Integrar o Cloud HSM ao Google Workspace

Nesta página, descrevemos como integrar o Cloud HSM para Google Workspace (CHGWS), o serviço de chaves de criptografia para Google Workspace oferecido pelo Cloud Key Management Service (Cloud KMS). O HSM na nuvem para Google Workspace oferece controles de privacidade aprimorados para o Google Workspace, ajudando você a alcançar padrões regulatórios como DISA IL5 e aumentar segurança de dados. O Cloud HSM é um serviço de gerenciamento de chaves totalmente gerenciado, altamente disponível e alinhado aos padrões, operado em escala de nuvem com chaves apoiadas por hardware armazenadas em HSMs (módulos de segurança de hardware) compatíveis com FIPS 140-2 nível 3.

Antes de começar

Antes de integrar o Cloud HSM ao Google Workspace, conclua os seguintes pré-requisitos:

• Configure o Google Workspace.
• Ative a criptografia do lado do cliente (CSE) do Google Workspace no seu Google Workspace.
• Configure seu provedor de identidade (IdP) na CSE do Google Workspace. Anote o ID do cliente do seu IdP. Se você usa o Google Identity Platform, encontre o ID do cliente no seu projeto Google Cloud .
• Opcional: se você permitir o acesso a conteúdo criptografado com CSE em aplicativos de plataforma que não sejam da Web (como dispositivos móveis ou computadores), adicione os IDs do cliente dessas plataformas nas configurações do IdP no Admin Console do Google Workspace. Anote todos os IDs de cliente desse IdP. Se você usa o Google Identity Platform, encontre esses IDs de cliente no seu projeto Google Cloud . Para outros provedores de identidade, crie esses IDs do cliente separadamente.

Solicitar a integração com o Google Workspace

Para fazer a integração com o Cloud HSM para Google Workspace, envie uma solicitação de integração. Forneça as seguintes informações:

• ID do Google Workspace: seu ID do Google Workspace. Para encontrar seu ID do Google Workspace, siga as instruções em Encontrar seu ID de cliente.

• Endereços de e-mail de administradores do Google Workspace: forneça uma lista de endereços de e-mail de administradores separados por vírgulas.

• Detalhes do provedor de identidade (IdP) principal:

  • URL do conjunto de chaves da Web JSON (JWKS) do IdP: para o Google Identity Platform, use https://www.googleapis.com/oauth2/v3/certs.
  • Emissor do token JSON Web Token (JWT): para a Google Identity Platform, use https://accounts.google.com.
  • Público-alvo do JWT: o ID do cliente do seu IdP para aplicativos da Web.
  • Outros públicos-alvo do JWT: opcional. Forneça IDs de cliente para aplicativos de plataforma não Web, se configurados. Para o Google Identity Platform, use os IDs de cliente fornecidos em Se você vai usar a identidade do Google para a CSE.

• Detalhes do IdP convidado: opcional. Conclua esta seção se você estiver usando um IdP de convidado.

  • URL JWKS do IdP para convidados: o URL JWKS do IdP para convidados.
  • Emissor do token JWT de convidado: o emissor do token JWT do seu IdP de convidado.
  • Público-alvo do JWT de convidado: o ID do cliente do IdP convidado para aplicativos da Web, exceto o Google Meet.
  • Públicos-alvo adicionais do JWT de convidados: opcional. Se você configurar um ID do cliente da Web do Google Meet ou outros IDs de cliente de aplicativos de plataforma não Web, forneça IDs de cliente para cada um. Para o Google Identity Platform, use os IDs de cliente fornecidos em Se você vai usar a identidade do Google para a CSE.

• Local do endpoint: us-central1.

• Número esperado de usuários: informe o número esperado de usuários na sua instância do Google Workspace.

Verifique se o URL JWKS do IdP está acessível publicamente. Confirme os valores de emissor e público do token JWT com o administrador do IdP.

A equipe do CHGWS responde em 24 a 48 horas com o status da configuração do Google Workspace. Depois da integração, configure seu projeto Google Cloud para o Cloud KMS.

Configurar um projeto Google Cloud para o Cloud KMS

O Cloud HSM para endpoints do Google Workspace depende das chaves do Cloud KMS para operações criptográficas. Configure um novo projeto Google Cloud para hospedar as chaves do Cloud KMS.

1. Crie um Google Cloud projeto. Esse é seu projeto de chave. Anote o ID e o número do projeto. Eles são necessários para concluir a configuração.

2. Ative o faturamento no projeto que você criou.

3. Ative a API Cloud KMS no projeto de chave Google Cloud .

   Ativar a API

4. No Google Cloud console, clique em terminal Ativar o Cloud Shell.

5. Compare seu ID do projeto com o ID do projeto no prompt do Cloud Shell para verificar se você está no projeto correto.

6. Usando o Cloud Shell, crie a conta de serviço do Cloud HSM para Google Workspace:

   gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com
   

   Anote a identidade de serviço criada por esse comando. Você vai precisar do nome da identidade de serviço na próxima etapa.

7. Conceda o papel Agente de serviço da chave CHGWS à conta de serviço que você criou:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
       --role=roles/cloudkmskacls.serviceAgent
   

   Substitua:

   • PROJECT_ID: o ID do projeto da chave.
   • PROJECT_NUMBER: o número do projeto da chave.

Gerenciar o endpoint do serviço CHGWS

As seções a seguir mostram como configurar e gerenciar seus endpoints do CHGWS.

Configurar chaves do Cloud KMS

Configure os recursos do Cloud KMS para o endpoint de serviço da chave do CHGWS.

1. Crie um keyring na região us-central1:

   gcloud kms keyrings create KEY_RING --location us-central1
   

   Substitua KEY_RING pelo nome que você quer usar para o keyring do CHGWS, por exemplo, CHGWS_KEY_RING.

2. Crie uma chave do Cloud HSM:

   gcloud kms keys create KEY_NAME \
   --protection-level "hsm" \
   --keyring KEY_RING \
   --location us-central1 \
   --purpose "encryption" \
   --rotation-period ROTATION_PERIOD \
   --next-rotation-time NEXT_ROTATION_TIME
   

   Substitua:

   • KEY_NAME: o nome que você quer usar para sua chave. Por exemplo, CHGWS_KEY_RING.
   • KEY_RING: o nome do seu keyring. Por exemplo, CHGWS_KEY.
   • ROTATION_PERIOD: a frequência com que você quer fazer a rotação das chaves, por exemplo, 7d.
   • NEXT_ROTATION_TIME: a data e a hora em que a próxima rotação de chaves vai ocorrer. Por exemplo, 2024-03-20T01:00:00.

Solicitar a criação de endpoint

Para solicitar a criação de um endpoint, envie uma solicitação de criação de endpoint. Forneça as seguintes informações:

• ID do espaço de trabalho: <var>GOOGLE_WORKSPACE_ID</var>
• ID do projeto do Google Cloud: PROJECT_ID
• Número do projeto do Google Cloud: PROJECT_NUMBER
• Nome do keyring do Cloud KMS: KEY_RING
• Localização do keyring do Cloud KMS: us-central1
• Nome da chave do Cloud KMS: KEY_NAME
• URL base do CHGWS: opcional. Uma lista de URLs para ativar a migração de chaves. Se você estiver configurando o CHGWS pela primeira vez para este Google Workspace, deixe o campo em branco.

A equipe do CHGWS responde em até 24 a 48 horas com o URL do endpoint do CHGWS depois que ele fica disponível.

Configurar o endpoint CHGWS na CSE do Google Workspace

Configure a CSE do Google Workspace para usar o URL do CHGWS gerado quando você criou o endpoint CHGWS. Siga as instruções em Adicionar e gerenciar serviços de chaves para usar a criptografia do lado do cliente.

Migrar endpoints

O CHGWS oferece flexibilidade para mover seu serviço de chaves para ou do CHGWS. Para iniciar uma migração do CHGWS, envie uma solicitação de migração. Na solicitação, inclua as seguintes informações:

• ID do endpoint: o ID do endpoint do CHGWS.
• URL de base do CHGWS: uma lista de URLs para ativar a migração da chave do CHGWS.
  • Se você migrar para o Cloud HSM para Google Workspace, forneça o URL base de cada endpoint do CHGWS de que você está migrando.
  • Se você estiver migrando do Cloud HSM para Google Workspace, forneça os URLs de base dos endpoints do CHGWS que quer migrar.

Se você migrar entre dois endpoints diferentes do Cloud HSM para Google Workspace, envie duas solicitações separadas: uma do endpoint anterior e outra para o novo endpoint.

A equipe do CHGWS responde em até 24 a 48 horas para informar que o endpoint está pronto para migração.

Excluir ou desativar endpoints

As operações de exclusão ou desativação no endpoint do Cloud HSM para Google Workspace não são diretamente compatíveis. No entanto, é possível desativar um endpoint do Cloud HSM para Google Workspace desativando todas as versões de chaves do Cloud KMS de apoio.

• Para cada versão da chave do Cloud KMS que faz backup do endpoint, execute o seguinte comando:

  gcloud kms keys versions disable KEY_VERSION --keyring \
      KEY_RING --location us-central1 --key KEY_NAME
  

  Substitua:

  • KEY_VERSION: a versão da chave que você quer desativar. Por exemplo, 1.
  • KEY_RING: o nome do keyring. Por exemplo, CHGWS_KEY_RING.
  • KEY_NAME: o nome da chave, por exemplo, CHGWS_KEY.

Ativar endpoints

Se você desativou um endpoint do CHGWS ao desativar todas as versões da chave do Cloud KMS de suporte, é possível reativar o endpoint do CHGWS. Para reativar o endpoint, ative todas as versões ativas da chave de criptografia do Cloud KMS usando o seguinte comando da CLI gcloud:

• Para cada versão da chave do Cloud KMS que faz backup do endpoint, execute o seguinte comando:

  gcloud kms keys versions enable KEY_VERSION \
      --keyring KEY_RING --location us-central1 --key KEY_NAME
  

  Substitua:

  • KEY_VERSION: a versão da chave que você quer desativar. Por exemplo, 1.
  • KEY_RING: o nome do keyring. Por exemplo, CHGWS_KEY_RING.
  • KEY_NAME: o nome da chave, por exemplo, CHGWS_KEY.

A seguir

• Saiba mais sobre o Cloud Key Management Service.
• Saiba como adicionar e gerenciar serviços de chaves para criptografia do lado do cliente.