזהה נקודת הקצה של CHGWS.

  • כתובת ה-URL של שירות המפתחות: רשימה של כתובות URL להפעלת העברה של שירות המפתחות.

    • אם אתם מבצעים מיגרציה ל-Cloud HSM ל-Google Workspace, אתם צריכים לספק את כתובת ה-URL הבסיסית של כל נקודת קצה (endpoint) של שירות מפתחות שממנה אתם מבצעים מיגרציה.
    • אם אתם מבצעים מיגרציה מ-Cloud HSM ל-Google Workspace, צריך לספק את כתובות ה-URL הבסיסיות של נקודות הקצה של שירות המפתחות שרוצים להעביר.

מחיקה או השבתה של נקודות קצה

אין תמיכה ישירה במחיקה או בהשבתה של פעולות בנקודת הקצה של Cloud HSM ל-Google Workspace. עם זאת, אפשר להשבית נקודת קצה של Cloud HSM ל-Google Workspace על ידי השבתה של כל הגרסאות של מפתחות Cloud KMS שמגבים אותה.

  • לכל גרסת מפתח של Cloud KMS שמגבה את נקודת הקצה, מריצים את הפקודה הבאה:

    gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • KEY_VERSION: הגרסה של המפתח שרוצים להשבית, לדוגמה 1.
    • KEY_RING: השם של מחזיק המפתחות, לדוגמה, CHGWS_KEY_RING.
    • LOCATION: המיקום שבו רוצים להשבית את התכונה, לדוגמה: us.
    • KEY_NAME: השם של המפתח, לדוגמה CHGWS_KEY.

הפעלת נקודות קצה

אם השבתתם נקודת קצה של CHGWS על ידי השבתת כל גרסאות המפתח של מפתח Cloud KMS התומך, תוכלו להפעיל מחדש את נקודת הקצה של CHGWS. כדי להפעיל מחדש את נקודת הקצה, מפעילים את כל הגרסאות הפעילות של מפתח הגיבוי של Cloud KMS באמצעות הפקודה הבאה ב-CLI של gcloud:

  • לכל גרסת מפתח של Cloud KMS שמגבה את נקודת הקצה, מריצים את הפקודה הבאה:

    gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • KEY_VERSION: הגרסה של המפתח שרוצים להפעיל, לדוגמה 1.
    • KEY_RING: השם של מחזיק המפתחות, לדוגמה, CHGWS_KEY_RING.
    • LOCATION: המיקום שבו רוצים להפעיל את התכונה, לדוגמה: us.
    • KEY_NAME: השם של המפתח, לדוגמה CHGWS_KEY.

ניהול החיובים ב-CHGWS

החיוב מתחיל ברגע שמקבלים את נקודת הקצה של CHGWS שביקשתם בבקשת ההצטרפות. מנקודה זו ואילך, חיובים חוזרים על מינוי ל-Cloud HSM for Google Workspace ימשיכו לחול כל עוד החיוב מופעל בפרויקט, גם אם תשביתו את נקודת הקצה של CHGWS. Cloud de Confiance בקטע הזה מוסבר איך אפשר להפסיק את החיובים על Cloud HSM ל-Google Workspace ואיך אפשר לחדש אותם.

השבתה או הפעלה של החיוב בפרויקט

אתם יכולים להשבית את החיוב בפרויקט שמכיל את מפתחות Cloud KMS ל-Cloud HSM ל-Google Workspace. השבתת החיוב גורמת להפסקת הפעולה של כל השירותים הניתנים לחיוב בפרויקט. אחרי השבתת החיוב ברמת הפרויקט, החיובים על המינוי ל-Cloud HSM ל-Google Workspace יופסקו תוך 24 שעות.

אם רוצים להמשיך להשתמש ב-Cloud HSM ל-Google Workspace, אפשר להפעיל מחדש את החיוב בפרויקט. אחרי שמפעילים מחדש את החיוב, דמי המינוי מתחדשים ונקודת הקצה של CHGWS והמפתחות של Cloud KMS חוזרים לפעול כרגיל.

בקשה להשבתה או להפעלה ידנית

אם אתם צריכים להשבית את נקודת הקצה CHGWS אבל להשאיר משאבים אחרים בפרויקט פעילים, אתם יכולים לשלוח בקשה דומה לבקשת ההצטרפות. צריך לספק פרטים על Google Workspace, מזהה נקודת הקצה של CHGWS ופרטים רלוונטיים אחרים, ולתאר את הדרישה. יכול להיות שיעברו עד 48 שעות עד שצוות CHGWS יטפל בכרטיסים שנוצרו באופן ידני. אחרי השלמת הבקשה, החיובים על המינוי ל-Cloud HSM ל-Google Workspace יופסקו תוך 24 שעות.

כדי להפעיל מחדש את נקודת הקצה CHGWS ואת החיוב שלה, צריך ליצור בקשה דומה.

מחיקה או שחזור של הפרויקט

אתם יכולים למחוק את הפרויקט שמכיל את מפתחות Cloud KMS ל-Cloud HSM ל-Google Workspace. אם מוחקים פרויקט, כל השירותים שבו מופסקים. אפשר לשחזר פרויקט שנמחק תוך 30 יום ממועד המחיקה. עם זאת, אי אפשר לשחזר מפתחות של Cloud KMS בפרויקט, ולכן כל המסמכים והנתונים האחרים שמוצפנים באמצעות מפתחות בפרויקט המשוחזר נשארים מוצפנים באופן סופי. שחזור של פרויקט שנמחק יגרום לחידוש החיובים על מינוי Cloud HSM ל-Google Workspace, גם אם המפתחות של Cloud KMS לא ניתנים לשחזור.

המאמרים הבאים