Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Veja métricas de encriptação

O Cloud Key Management Service (Cloud KMS) apresenta métricas sobre as chaves de encriptação que protegem os seus dados em repouso. Estas métricas mostram como os seus recursos estão protegidos e se as suas chaves estão alinhadas com as práticas recomendadas. As métricas focam-se principalmente nas chaves de encriptação geridas pelo cliente (CMEKs) usadas para proteger recursos em serviços integrados com CMEK. Este guia mostra como ver as métricas de encriptação do seu projeto e ajuda a compreender o que significam para a postura de segurança da sua organização.

Para mais informações sobre as práticas recomendadas para usar CMEKs para proteger os seus recursos no Cloud de Confiance, consulte o artigo Práticas recomendadas para usar CMEKs.

Antes de começar

Para obter as autorizações de que precisa para ver as métricas de encriptação, peça ao seu administrador para lhe conceder a função Visualizador do Cloud KMS (roles/cloudkms.viewer) da IAM no projeto ou num recurso principal. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Conceda a função de agente do serviço da organização do Cloud KMS ao agente do serviço da organização do Cloud KMS:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent
  
```
Se ignorar este passo, o painel de controlo Métricas de encriptação pode apresentar informações incompletas. Por exemplo, quando vê as métricas de encriptação para o PROJECT_A, os recursos no PROJECT_B que estão protegidos por uma chave no PROJECT_A não são incluídos nas métricas.

Veja métricas de encriptação

Para ver as métricas de encriptação, siga estes passos:

Na Cloud de Confiance consola, aceda à página Gestão de chaves.

Aceda à gestão de chaves
Clique no separador Vista geral e, de seguida, em Métricas de encriptação.
Use o seletor de projetos para selecionar um projeto. O painel de controlo mostra as seguintes métricas de encriptação para recursos e chaves nesse projeto:
- Os gráficos Recursos neste projeto por tipo de proteção e Tipo de proteção de recursos por serviço mostram métricas do resumo da cobertura da CMEK.
- O gráfico Alinhamento com as práticas recomendadas de utilização principais mostra métricas de resumo do alinhamento principais. Também pode ver detalhes do alinhamento principais.

Veja os detalhes do alinhamento de chaves

Para ver uma lista de chaves no projeto e saber com que práticas recomendadas estão alinhadas, siga estes passos:

Na página Métricas de encriptação, localize o gráfico Alinhamento com as práticas recomendadas de utilização de chaves.
Opcional: para se focar apenas nas chaves criadas pelo Cloud KMS Autokey, clique no separador Cloud KMS (Autokey). Para se focar apenas nas chaves criadas manualmente, clique no separador Cloud KMS (manual).
Para ver uma lista de chaves e saber se estão alinhadas com cada prática recomendada, clique na secção que representa a categoria e, de seguida, clique em Ver.

A página Alinhamento com as práticas recomendadas de utilização de chaves apresenta as chaves do Cloud KMS no projeto selecionado e mostra se cada uma está Alinhada ou Não alinhada com cada recomendação. Para saber mais sobre o que significa uma chave estar Alinhada ou Não alinhada para uma recomendação, consulte Alinhamento de chaves neste documento.
Opcional: para filtrar a lista de chaves, introduza os termos de pesquisa na caixa filter_list Filtrar e, de seguida, prima Enter. Por exemplo, pode filtrar a lista para mostrar apenas chaves que estão Alinhadas com a recomendação de Granularidade.

Compreenda as métricas de encriptação

O painel de controlo das métricas de encriptação usa o serviço Cloud Asset Inventory para recolher informações sobre os seus recursos e chaves do Cloud KMS. O painel de controlo calcula as métricas a pedido com os dados mais recentes disponíveis.

O painel de controlo mostra duas categorias principais de métricas: cobertura da CMEK e alinhamento principal. Ambas as métricas mostram uma vista de resumo com informações agregadas e uma vista detalhada com uma lista tabular de recursos ou chaves.

Cobertura de CMEK

As métricas de cobertura da CMEK nos gráficos Recursos neste projeto por tipo de proteção e Tipo de proteção de recursos por serviço mostram quantos dos seus recursos estão protegidos por CMEKs. Esta métrica analisa os recursos para os quais a integração da CMEK e a monitorização de chaves do Cloud KMS são suportadas. Os recursos estão agrupados nas seguintes categorias:

Encriptação gerida pela Google: recursos protegidos pela encriptação predefinida da Google.
Cloud KMS (manual): recursos protegidos por uma CMEK que cria e gere manualmente.
Cloud KMS (Autokey): recursos protegidos por uma CMEK aprovisionada e atribuída pelo serviço Autokey.

As métricas de cobertura da CMEK são apresentadas para o projeto como um todo e discriminadas pelo serviço associado a cada um dos recursos protegidos. Pode usar estas informações para avaliar quantos dos recursos no projeto selecionado estão a usar a encriptação predefinida da Google quando poderiam usar CMEKs.

Para ver uma lista dos tipos de recursos suportados, consulte o artigo Tipos de recursos monitorizados.

Alinhamento de teclas

As principais métricas de alinhamento no gráfico Alinhamento com as práticas recomendadas de utilização de chaves mostram se as suas chaves do Cloud KMS estão alinhadas com as seguintes práticas de segurança recomendadas:

Período de rotação: a chave tem um período de rotação adequado definido.
Granularidade: a chave protege os recursos que estão num projeto e pertencem a um serviço.
Separação de funções: apenas as contas de serviço têm autorização para encriptar e desencriptar com a chave.
Localização: a chave protege apenas os recursos que se encontram na mesma localização na nuvem.

As métricas de alinhamento de chaves incluem todas as chaves de encriptação simétricas do Cloud KMS no projeto selecionado, mesmo que não sejam usadas para proteger recursos num serviço integrado com CMEK. Estas métricas são avaliadas para chaves e não para versões de chaves. Por exemplo, uma chave sem versões de chaves ativas pode continuar a ser apresentada como Alinhada para qualquer uma ou todas estas práticas recomendadas.

As secções seguintes fornecem mais informações sobre cada uma destas práticas.

Nível de detalhe

A granularidade da chave refere-se à escala e ao âmbito da utilização pretendida de uma chave. As chaves podem ser altamente detalhadas, protegendo apenas um único recurso, ou podem ser menos detalhadas, protegendo muitos recursos. A utilização de chaves menos detalhadas aumenta o potencial impacto de incidentes de segurança, incluindo o acesso não autorizado e a perda acidental de dados.

Em geral, recomendamos a seguinte estratégia de detalhe:

Cada chave protege os recursos numa única localização, por exemplo, us-central1.
Cada chave protege recursos num único serviço ou produto, por exemplo, o BigQuery.
Cada chave protege os recursos num único Cloud de Confiance projeto.

Esta recomendação pode não ser a estratégia de granularidade ideal para a sua organização. Para a maioria das organizações, esta estratégia oferece um bom equilíbrio entre a sobrecarga da manutenção de muitas chaves altamente detalhadas e os potenciais riscos da utilização de chaves menos detalhadas que são partilhadas entre muitos projetos, serviços ou recursos.

Cada chave no seu projeto é considerada Alinhada com esta recomendação se os recursos que protege estiverem todos localizados na mesma localização, serviço e projeto. Uma chave é considerada Não alinhada com esta recomendação se os recursos que protege estiverem localizados em duas ou mais localizações, serviços ou projetos.

Se as suas chaves não estiverem alinhadas com esta recomendação, pondere se ajustar a estratégia de granularidade das chaves é adequado para a sua organização. Para mais informações sobre as práticas recomendadas para a granularidade das chaves, consulte o artigo Escolha uma estratégia de granularidade das chaves.

Localização

Na maioria dos casos, as chaves do Cloud KMS usadas com serviços integrados com CMEK têm de estar na mesma Cloud de Confiance região ou multirregião Cloud de Confiance onde se encontram os recursos que protegem. No entanto, alguns serviços permitem exceções a esta regra.

Cada chave no seu projeto é considerada Alinhada com esta recomendação se os recursos que protege estiverem todos localizados na mesma localização que a chave, por exemplo, uma chave em us-central1 que protege recursos em us-central1. As chaves regionais podem proteger recursos zonais na mesma região. Por exemplo, uma chave em us-central1 que protege recursos em us-central1a.

Uma chave é considerada Não alinhada com esta recomendação se proteger um recurso numa região ou multirregião diferente. Por exemplo, uma chave na multirregião us que protege um disco do Compute Engine na região us-central1.

Se as suas chaves não estiverem alinhadas com esta recomendação, pondere mover ou substituir os seus recursos ou chaves para que estejam na mesma localização. Para mais informações sobre localizações, consulte as localizações do Cloud KMS.

Rotação

Alternar as chaves regularmente é um aspeto importante da segurança da informação. Por exemplo, algumas normas exigem que rode as suas chaves de acordo com um determinado agendamento. As chaves que protegem cargas de trabalho confidenciais podem ter de ser alternadas com mais frequência. O Cloud KMS permite-lhe configurar a rotação automática de chaves para as suas chaves de modo a ajudar a garantir que o seu horário escolhido é seguido.

Cada chave no seu projeto é considerada Alinhada com esta recomendação se tiver um horário de rotação definido. Uma chave é considerada Não alinhada se não estiver configurada para a rotação automática de chaves.

Para ativar a rotação automática, pode fazer qualquer uma das seguintes ações:

Crie manualmente uma nova chave com um horário de rotação personalizado.
Use a chave automática do Cloud KMS quando criar um novo recurso. As chaves criadas pela chave automática do Cloud KMS têm um período de rotação predefinido de um ano, mas o período de rotação pode ser alterado após a criação da chave.
Atualize uma chave existente para adicionar um agendamento de rotação.

Separação de funções

A separação de funções é uma prática de segurança que visa evitar conceder demasiadas autorizações aos utilizadores ou a outros principais. No contexto do Cloud KMS e das integrações da CMEK, isto significa que os utilizadores que mantêm as suas chaves do Cloud KMS não devem ter autorizações para usar essas chaves, e os principais que usam as chaves para encriptar e desencriptar os seus recursos não têm outras autorizações nas chaves.

Cada chave no seu projeto é considerada Alinhada com esta recomendação se ambas as seguintes afirmações forem verdadeiras:

A conta de serviço do recurso protegido é o único principal com as autorizações cloudkms.cryptoKeyVersions.useToEncrypt e cloudkms.cryptoKeyVersions.useToDecrypt na chave.
A conta de serviço do recurso protegido não tem uma função que conceda autorizações de administração de chaves na chave, incluindo roles/cloudkms.admin, roles/editor e roles/owner.

Uma chave é considerada Não alinhada se a conta de serviço tiver autorizações de administração ou outro principal tiver autorizações de encriptação ou desencriptação.

Se as suas chaves não estiverem alinhadas com esta recomendação, reveja as funções e as autorizações de IAM nas suas chaves e noutros recursos do Cloud KMS, e remova as concessões de funções e autorizações que não são necessárias. Para mais informações sobre as funções do Cloud KMS e as autorizações que incluem, consulte o artigo Autorizações e funções. Para mais informações sobre a visualização e a remoção de funções da IAM em recursos do Cloud KMS, consulte o artigo Controlo de acesso com a IAM.

Limitações

O painel de controlo Métricas de encriptação tem as seguintes limitações:

O painel de controlo mostra as métricas de um projeto de cada vez.
O painel de controlo tem um limite de 10 000 recursos ou chaves por projeto. Se o seu projeto contiver mais de 10 000 chaves ou se as chaves no seu projeto protegerem mais de 10 000 recursos, são apresentadas apenas métricas parciais.
O painel de controlo baseia-se em dados do serviço Cloud Asset Inventory. Se algum dos dados no Cloud Asset Inventory estiver desatualizado, o painel de controlo pode apresentar informações incorretas ou incompletas.
O painel de controlo considera apenas chaves simétricas para o alinhamento de chaves e a cobertura da CMEK.
O painel de controlo só considera os recursos que suportam a monitorização da utilização de chaves.
As métricas de alinhamento de chaves não distinguem entre chaves que estão em utilização ativa como CMEKs que protegem recursos rastreáveis, chaves que estão em utilização ativa para outros exemplos de utilização e chaves que não têm versões de chaves ativas. Por exemplo, os dados de alinhamento de chaves podem incluir chaves usadas para aplicações personalizadas.
Quando os dados de alinhamento de chaves incluem chaves que protegem recursos não rastreáveis e aplicações personalizadas, os detalhes de alinhamento destas chaves podem não ser precisos. Por exemplo, uma chave usada em várias aplicações personalizadas em vários projetos pode ser apresentada como Alinhada com as recomendações de granularidade da chave, mesmo que não esteja.

O que se segue?

Saiba mais sobre o acompanhamento da utilização de chaves.
Saiba mais acerca das práticas recomendadas para chaves de encriptação geridas pelo cliente.