Compliance mit Schlüsselverwaltung unterstützen

Dieses Thema enthält Informationen zur Unterstützung der Compliance mit Schlüsselverwaltung mithilfe von Verschlüsselung für Assured Workloads.

Überblick

Die Verwaltung von Verschlüsselungsschlüsseln ist für die Compliance mit gesetzlichen Vorschriften bei Google Cloud-Ressourcen von grundlegender Bedeutung. Assured Workloads unterstützt die Compliance durch Verschlüsselung auf folgende Weise:

  1. IL4 und CJIS: Vorgeschriebende, vom Kunden verwaltete Schlüssel und Aufgabentrennung.

    1. CMEK: Assured Workloads schreibt die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) vor, um diese Compliance-Regelungen zu unterstützen.
    2. Schlüsselverwaltungsprojekt: Assured Workloads erstellt ein Schlüsselverwaltungsprojekt, das auf die NIST 800-53-Sicherheitskontrollen ausgerichtet ist. Das Schlüsselverwaltungsprojekt ist von Ressourcenprojekten getrennt, um eine Aufgabentrennung zwischen Sicherheitsadministratoren und Entwicklern einzurichten.
    3. Schlüsselbund: Assured Workloads erstellt auch einen Schlüsselbund, um Ihre Schlüssel zu speichern. Das CMEK-Projekt beschränkt die Erstellung von Schlüsselbunden auf konforme Standorte, die Sie auswählen. Nachdem Sie den Schlüsselbund erstellt haben, verwalten Sie das Erstellen oder Importieren von Verschlüsselungsschlüsseln. Eine starke Verschlüsselung, Schlüsselverwaltung und Aufgabentrennung unterstützen positive Sicherheits- und Compliance-Ergebnisse in Google Cloud.

  2. Andere Compliance-Regelungen: Von Google verwaltete Schlüssel und andere Verschlüsselungsoptionen.

Verschlüsselungsstrategien

In diesem Abschnitt werden die Verschlüsselungsstrategien von Assured Workloads beschrieben.

CMEK-Erstellung in Assured Workloads

Mit CMEK erhalten Sie erweiterte Kontrollen über Ihre Daten- und Schlüsselverwaltung, indem Sie Ihren gesamten Schlüssellebenszyklus verwalten, vom Erstellen bis zum Löschen. Diese Funktion ist entscheidend für die Unterstützung kryptografischer Löschanforderungen im Cloud Computing SRG.

Dienste

CMEK-integrierte Dienste

CMEK deckt die folgenden Dienste ab, mit denen Kundendaten für IL4 und CJIS gespeichert werden.

Andere Dienste: Verwaltung benutzerdefinierter Schlüssel

Für Dienste, die nicht in CMEK integriert sind, oder für Kunden, deren Compliance-Regelungen kein CMEK erfordern, können Assured Workloads-Kunden von Google verwaltete Cloud Key Management Service-Schlüssel verwenden. Diese Option wird angeboten, um Kunden zusätzliche Optionen für die Schlüsselverwaltung zu bieten, die Ihren Organisationsanforderungen entsprechen. Derzeit ist die CMEK-Integration auf die Dienste innerhalb des Geltungsbereichs beschränkt, die CMEK-Funktionen unterstützen. Von Google verwaltetes KMS ist eine akzeptable Verschlüsselungsmethode, da sie alle Google Cloud-Produkte und -Dienste standardmäßig abdeckt und gemäß FIPS 140-2 validierte Verschlüsselung bei der Übertragung und von ruhenden Daten bietet.

Informationen zu anderen von Assured Workloads unterstützten Produkten finden Sie unter Unterstützte Produkte nach Compliance-Regelung.

Schlüsselverwaltungsrollen

Administratoren und Entwickler unterstützen in der Regel Best Practices für Compliance und Sicherheit durch Schlüsselverwaltung und Aufgabentrennung. Beispielsweise haben Entwickler möglicherweise Zugriff auf das Assured Workloads-Ressourcenprojekt, Administratoren dagegen auf das CMEK-Schlüsselverwaltungsprojekt.

Administratoren

Administratoren steuern normalerweise den Zugriff auf das Verschlüsselungsprojekt und die darin enthaltenen Schlüsselressourcen. Die Administratoren sind dafür verantwortlich, Entwicklern Schlüsselressourcen-IDs zuzuweisen, damit sie Ressourcen verschlüsseln können. Bei dieser Vorgehensweise wird die Verwaltung von Schlüsseln vom Entwicklungsprozess getrennt. Außerdem können Sicherheitsadministratoren Verschlüsselungsschlüssel zentral im CMEK-Projekt verwalten.

Sicherheitsadministratoren können bei Assured Workloads die folgenden Verschlüsselungsschlüsselstrategien verwenden:

Entwickler

Wenn Sie während der Entwicklung Google Cloud-Ressourcen innerhalb des Geltungsbereichs bereitstellen und konfigurieren, die einen CMEK-Verschlüsselungsschlüssel erfordern, fordern Sie die Ressourcen-ID des Schlüssels von Ihrem Administrator an. Wenn Sie nicht CMEK verwenden, empfehlen wir, von Google verwaltete Schlüssel zu verwenden, um sicherzustellen, dass die Daten verschlüsselt werden.

Die Anfragemethode wird von Ihrer Organisation als Teil Ihrer dokumentierten Sicherheitsprozesse und -verfahren bestimmt.

Nächste Schritte