En este tema, se proporciona información sobre cómo respaldar el cumplimiento de la administración de claves mediante la encriptación para Assured Workloads.
Descripción general
La administración de claves de encriptación es fundamental para respaldar el cumplimiento normativo de los recursos de Google Cloud. Assured Workloads respalda el cumplimiento mediante la encriptación de las siguientes maneras:
IL4 y CJIS: claves administradas por el cliente y separación de obligaciones.
- CMEK: Assured Workloads exige el uso de claves de encriptación administradas por el cliente (CMEK) para respaldar estos regímenes de cumplimiento.
- Proyecto de administración de claves: Assured Workloads crea un proyecto de administración de claves para alinearlo con los controles de seguridad de NIST 800-53. El proyecto de administración de claves está separado de los proyectos de recursos para establecer una separación de obligaciones entre los desarrolladores y los administradores de seguridad.
Llavero de claves: Assured Workloads también crea un llavero de claves para almacenar tus claves. El proyecto de CMEK restringe la creación de llaveros de claves a las ubicaciones compatibles que selecciones. Después de crear el llavero de claves, puedes administrar la creación o la importación de claves de encriptación. La encriptación sólida, la administración de claves y la separación de obligaciones admiten resultados positivos de seguridad y cumplimiento en Google Cloud.
Otros regímenes de cumplimiento: claves administradas por Google y otras opciones de encriptación.
- Las claves administradas por Google proporcionan encriptación en tránsito y en reposo validada con FIPS 140-2, de forma predeterminada, para todos los servicios de Google Cloud.
- Cloud KMS: Assured Workloads admite Cloud KMS. Cloud KMS abarca todos los productos y servicios de Google Cloud de forma predeterminada, lo que proporciona encriptación en tránsito y encriptación en reposo validadas con FIPS 140-2.
- Claves de encriptación administradas por el cliente (CMEK): Assured Workloads admite CMEK.
- Cloud External Key Manager (Cloud EKM) Assured Workloads admite Cloud EKM.
- Importación de claves
Estrategias de encriptación
En esta sección, se describen las estrategias de encriptación de Assured Workloads.
Creación de CMEK de Assured Workloads
Las CMEK te permiten tener controles avanzados sobre tus datos y la administración de claves, ya que te permiten administrar el ciclo de vida completo de las claves, desde su creación hasta su eliminación. Esta capacidad es fundamental para admitir los requisitos de borrado criptográfico en el SRG de Cloud Computing.
Servicios
Servicios integrados en CMEK
Las CMEK abarcan los siguientes servicios, que almacenan los datos de los clientes para IL4 y CJIS.
Otros servicios: Administración de claves personalizadas
En el caso de los servicios que no están integrados a CMEK, o para los clientes cuyos regímenes de cumplimiento no requieren CMEK, los clientes de Assured Workloads tienen la opción de usar las claves de Cloud Key Management Service administradas por Google. Esta opción se ofrece con el fin de proporcionar a los clientes opciones adicionales para que la administración de claves se adapte a tus necesidades organizativas. En la actualidad, la integración de CMEK se limita a los servicios dentro del alcance que admiten las funciones de CMEK. El KMS administrado por Google es un método de encriptación aceptable, ya que abarca todos los productos y servicios de Google Cloud de forma predeterminada y proporciona encriptación validada con FIPS 140-2 en tránsito y en reposo.
Para otros productos compatibles con Assured Workloads, consulta Productos compatibles según el régimen de cumplimiento.
Roles de administración de claves
Los administradores y los desarrolladores suelen admitir las prácticas recomendadas de cumplimiento y seguridad mediante la administración de claves y la separación de obligaciones. Por ejemplo, si bien los desarrolladores pueden tener acceso al proyecto de recursos de Assured Workloads, los administradores tienen acceso al proyecto de administración de claves CMEK.
Administradores
Los administradores suelen controlar el acceso al proyecto de encriptación y a los recursos clave en él. Los administradores son responsables de asignar los ID de recurso clave a los desarrolladores para encriptar los recursos. Esta práctica separa la administración de las claves del proceso de desarrollo y proporciona a los administradores de seguridad la capacidad de administrar las claves de encriptación de forma centralizada en el proyecto de CMEK.
Los administradores de seguridad pueden usar las siguientes estrategias de clave de encriptación con Assured Workloads:
- Cloud KMS
- Claves de encriptación administradas por el cliente (CMEK)
- Cloud External Key Manager (Cloud EKM)
- Importación de claves
Desarrolladores
Durante el desarrollo, cuando aprovisionas y configuras recursos dentro del alcance de Google Cloud que requieren una clave de encriptación CMEK, debes solicitar el ID de recurso de la clave a tu administrador. Si no usas CMEK, te recomendamos que uses claves administradas por Google para garantizar que los datos estén encriptados.
Tu organización determina el método de solicitud como parte de tus procesos y procedimientos de seguridad documentados.
¿Qué sigue?
Crea un proyecto en el entorno de Assured Workloads que admita el régimen de cumplimiento de la siguiente manera:
Obtén más información sobre cómo crear un nuevo entorno de carga de trabajo.
Obtén más información sobre cómo encriptar Cloud Storage con CMEK.
Obtén más información sobre cómo encriptar Persistent Disk mediante CMEK.
Obtén más información sobre cómo encriptar BigQuery con CMEK.