Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Ver métricas de cifrado

Cloud Key Management Service (Cloud KMS) muestra métricas sobre las claves de cifrado que protegen tus datos en reposo. Estas métricas muestran cómo se protegen tus recursos y si tus claves se ajustan a las prácticas recomendadas. Las métricas se centran principalmente en las claves de cifrado gestionadas por el cliente (CMEKs) que se usan para proteger los recursos en los servicios integrados con CMEK. En esta guía se explica cómo ver las métricas de cifrado de tu proyecto y se te ayuda a entender qué significan para la postura de seguridad de tu organización.

Para obtener más información sobre las prácticas recomendadas para usar CMEKs con el fin de proteger tus recursos en Cloud de Confiance, consulta Prácticas recomendadas para usar CMEKs.

Antes de empezar

Para obtener los permisos que necesitas para ver las métricas de cifrado, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector de Cloud KMS (roles/cloudkms.viewer) en el proyecto o en un recurso principal. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Asigna el rol Agente de servicio de organización de Cloud KMS a Agente de servicio de organización de Cloud KMS:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent
  
```
Si te saltas este paso, es posible que el panel de control Métricas de cifrado muestre información incompleta. Por ejemplo, si consultas las métricas de cifrado de PROJECT_A, los recursos de PROJECT_B protegidos por una clave de PROJECT_A no se incluirán en las métricas.

Ver métricas de cifrado

Para ver las métricas de cifrado, sigue estos pasos:

En la consola de Cloud de Confiance , ve a la página Gestión de claves.

Ir a Administración de claves
Haga clic en la pestaña Descripción general y, a continuación, en Métricas de cifrado.
Usa el selector de proyectos para elegir uno. En el panel de control se muestran las siguientes métricas de cifrado de los recursos y las claves de ese proyecto:
- Los gráficos Recursos de este proyecto por tipo de protección y Tipo de protección de recursos por servicio muestran métricas de resumen de cobertura de CMEK.
- El gráfico Alineación con las prácticas recomendadas de uso clave muestra métricas de resumen de alineación clave. También puedes ver detalles de la alineación clave.

Ver los detalles de la alineación de claves

Para ver una lista de las claves del proyecto y las prácticas recomendadas con las que se alinean, sigue estos pasos:

En la página Métricas de cifrado, busque el gráfico Alineación con las prácticas recomendadas de uso de claves.
Opcional: Para centrarte solo en las claves creadas por la función Autokey de Cloud KMS, haz clic en la pestaña Cloud KMS (Autokey). Para centrarte solo en las claves creadas manualmente, haz clic en la pestaña Cloud KMS (Manual).
Para ver una lista de claves y comprobar si se ajustan a cada práctica recomendada, haz clic en la sección que representa la categoría y, a continuación, en Ver.

En la página Alineación con las prácticas recomendadas de uso de claves se muestran las claves de Cloud KMS del proyecto seleccionado y se indica si cada una de ellas está alineada o no alineada con cada recomendación. Para obtener más información sobre lo que significa que una clave esté alineada o no alineada en una recomendación, consulta el apartado Alineación de claves de este documento.
Opcional: Para filtrar la lista de claves, introduzca los términos de búsqueda en el cuadro filter_list Filtrar y, a continuación, pulse Intro. Por ejemplo, puede filtrar la lista para que solo se muestren las claves que estén alineadas con la recomendación Granularidad.

Información sobre las métricas de cifrado

El panel de control de métricas de cifrado usa el servicio Inventario de recursos de Cloud para recoger información sobre tus recursos y claves de Cloud KMS. El panel de control calcula las métricas a petición con los datos más recientes disponibles.

El panel de control muestra dos categorías principales de métricas: cobertura de CMEK y alineación de claves. Ambas métricas muestran una vista de resumen con información agregada y una vista detallada con una lista tabular de recursos o claves.

Cobertura de CMEK

Las métricas de cobertura de CMEK de los gráficos Recursos de este proyecto por tipo de protección y Tipo de protección de recursos por servicio muestran cuántos de tus recursos están protegidos por CMEKs. Esta métrica analiza los recursos para los que se admiten la integración de CMEK y el seguimiento de claves de Cloud KMS. Los recursos se agrupan en las siguientes categorías:

Cifrado gestionado por Google: recursos protegidos por el cifrado predeterminado de Google.
Cloud KMS (manual): recursos protegidos por una CMEK que creas y gestionas manualmente.
Cloud KMS (Autokey): recursos protegidos por una CMEK aprovisionada y asignada por el servicio Autokey.

Las métricas de cobertura de CMEK se muestran para el proyecto en su conjunto y se desglosan por el servicio asociado a cada uno de los recursos protegidos. Puedes usar esta información para evaluar cuántos recursos del proyecto seleccionado usan el cifrado predeterminado de Google cuando podrían usar CMEKs.

Para ver una lista de los tipos de recursos admitidos, consulta Tipos de recursos monitorizados.

Alineación de las teclas

Las métricas de alineación de claves del gráfico Alineación con las prácticas recomendadas de uso de claves muestran si tus claves de Cloud KMS se ajustan a las siguientes prácticas de seguridad recomendadas:

Periodo de rotación: la clave tiene un periodo de rotación adecuado.
Granularidad: la clave protege los recursos que están en un proyecto y pertenecen a un servicio.
Separación de funciones: solo las cuentas de servicio tienen permiso para cifrar y descifrar con la clave.
Ubicación: la clave solo protege los recursos que se encuentran en la misma ubicación en la nube.

Las métricas de alineación de claves incluyen todas las claves de cifrado simétrico de Cloud KMS del proyecto seleccionado, aunque no se usen para proteger recursos en un servicio integrado con CMEK. Estas métricas se evalúan para las claves, no para las versiones de claves. Por ejemplo, una clave sin versiones activas puede seguir mostrando el estado Alineada para una o varias de estas prácticas recomendadas.

En las siguientes secciones se ofrece más información sobre cada una de estas prácticas.

Granularidad

La granularidad de la clave hace referencia a la escala y al ámbito del uso previsto de una clave. Las claves pueden ser muy granulares, de forma que solo protejan un recurso, o menos granulares, de forma que protejan muchos recursos. Si usas claves menos granulares, aumenta el impacto potencial de los incidentes de seguridad, como el acceso no autorizado y la pérdida accidental de datos.

En general, recomendamos la siguiente estrategia de granularidad:

Cada clave protege los recursos de una sola ubicación. Por ejemplo: us-central1.
Cada clave protege los recursos de un solo servicio o producto, como BigQuery.
Cada clave protege los recursos de un solo Cloud de Confiance proyecto.

Puede que esta recomendación no sea la estrategia de granularidad ideal para tu organización. En la mayoría de las organizaciones, esta estrategia ofrece un buen equilibrio entre la sobrecarga de mantener muchas claves muy granulares y los posibles riesgos de usar claves menos granulares que se comparten entre muchos proyectos, servicios o recursos.

Cada clave de tu proyecto se considera alineada con esta recomendación si los recursos que protege se encuentran en la misma ubicación, servicio y proyecto. Se considera que una clave no está alineada con esta recomendación si los recursos que protege se encuentran en dos o más ubicaciones, servicios o proyectos.

Si tus claves no se ajustan a esta recomendación, plantéate si es adecuado para tu organización ajustar la granularidad de las claves. Para obtener más información sobre las prácticas recomendadas para la granularidad de las claves, consulta el artículo Elegir una estrategia de granularidad de las claves.

Ubicación

En la mayoría de los casos, las claves de Cloud KMS que se usan con servicios integrados con CMEK deben estar en la misma Cloud de Confiance región o multirregión en la que se encuentran los recursos que protegen. Sin embargo, algunos servicios permiten excepciones a esta regla.

Se considera que cada clave de tu proyecto está alineada con esta recomendación si los recursos que protege se encuentran en la misma ubicación que la clave. Por ejemplo, una clave de us-central1 que protege recursos de us-central1. Las claves regionales pueden proteger recursos zonales de la misma región. Por ejemplo, una clave de us-central1 que protege recursos de us-central1a.

Se considera que una clave no está alineada con esta recomendación si protege un recurso en otra región o multirregión. Por ejemplo, una clave de la multirregión us que protege un disco de Compute Engine en la región us-central1.

Si tus claves no se ajustan a esta recomendación, plantéate mover o sustituir tus recursos o claves para que estén en la misma ubicación. Para obtener más información sobre las ubicaciones, consulta las ubicaciones de Cloud KMS.

Rotación

Rotar las claves con regularidad es un aspecto importante de la seguridad de la información. Por ejemplo, algunos estándares requieren que rotes las llaves según una programación determinada. Es posible que las claves que protegen cargas de trabajo sensibles deban rotarse con más frecuencia. Cloud KMS te permite configurar la rotación automática de tus claves para asegurarte de que se sigue la programación que hayas elegido.

Se considera que cada clave de su proyecto está alineada con esta recomendación si tiene una programación de rotación definida. Una clave se considera No alineada si no está configurada para la rotación automática de claves.

Para habilitar la rotación automática, puedes hacer lo siguiente:

Crea manualmente una clave con una rotación personalizada.
Usa Autokey de Cloud KMS cuando crees un recurso. Las claves creadas por la función Autokey de Cloud KMS tienen un periodo de rotación predeterminado de un año, pero se puede cambiar después de crear la clave.
Actualizar una clave para añadir una programación de rotación.

Separación de tareas

La separación de funciones es una práctica de seguridad que tiene como objetivo evitar que los usuarios u otras entidades tengan demasiados permisos. En el contexto de las integraciones de Cloud KMS y CMEK, esto significa que los usuarios que mantienen tus claves de Cloud KMS no deben tener permisos para usar esas claves, y que las entidades que usan las claves para cifrar y descifrar tus recursos no tienen otros permisos en las claves.

Cada clave de tu proyecto se considera alineada con esta recomendación si se cumplen las dos condiciones siguientes:

La cuenta de servicio del recurso protegido es la única principal que tiene los permisos cloudkms.cryptoKeyVersions.useToEncrypt y cloudkms.cryptoKeyVersions.useToDecrypt en la clave.
La cuenta de servicio del recurso protegido no tiene un rol que conceda permisos de administración de claves en la clave, incluidos roles/cloudkms.admin, roles/editor y roles/owner.

Una clave se considera No alineada si la cuenta de servicio tiene permisos de administración o si otra cuenta principal tiene permisos de cifrado o descifrado.

Si tus claves no se ajustan a esta recomendación, revisa los roles y permisos de gestión de identidades y accesos de tus claves y otros recursos de Cloud KMS, y elimina las concesiones de roles y permisos que no sean necesarias. Para obtener más información sobre los roles de Cloud KMS y los permisos que incluyen, consulta Permisos y roles. Para obtener más información sobre cómo ver y quitar roles de gestión de identidades y accesos en recursos de Cloud KMS, consulta Control de acceso con gestión de identidades y accesos.

Limitaciones

El panel de control Métricas de cifrado tiene las siguientes limitaciones:

El panel de control muestra las métricas de un proyecto a la vez.
El panel de control tiene un límite de 10.000 recursos o claves por proyecto. Si tu proyecto contiene más de 10.000 claves o si las claves de tu proyecto protegen más de 10.000 recursos, solo se mostrarán métricas parciales.
El panel de control se basa en los datos del servicio de inventario de recursos de Cloud. Si alguno de los datos del Inventario de Recursos de Cloud no está actualizado, es posible que el panel de control muestre información incorrecta o incompleta.
El panel de control solo tiene en cuenta las claves simétricas para la alineación de claves y la cobertura de CMEK.
El panel de control solo tiene en cuenta los recursos que admiten el seguimiento del uso de claves.
Las métricas de alineación de claves no distinguen entre las claves que se usan activamente como CMEKs para proteger recursos rastreables, las claves que se usan activamente en otros casos prácticos y las claves que no tienen versiones activas. Por ejemplo, los datos de alineación de claves pueden incluir claves que se usen para aplicaciones personalizadas.
Si los datos de alineación de claves incluyen claves que protegen recursos no rastreables y aplicaciones personalizadas, es posible que los detalles de alineación de estas claves no sean precisos. Por ejemplo, una clave que se usa en varias aplicaciones personalizadas de varios proyectos puede mostrarse como Alineada con las recomendaciones de granularidad de la clave, aunque no lo esté.

Siguientes pasos

Más información sobre el seguimiento del uso de claves
Consulta más información sobre las prácticas recomendadas para las claves de cifrado gestionadas por el cliente.