Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Assurer la conformité avec la gestion des clés

Cet article fournit des informations pour vous aider à garantir la conformité avec la gestion des clés en utilisant le chiffrement pour Assured Workloads.

Présentation

La gestion des clés de chiffrement est essentielle pour assurer la conformité réglementaire des ressources Google Cloud. Assured Workloads permet de respecter ces exigences de conformité grâce au chiffrement fourni par les méthodes suivantes :

  1. CJIS: clés gérées par le client et séparation des tâches obligatoires, et facultatifs pour IL4

    1. CMEK : Assured Workloads exige l'utilisation de clés de chiffrement gérées par le client (CMEK) pour assurer la conformité avec ces régimes.
    2. Projet de gestion des clés : Assured Workloads crée un projet de gestion des clés conformément aux contrôles de sécurité du NIST 800-53. Le projet de gestion des clés est séparé des dossiers de ressources afin d'établir la séparation des tâches entre les administrateurs de sécurité et les développeurs.
    3. Trousseau de clés : Assured Workloads crée également un trousseau de clés pour stocker vos clés. Le projet CMEK limite la création des trousseaux de clés aux emplacements conformes que vous sélectionnez. Une fois le trousseau de clés créé, vous devez gérer la création ou l'importation des clés de chiffrement. Le chiffrement renforcé, la gestion des clés et la séparation des tâches offrent tous des résultats positifs en termes de sécurité et de conformité sur Google Cloud.

  2. Autres régimes de conformité (y compris IL4): clés gérées par Google et autres options de chiffrement.

Stratégies de chiffrement

Cette section décrit les stratégies de chiffrement Assured Workloads.

Création de CMEK Assured Workloads

Les CMEK vous permettent de contrôler parfaitement vos données et votre gestion des clés en vous donnant un contrôle total sur le cycle de vie complet de vos clés, de la création à la suppression. Cette fonctionnalité est essentielle pour assurer la conformité aux exigences d'effacement cryptographique dans le Cloud Computing SRG.

Services

Services bénéficiant d'une intégration des CMEK

La fonctionnalité CMEK s'applique aux services suivants, qui stockent les données client pour CJIS.

Autres services : gestion des clés personnalisées

Pour les services qui ne sont pas intégrés à CMEK ou pour les clients dont les régimes de conformité n'exigent pas de CMEK, les clients Assured Workloads ont la possibilité d'utiliser des clés Cloud Key Management Service gérées par Google. Cette option offre aux clients des options supplémentaires de gestion des clés en fonction des besoins de votre organisation. Aujourd'hui, l'intégration de la CMEK est limitée aux services couverts qui sont compatibles avec les fonctionnalités CMEK. Le service de gestion des clés géré par Google est une méthode de chiffrement acceptable, car il couvre par défaut tous les produits et services Google Cloud fournissant un chiffrement FIPS 140-2 validé, qu'ils soient en transit ou au repos.

Pour découvrir les autres produits compatibles avec Assured Workloads, consultez la section Produits compatibles par régime de conformité.

Rôles de gestion des clés

Les administrateurs et les développeurs respectent généralement les bonnes pratiques de conformité et de sécurité via la gestion des clés et la séparation des tâches. Par exemple, bien que les développeurs puissent avoir accès au dossier de ressources Assured Workloads, les administrateurs ont accès au projet de gestion des clés CMEK.

Administrateurs

Les administrateurs contrôlent généralement l'accès au projet de chiffrement et aux ressources de clé qu'il contient. Les administrateurs sont chargés d'attribuer des ID de ressource de clé aux développeurs pour le chiffrement des ressources. Cette pratique sépare la gestion des clés du processus de développement et permet aux administrateurs de sécurité de gérer les clés de chiffrement de manière centralisée dans le projet CMEK.

Les administrateurs de sécurité peuvent utiliser les stratégies de clé de chiffrement suivantes avec Assured Workloads :

Développeurs

Pendant le développement, lorsque vous provisionnez et configurez des ressources Google Cloud couvertes qui nécessitent une clé de chiffrement CMEK, vous devez demander l'ID de ressource de clé à votre administrateur. Si vous n'utilisez pas de clé CMEK, nous vous recommandons d'utiliser des clés gérées par Google pour vous assurer que les données sont bien chiffrées.

La méthode de requête est déterminée par votre organisation dans le cadre de vos processus et procédures de sécurité documentés.

Étapes suivantes