Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Respaldar el cumplimiento de la administración de claves

En este tema, se proporciona información sobre cómo respaldar el cumplimiento de la administración de claves mediante la encriptación para Assured Workloads.

Descripción general

La administración de claves de encriptación es fundamental para respaldar el cumplimiento normativo de los recursos de Google Cloud. Assured Workloads admite el cumplimiento mediante la encriptación de las siguientes maneras:

  1. CJIS: Claves administradas por el cliente obligatorias y separación de obligaciones, y opcional para IL4.

    1. CMEK: Assured Workloads exige el uso de claves de encriptación administradas por el cliente (CMEK) para respaldar estos regímenes de cumplimiento.
    2. Proyecto de administración de claves: Assured Workloads crea un proyecto de administración de claves para alinearlo con los controles de seguridad de NIST 800-53; el proyecto de administración de claves está separado de las carpetas de recursos para establecer la separación de obligaciones entre los administradores de seguridad y los desarrolladores.
    3. Llavero de claves: Assured Workloads también crea un llavero de claves para almacenar tus claves. El proyecto CMEK restringe la creación de llaveros de claves a las ubicaciones compatibles que selecciones. Después de crear el llavero de claves, puedes administrar la creación o importación de las claves de encriptación. La encriptación sólida, la administración de claves y la separación de obligaciones admiten resultados positivos de seguridad y cumplimiento en Google Cloud.

  2. Otros regímenes de cumplimiento (incluido IL4): claves administradas por Google y otras opciones de encriptación.

Estrategias de encriptación

En esta sección, se describen las estrategias de encriptación de Assured Workloads.

Creación de CMEK de Assured Workloads

CMEK te permite tener controles avanzados sobre tus datos y la administración de claves, ya que te permite administrar el ciclo de vida completo de la clave, desde la creación hasta la eliminación. Esta capacidad es fundamental para admitir los requisitos de borrado criptográfico en el SRG de computación en la nube.

Servicios

Servicios integrados con CMEK

CMEK cubre los siguientes servicios, que almacenan datos del cliente para CJIS.

Otros servicios: Administración de claves personalizadas

Para los servicios que no están integrados con CMEK, o para clientes cuyos regímenes de cumplimiento no requieren CMEK, los clientes de Assured Workloads tienen la opción de usar claves de Cloud Key Management Service administradas por Google. Esta opción se ofrece a fin de proporcionar a los clientes opciones adicionales de administración de claves que se adapten a tus necesidades organizativas. En la actualidad, la integración de CMEK se limita a los servicios dentro del alcance que admiten las funciones de CMEK. KMS administrado por Google es un método de encriptación aceptable, ya que cubre todos los productos y servicios de Google Cloud de forma predeterminada que proporcionan encriptación validada por FIPS 140-2 en tránsito y en reposo.

Para conocer otros productos compatibles con Assured Workloads, consulta Productos compatibles según el régimen de cumplimiento.

Roles de administración de claves

Los administradores y desarrolladores suelen admitir las prácticas recomendadas de cumplimiento y seguridad a través de la administración de claves y la separación de obligaciones. Por ejemplo, si bien los desarrolladores pueden tener acceso a la carpeta de recursos de Assured Workloads, los administradores tienen acceso al proyecto de administración de claves de CMEK.

Administradores

Por lo general, los administradores controlan el acceso al proyecto de encriptación y a los recursos clave que contiene. Los administradores son responsables de asignar ID de recursos clave a los desarrolladores para encriptar recursos. Esta práctica separa la administración de claves del proceso de desarrollo y proporciona a los administradores de seguridad la capacidad de administrar las claves de encriptación de forma centralizada en el proyecto de CMEK.

Los administradores de seguridad pueden usar las siguientes estrategias de clave de encriptación con Assured Workloads:

Desarrolladores

Durante el desarrollo, cuando aprovisionas y configuras recursos de Google Cloud dentro del alcance que requieren una clave de encriptación de CMEK, solicitas a tu administrador el ID de recurso de la clave. Si no usas CMEK, te recomendamos que uses claves administradas por Google para asegurarte de que los datos estén encriptados.

Tu organización determina el método de solicitud como parte de los procedimientos y procesos de seguridad documentados.

¿Qué sigue?