Verschlüsselungsmesswerte ansehen

Cloud Key Management Service (Cloud KMS) zeigt Messwerte zu den Verschlüsselungsschlüsseln an, mit denen Ihre inaktiven Daten geschützt werden. Diese Messwerte zeigen, wie Ihre Ressourcen geschützt sind und ob Ihre Schlüssel den empfohlenen Best Practices entsprechen. Die Messwerte konzentrieren sich hauptsächlich auf vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs), die zum Schutz von Ressourcen in CMEK-integrierten Diensten verwendet werden. In dieser Anleitung erfahren Sie, wie Sie die Verschlüsselungsstatistiken Ihres Projekts aufrufen und was sie für die Sicherheitslage Ihrer Organisation bedeuten.

Weitere Informationen zu den empfohlenen Vorgehensweisen für die Verwendung von CMEKs zum Schutz Ihrer Ressourcen in Cloud de Confiancefinden Sie unter Best Practices für die Verwendung von CMEKs.

Hinweise

1. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Viewer (roles/cloudkms.viewer) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Verschlüsselungsmesswerten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

   Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

2. Weisen Sie dem Cloud KMS-Organisationsdienst-Agent die Rolle Cloud KMS Organization Service Agent zu:

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   Wenn Sie diesen Schritt überspringen, werden im Dashboard Verschlüsselungsstatistiken möglicherweise unvollständige Informationen angezeigt. Wenn Sie beispielsweise Verschlüsselungsstatistiken für PROJECT_A aufrufen, werden Ressourcen in PROJECT_B, die durch einen Schlüssel in PROJECT_A geschützt sind, nicht in die Statistiken einbezogen.

Verschlüsselungsmesswerte ansehen

So rufen Sie Verschlüsselungsstatistiken auf:

1. Rufen Sie in der Cloud de Confiance Console die Seite Schlüsselverwaltung auf.

   Key Management aufrufen

2. Klicken Sie auf den Tab Übersicht und dann auf Verschlüsselungsstatistiken.

3. Wählen Sie mit der Projektauswahl ein Projekt aus. Im Dashboard werden die folgenden Verschlüsselungsstatistiken für Ressourcen und Schlüssel in diesem Projekt angezeigt:

   • In den Diagrammen Ressourcen in diesem Projekt nach Schutztyp und Ressourcenschutztyp nach Dienst werden Messwerte zur CMEK-Abdeckungsübersicht angezeigt.
   • Im Diagramm Ausrichtung an empfohlenen Praktiken für die Schlüsselnutzung werden zusammengefasste Messwerte zur Schlüsselausrichtung angezeigt. Sie können auch Details zur Schlüsselausrichtung aufrufen.

Details zur Ausrichtung von Schlüsseln ansehen

So rufen Sie eine Liste der Schlüssel im Projekt auf und sehen, mit welchen empfohlenen Vorgehensweisen sie übereinstimmen:

1. Suchen Sie auf der Seite Verschlüsselungsmesswerte nach dem Diagramm Ausrichtung an empfohlenen Praktiken für die Schlüsselnutzung.

2. Optional: Wenn Sie sich nur auf Schlüssel konzentrieren möchten, die von Cloud KMS Autokey erstellt wurden, klicken Sie auf den Tab Cloud KMS (Autokey). Wenn Sie sich nur auf manuell erstellte Schlüssel konzentrieren möchten, klicken Sie auf den Tab Cloud KMS (Manuell).

3. Wenn Sie eine Liste der Schlüssel aufrufen und sehen möchten, ob sie mit den einzelnen Best Practices übereinstimmen, klicken Sie auf den Abschnitt, der die Kategorie darstellt, und dann auf Ansehen.

   Auf der Seite Ausrichtung an empfohlenen Praktiken für die Schlüsselnutzung werden Cloud KMS-Schlüssel im ausgewählten Projekt aufgeführt und es wird angezeigt, ob jeder Schlüssel entspricht oder nicht entspricht. Weitere Informationen dazu, was es bedeutet, wenn ein Schlüssel für eine Empfehlung abgestimmt oder nicht abgestimmt ist, finden Sie in diesem Dokument unter Schlüsselabstimmung.

4. Optional: Wenn Sie die Liste der Schlüssel filtern möchten, geben Sie Ihre Suchbegriffe in das Feld Filter filter_list ein und drücken Sie die Eingabetaste. Sie können die Liste beispielsweise filtern, sodass nur Schlüssel angezeigt werden, die auf die Empfehlung zur Granularität abgestimmt sind.

Verschlüsselungsmesswerte

Im Dashboard für Verschlüsselungsstatistiken wird der Cloud Asset Inventory-Dienst verwendet, um Informationen zu Ihren Ressourcen und Cloud KMS-Schlüsseln zu erfassen. Im Dashboard werden Messwerte bei Bedarf anhand der neuesten verfügbaren Daten berechnet.

Das Dashboard enthält zwei Hauptkategorien von Messwerten: CMEK-Abdeckung und Schlüsselabstimmung. Beide Messwerte bieten eine Zusammenfassung mit aggregierten Informationen und eine detaillierte Ansicht mit einer tabellarischen Liste von Ressourcen oder Schlüsseln.

CMEK-Abdeckung

Die Messwerte zur CMEK-Abdeckung in den Diagrammen Ressourcen in diesem Projekt nach Schutztyp und Ressourcenschutztyp nach Dienst zeigen, wie viele Ihrer Ressourcen durch CMEKs geschützt sind. Dieser Messwert bezieht sich auf Ressourcen, für die die CMEK-Integration und die Cloud KMS-Schlüsselverfolgung unterstützt werden. Die Ressourcen sind in die folgenden Kategorien unterteilt:

• Von Google verwaltete Verschlüsselung: Ressourcen, die durch die Standardverschlüsselung von Google geschützt sind.
• Cloud KMS (manuell): Ressourcen, die durch einen CMEK geschützt sind, den Sie manuell erstellen und verwalten.
• Cloud KMS (Autokey): Ressourcen, die durch einen vom Autokey-Dienst bereitgestellten und zugewiesenen CMEK geschützt sind.

Messwerte zur CMEK-Abdeckung werden für das gesamte Projekt und aufgeschlüsselt nach dem Dienst angezeigt, der den einzelnen geschützten Ressourcen zugeordnet ist. Anhand dieser Informationen können Sie beurteilen, wie viele der Ressourcen im ausgewählten Projekt die standardmäßige Google-Verschlüsselung verwenden, obwohl CMEKs verwendet werden könnten.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Nachverfolgte Ressourcentypen.

Schlüsselausrichtung

Die Messwerte für die Schlüsselausrichtung im Diagramm Ausrichtung an empfohlenen Praktiken für die Schlüsselnutzung zeigen, ob Ihre Cloud KMS-Schlüssel den folgenden empfohlenen Sicherheitsverfahren entsprechen:

• Rotationszeitraum: Für den Schlüssel ist ein angemessener Rotationszeitraum festgelegt.
• Granularität: Der Schlüssel schützt Ressourcen, die sich in einem Projekt befinden und zu einem Dienst gehören.
• Aufgabentrennung: Nur Dienstkonten haben die Berechtigung, mit dem Schlüssel zu verschlüsseln und zu entschlüsseln.
• Standort: Der Schlüssel schützt nur Ressourcen, die sich am selben Cloud-Standort befinden.

Die Messwerte für die Schlüsselabstimmung umfassen alle symmetrischen Cloud KMS-Verschlüsselungsschlüssel im ausgewählten Projekt, auch wenn sie nicht zum Schutz von Ressourcen in einem CMEK-integrierten Dienst verwendet werden. Diese Messwerte werden für Schlüssel, nicht für Schlüsselversionen bewertet. Ein Schlüssel ohne aktive Schlüsselversionen kann beispielsweise trotzdem als Abgestimmt für eine oder alle dieser empfohlenen Vorgehensweisen angezeigt werden.

In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen Praktiken.

Detaillierungsgrad

Die Granularität eines Schlüssels bezieht sich auf den Umfang und die Reichweite der beabsichtigten Verwendung eines Schlüssels. Schlüssel können sehr detailliert sein und nur eine einzelne Ressource schützen oder weniger detailliert sein und viele Ressourcen schützen. Wenn Sie weniger detaillierte Schlüssel verwenden, erhöht sich das potenzielle Risiko von Sicherheitsvorfällen wie unbefugtem Zugriff und versehentlichem Datenverlust.

Im Allgemeinen empfehlen wir die folgende Granularitätsstrategie:

• Jeder Schlüssel schützt Ressourcen an einem einzelnen Standort, z. B. us-central1.
• Jeder Schlüssel schützt Ressourcen in einem einzelnen Dienst oder Produkt, z. B. BigQuery.
• Jeder Schlüssel schützt Ressourcen in einem einzelnen Cloud de Confiance -Projekt.

Diese Empfehlung ist möglicherweise nicht die ideale Granularitätsstrategie für Ihre Organisation. Für die meisten Organisationen bietet diese Strategie ein gutes Gleichgewicht zwischen dem Aufwand für die Verwaltung vieler hochgranularer Schlüssel und den potenziellen Risiken der Verwendung weniger granularer Schlüssel, die von vielen Projekten, Diensten oder Ressourcen gemeinsam genutzt werden.

Jeder Schlüssel in Ihrem Projekt gilt als Aligned (abgestimmt) mit dieser Empfehlung, wenn sich alle Ressourcen, die er schützt, am selben Standort, im selben Dienst und im selben Projekt befinden. Ein Schlüssel gilt als nicht ausgerichtet, wenn die Ressourcen, die er schützt, sich an zwei oder mehr Standorten, in zwei oder mehr Diensten oder in zwei oder mehr Projekten befinden.

Wenn Ihre Schlüssel nicht dieser Empfehlung entsprechen, sollten Sie überlegen, ob eine Anpassung Ihrer Schlüsselgranularitätsstrategie für Ihre Organisation sinnvoll ist. Weitere Informationen zu Best Practices für den Detaillierungsgrad des Schlüssels finden Sie unter Strategie für den Detaillierungsgrad des Schlüssels auswählen.

Standort

In den meisten Fällen müssen Cloud KMS-Schlüssel, die mit CMEK-integrierten Diensten verwendet werden, sich in derselben Cloud de Confiance Region oder Multiregion befinden wie die Ressourcen, die sie schützen. Für einige Dienste sind jedoch Ausnahmen von dieser Regel zulässig.

Jeder Schlüssel in Ihrem Projekt gilt als Aligned (abgestimmt) mit dieser Empfehlung, wenn sich die Ressourcen, die er schützt, alle am selben Ort wie der Schlüssel befinden, z. B. ein Schlüssel in us-central1, der Ressourcen in us-central1 schützt. Mit regionalen Schlüsseln können zonale Ressourcen in derselben Region geschützt werden, z. B. ein Schlüssel in us-central1, der Ressourcen in us-central1a schützt.

Ein Schlüssel gilt als nicht ausgerichtet auf diese Empfehlung, wenn er eine Ressource in einer anderen Region oder Multi-Region schützt, z. B. ein Schlüssel in der Multi-Region us, der ein Compute Engine-Laufwerk in der Region us-central1 schützt.

Wenn Ihre Schlüssel nicht dieser Empfehlung entsprechen, sollten Sie Ihre Ressourcen oder Schlüssel verschieben oder ersetzen, damit sie sich am selben Speicherort befinden. Weitere Informationen zu Standorten finden Sie unter Cloud KMS-Standorte.

Rotation

Das regelmäßige Rotieren von Schlüsseln ist ein wichtiger Aspekt der Informationssicherheit. Bei einigen Standards müssen Sie Ihre Schlüssel beispielsweise in einem bestimmten Rhythmus rotieren. Schlüssel, die sensible Arbeitslasten schützen, müssen möglicherweise häufiger rotiert werden. Mit Cloud KMS können Sie die automatische Schlüsselrotation für Ihre Schlüssel einrichten, damit Ihr ausgewählter Zeitplan eingehalten wird.

Jeder Schlüssel in Ihrem Projekt gilt als Aligned (abgestimmt) mit dieser Empfehlung, wenn ein Rotationszeitplan festgelegt ist. Ein Schlüssel gilt als Nicht ausgerichtet, wenn er nicht für die automatische Schlüsselrotation eingerichtet ist.

Sie haben folgende Möglichkeiten, die automatische Rotation zu aktivieren:

• Manuell einen neuen Schlüssel mit einem benutzerdefinierten Rotationszeitplan erstellen
• Cloud KMS Autokey beim Erstellen einer neuen Ressource verwenden Schlüssel, die von Cloud KMS Autokey erstellt wurden, haben einen standardmäßigen Rotationszeitraum von einem Jahr. Der Rotationszeitraum kann jedoch nach der Erstellung des Schlüssels geändert werden.
• Vorhandenen Schlüssel aktualisieren, um einen Rotationsplan hinzuzufügen

Aufgabentrennung

Die Funktionstrennung ist eine Sicherheitsmaßnahme, die darauf abzielt, Nutzern oder anderen Identitäten nicht zu viele Berechtigungen zu erteilen. Im Kontext von Cloud KMS- und CMEK-Integrationen bedeutet das, dass die Nutzer, die Ihre Cloud KMS-Schlüssel verwalten, keine Berechtigungen zum Verwenden dieser Schlüssel haben sollten. Außerdem sollten die Identitäten, die die Schlüssel zum Verschlüsseln und Entschlüsseln Ihrer Ressourcen verwenden, keine anderen Berechtigungen für die Schlüssel haben.

Jeder Schlüssel in Ihrem Projekt gilt als abgestimmt auf diese Empfehlung, wenn beide der folgenden Bedingungen erfüllt sind:

• Das Dienstkonto für die geschützte Ressource ist das einzige Hauptkonto mit den Berechtigungen cloudkms.cryptoKeyVersions.useToEncrypt und cloudkms.cryptoKeyVersions.useToDecrypt für den Schlüssel.
• Das Dienstkonto für die geschützte Ressource hat keine Rolle, die Berechtigungen für die Schlüsselverwaltung für den Schlüssel gewährt, einschließlich roles/cloudkms.admin, roles/editor und roles/owner.

Ein Schlüssel gilt als nicht ausgerichtet, wenn das Dienstkonto Administratorberechtigungen hat oder ein anderes Hauptkonto Verschlüsselungs- oder Entschlüsselungsberechtigungen hat.

Wenn Ihre Schlüssel nicht dieser Empfehlung entsprechen, prüfen Sie die IAM-Rollen und -Berechtigungen für Ihre Schlüssel und andere Cloud KMS-Ressourcen und entfernen Sie Rollen- und Berechtigungszuweisungen, die nicht erforderlich sind. Weitere Informationen zu Cloud KMS-Rollen und den darin enthaltenen Berechtigungen finden Sie unter Berechtigungen und Rollen. Weitere Informationen zum Ansehen und Entfernen von IAM-Rollen für Cloud KMS-Ressourcen finden Sie unter Zugriffssteuerung mit IAM.

Beschränkungen

Für das Dashboard Verschlüsselungsstatistiken gelten die folgenden Einschränkungen:

• Im Dashboard werden jeweils Messwerte für ein Projekt angezeigt.
• Das Dashboard hat ein Limit von 10.000 Ressourcen oder Schlüsseln pro Projekt. Wenn Ihr Projekt mehr als 10.000 Schlüssel enthält oder die Schlüssel in Ihrem Projekt mehr als 10.000 Ressourcen schützen, werden nur teilweise Messwerte angezeigt.
• Das Dashboard basiert auf Daten aus dem Cloud Asset Inventory-Dienst. Wenn Daten in Cloud Asset Inventory veraltet sind, werden im Dashboard möglicherweise ungenaue oder unvollständige Informationen angezeigt.
• Im Dashboard werden nur symmetrische Schlüssel für die Schlüsselabstimmung und die CMEK-Abdeckung berücksichtigt.
• Auf dem Dashboard werden nur Ressourcen berücksichtigt, die die Schlüsselnutzungsanalyse unterstützen.
• Bei den Messwerten zur Schlüsselabstimmung wird nicht zwischen Schlüsseln unterschieden, die aktiv als CMEKs zum Schutz nachverfolgbarer Ressourcen verwendet werden, Schlüsseln, die aktiv für andere Anwendungsfälle verwendet werden, und Schlüsseln, die keine aktiven Schlüsselversionen haben. Ihre Daten zur Schlüsselabstimmung können beispielsweise Schlüssel enthalten, die für benutzerdefinierte Anwendungen verwendet werden.
• Wenn die Daten zur Schlüsselausrichtung Schlüssel enthalten, die nicht nachverfolgbare Ressourcen und benutzerdefinierte Anwendungen schützen, sind die Ausrichtungsdetails für diese Schlüssel möglicherweise nicht genau. Ein Schlüssel, der in mehreren benutzerdefinierten Anwendungen in mehreren Projekten verwendet wird, wird beispielsweise möglicherweise als Abgestimmt auf die Empfehlungen zur Schlüsselgranularität angezeigt, obwohl dies nicht der Fall ist.

Nächste Schritte

• Weitere Informationen zum Tracking der Schlüsselnutzung
• Weitere Informationen zu Best Practices für vom Kunden verwaltete Verschlüsselungsschlüssel