Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Cette page a été traduite par l'API Cloud Translation.

Afficher les métriques de chiffrement

Cloud Key Management Service (Cloud KMS) affiche des métriques sur les clés de chiffrement qui protègent vos données au repos. Ces métriques indiquent comment vos ressources sont protégées et si vos clés respectent les pratiques recommandées. Les métriques se concentrent principalement sur les clés de chiffrement gérées par le client (CMEK) utilisées pour protéger les ressources dans les services intégrés aux CMEK. Ce guide vous explique comment afficher les métriques de chiffrement de votre projet et vous aide à comprendre ce qu'elles signifient pour le niveau de sécurité de votre organisation.

Pour en savoir plus sur les bonnes pratiques concernant l'utilisation des CMEK pour protéger vos ressources dans Cloud de Confiance, consultez Bonnes pratiques pour l'utilisation des CMEK.

Avant de commencer

Pour obtenir les autorisations nécessaires pour afficher les métriques de chiffrement, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Cloud KMS (roles/cloudkms.viewer) sur le projet ou une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Attribuez le rôle Agent de service d'organisation Cloud KMS à l'agent de service d'organisation Cloud KMS :
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent
  
```
Si vous ignorez cette étape, le tableau de bord Métriques de chiffrement risque d'afficher des informations incomplètes. Par exemple, lorsque vous consultez les métriques de chiffrement pour PROJECT_A, les ressources de PROJECT_B protégées par une clé dans PROJECT_A ne sont pas incluses dans les métriques.

Afficher les métriques de chiffrement

Pour afficher les métriques de chiffrement, procédez comme suit :

Dans la console Cloud de Confiance , accédez à la page Gestion des clés.

Accéder à Key Management
Cliquez sur l'onglet Présentation, puis sur Métriques de chiffrement.
Utilisez le sélecteur de projet pour sélectionner un projet. Le tableau de bord affiche les métriques de chiffrement suivantes pour les ressources et les clés de ce projet :
- Les graphiques Ressources de ce projet par type de protection et Type de protection des ressources par service affichent les métriques récapitulatives de couverture CMEK.
- Le graphique Respect des pratiques recommandées d'utilisation des clés affiche les métriques récapitulatives clés sur l'alignement. Vous pouvez également afficher les détails clés sur l'alignement.

Afficher les détails de l'alignement des clés

Pour afficher la liste des clés du projet et les bonnes pratiques auxquelles elles sont associées, procédez comme suit :

Sur la page Métriques de chiffrement, recherchez le graphique Respect des pratiques recommandées d'utilisation des clés.
Facultatif : Pour vous concentrer uniquement sur les clés créées par Cloud KMS Autokey, cliquez sur l'onglet Cloud KMS (Autokey). Pour n'afficher que les clés créées manuellement, cliquez sur l'onglet Cloud KMS (manuel).
Pour afficher la liste des clés et voir si elles sont conformes à chaque pratique recommandée, cliquez sur la section qui représente la catégorie, puis sur Afficher.

La page Respect des pratiques recommandées d'utilisation des clés liste les clés Cloud KMS du projet sélectionné et indique si chacune d'elles est conforme ou non conforme à chaque recommandation. Pour en savoir plus sur ce que signifie Alignée ou Non alignée pour une clé dans une recommandation, consultez Alignement des clés dans ce document.
Facultatif : Pour filtrer la liste des clés, saisissez vos termes de recherche dans la zone Filtrer filter_list, puis appuyez sur Entrée. Par exemple, vous pouvez filtrer la liste pour n'afficher que les clés alignées sur la recommandation Précision.

Comprendre les métriques de chiffrement

Le tableau de bord des métriques de chiffrement utilise le service inventaire des éléments cloud pour collecter des informations sur vos ressources et vos clés Cloud KMS. Le tableau de bord calcule les métriques à la demande à l'aide des dernières données disponibles.

Le tableau de bord affiche deux catégories principales de métriques : la couverture CMEK et l'alignement des clés. Les deux métriques affichent une vue récapitulative avec des informations agrégées et une vue détaillée avec une liste tabulaire des ressources ou des clés.

Couverture CMEK

Les métriques de couverture CMEK dans les graphiques Ressources de ce projet par type de protection et Type de protection des ressources par service indiquent le nombre de vos ressources protégées par des CMEK. Cette métrique examine les ressources pour lesquelles l'intégration CMEK et le suivi des clés Cloud KMS sont compatibles. Les ressources sont regroupées dans les catégories suivantes :

Chiffrement géré par Google : ressources protégées par le chiffrement par défaut de Google.
Cloud KMS (manuel) : ressources protégées par une CMEK que vous créez et gérez manuellement.
Cloud KMS (clé automatique) : ressources protégées par une CMEK provisionnée et attribuée par le service de clé automatique.

Les métriques de couverture CMEK sont affichées pour l'ensemble du projet et ventilées par service associé à chacune des ressources protégées. Vous pouvez utiliser ces informations pour évaluer le nombre de ressources du projet sélectionné qui utilisent le chiffrement par défaut de Google alors qu'elles pourraient utiliser des CMEK.

Pour obtenir la liste des types de ressources compatibles, consultez Types de ressources suivies.

Alignement des clés

Les métriques d'alignement des clés du graphique Respect des pratiques recommandées d'utilisation des clés indiquent si vos clés Cloud KMS respectent les pratiques de sécurité recommandées suivantes :

Période de rotation : une période de rotation appropriée est définie pour la clé.
Granularité : la clé protège les ressources qui se trouvent dans un projet et appartiennent à un service.
Séparation des tâches : seuls les comptes de service sont autorisés à chiffrer et déchiffrer les données avec la clé.
Emplacement : la clé ne protège que les ressources qui se trouvent au même emplacement cloud.

Les métriques d'alignement des clés incluent toutes les clés de chiffrement symétriques Cloud KMS du projet sélectionné, même si elles ne sont pas utilisées pour protéger les ressources d'un service intégré aux CMEK. Ces métriques sont évaluées pour les clés, et non pour les versions de clé. Par exemple, une clé sans version active peut toujours être affichée comme Alignée pour tout ou partie de ces bonnes pratiques recommandées.

Les sections suivantes fournissent plus d'informations sur chacune de ces pratiques.

Précision

La granularité d'une clé fait référence à l'échelle et à la portée de l'utilisation prévue d'une clé. Les clés peuvent être très précises et ne protéger qu'une seule ressource, ou moins précises et protéger plusieurs ressources. L'utilisation de clés moins précises augmente l'impact potentiel des incidents de sécurité, y compris les accès non autorisés et les pertes de données accidentelles.

En général, nous recommandons la stratégie de granularité suivante :

Chaque clé protège les ressources d'un seul emplacement, par exemple us-central1.
Chaque clé protège les ressources d'un seul service ou produit (BigQuery, par exemple).
Chaque clé protège les ressources d'un seul projet Cloud de Confiance .

Cette recommandation n'est peut-être pas la stratégie de précision idéale pour votre organisation. Pour la plupart des organisations, cette stratégie offre un bon équilibre entre la surcharge liée à la gestion de nombreuses clés très précises et les risques potentiels liés à l'utilisation de clés moins précises partagées entre de nombreux projets, services ou ressources.

Chaque clé de votre projet est considérée comme alignée sur cette recommandation si les ressources qu'elle protège se trouvent toutes au même emplacement, dans le même service et dans le même projet. Une clé est considérée comme non alignée sur cette recommandation si les ressources qu'elle protège se trouvent dans au moins deux emplacements, services ou projets.

Si vos clés ne sont pas conformes à cette recommandation, déterminez si l'ajustement de votre stratégie de granularité des clés convient à votre organisation. Pour en savoir plus sur les pratiques recommandées concernant la précision des clés, consultez Choisir une stratégie de précision des clés.

Emplacement

Dans la plupart des cas, les clés Cloud KMS utilisées avec les services intégrés à CMEK doivent se trouver exactement dans la même Cloud de Confiance région ou multirégion que les ressources qu'elles protègent. Toutefois, certains services autorisent des exceptions à cette règle.

Chaque clé de votre projet est considérée comme alignée sur cette recommandation si les ressources qu'elle protège sont toutes situées au même emplacement que la clé (par exemple, une clé dans us-central1 qui protège des ressources dans us-central1). Les clés régionales peuvent protéger les ressources zonales d'une même région. Par exemple, une clé située dans us-central1 peut protéger les ressources de us-central1a.

Une clé est considérée comme non alignée sur cette recommandation si elle protège une ressource dans une autre région ou multirégion. Par exemple, une clé dans la multirégion us qui protège un disque Compute Engine dans la région us-central1.

Si vos clés ne sont pas alignées sur cette recommandation, envisagez de déplacer ou de remplacer vos ressources ou clés afin qu'elles se trouvent au même emplacement. Pour en savoir plus sur les emplacements, consultez Emplacements Cloud KMS.

Rotation

La rotation régulière de vos clés est un aspect important de la sécurité des informations. Par exemple, certaines normes exigent que vous alterniez vos clés selon un certain calendrier. Les clés qui protègent les charges de travail sensibles peuvent nécessiter une rotation plus fréquente. Cloud KMS vous permet de configurer la rotation des clés automatique de vos clés pour vous assurer que le calendrier choisi est respecté.

Chaque clé de votre projet est considérée comme alignée sur cette recommandation si elle dispose d'un calendrier de rotation. Une clé est considérée comme non alignée si elle n'est pas configurée pour la rotation des clés automatique.

Pour activer la rotation automatique, vous pouvez effectuer l'une des opérations suivantes :

Créez manuellement une clé avec une programmation de rotation personnalisée.
Utilisez Cloud KMS Autokey lorsque vous créez une ressource. Les clés créées par Cloud KMS Autokey ont une période de rotation par défaut d'un an, mais celle-ci peut être modifiée après la création de la clé.
Mettez à jour une clé existante pour ajouter un calendrier de rotation.

Séparation des tâches

La séparation des tâches est une pratique de sécurité qui vise à éviter d'accorder trop d'autorisations aux utilisateurs ou à d'autres entités principales. Dans le contexte des intégrations Cloud KMS et CMEK, cela signifie que les utilisateurs qui gèrent vos clés Cloud KMS ne doivent pas être autorisés à les utiliser, et que les principaux qui utilisent les clés pour chiffrer et déchiffrer vos ressources ne doivent pas disposer d'autres autorisations sur les clés.

Chaque clé de votre projet est considérée comme alignée sur cette recommandation si les deux conditions suivantes sont remplies :

Le compte de service de la ressource protégée est le seul compte principal disposant des autorisations cloudkms.cryptoKeyVersions.useToEncrypt et cloudkms.cryptoKeyVersions.useToDecrypt sur la clé.
Le compte de service de la ressource protégée ne dispose pas d'un rôle qui accorde des autorisations d'administration des clés sur la clé, y compris roles/cloudkms.admin, roles/editor et roles/owner.

Une clé est considérée comme non alignée si le compte de service dispose d'autorisations d'administration ou si un autre compte principal dispose d'autorisations de chiffrement ou de déchiffrement.

Si vos clés ne sont pas conformes à cette recommandation, examinez les rôles et autorisations IAM sur vos clés et autres ressources Cloud KMS, puis supprimez les attributions de rôles et d'autorisations inutiles. Pour en savoir plus sur les rôles Cloud KMS et les autorisations qu'ils incluent, consultez Autorisations et rôles. Pour en savoir plus sur l'affichage et la suppression des rôles IAM sur les ressources Cloud KMS, consultez Contrôle des accès avec IAM.

Limites

Le tableau de bord Métriques de chiffrement présente les limites suivantes :

Le tableau de bord affiche les métriques d'un seul projet à la fois.
Le tableau de bord est limité à 10 000 ressources ou clés par projet. Si votre projet contient plus de 10 000 clés ou si les clés de votre projet protègent plus de 10 000 ressources, seules des métriques partielles sont affichées.
Le tableau de bord s'appuie sur les données du service Cloud Asset Inventory. Si des données de l'inventaire des éléments cloud sont obsolètes, le tableau de bord peut afficher des informations inexactes ou incomplètes.
Le tableau de bord ne prend en compte que les clés symétriques pour l'alignement des clés et la couverture CMEK.
Le tableau de bord ne prend en compte que les ressources compatibles avec le suivi de l'utilisation des clés.
Les métriques d'alignement des clés ne font pas la distinction entre les clés qui sont activement utilisées comme CMEK pour protéger les ressources pouvant être suivies, les clés qui sont activement utilisées pour d'autres cas d'utilisation et les clés qui n'ont pas de versions de clé actives. Par exemple, vos données d'alignement des clés peuvent inclure des clés utilisées pour des applications personnalisées.
Lorsque les données d'alignement des clés incluent des clés qui protègent des ressources non suivables et des applications personnalisées, les détails d'alignement de ces clés peuvent ne pas être exacts. Par exemple, une clé utilisée dans plusieurs applications personnalisées de plusieurs projets peut être affichée comme alignée sur les recommandations de granularité des clés, même si ce n'est pas le cas.

Étapes suivantes

En savoir plus sur le suivi de l'utilisation des clés
En savoir plus sur les bonnes pratiques concernant les clés de chiffrement gérées par le client