鍵管理によるコンプライアンスのサポート

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このトピックでは、Assured Workloads の暗号化を使用した鍵管理のコンプライアンスをサポートする方法について説明します。

概要

暗号鍵の管理は、Google Cloud リソースの規制遵守をサポートするうえで不可欠です。Assured Workloads は、次の方法で暗号化によるコンプライアンスをサポートしています。

  1. IL4 と CJIS: 必須の顧客管理の暗号鍵と職掌分散。

    1. CMEK: Assured Workloads では、これらのコンプライアンス体制をサポートするために、顧客管理の暗号鍵(CMEK)を使用することが義務付けられています。
    2. 鍵管理プロジェクト: Assured Workloads は、NIST 800-53 セキュリティ管理に合わせて鍵管理プロジェクトを作成します。鍵管理プロジェクトは、リソース フォルダから分離され、セキュリティ管理者とデベロッパー間で職掌分散が確立されます。
    3. キーリング: Assured Workloads は、鍵を格納するキーリングも作成します。CMEK プロジェクトは、選択したロケーションにのみキーリングの作成を制限します。キーリングを作成した後は、暗号鍵の作成またはインポートを管理します。強力な暗号化、鍵管理、職掌分散により、Google Cloud でのポジティブなセキュリティとコンプライアンスの結果がサポートされます。

  2. その他のコンプライアンス レジーム: Google が管理する鍵とその他の暗号化オプション。

    • Google が管理する鍵は、デフォルトで、すべての Google Cloud サービスに転送時と保存時に暗号化された FIPS 140-2 認証取得済みの暗号化を提供します。
    • Cloud KMS: Assured Workloads は Cloud KMS をサポートしています。Cloud KMS は、デフォルトで FIPS 140-2 認証取得済みの転送中データと保存データの暗号化を提供し、すべての Google Cloud プロダクトとサービスに対応しています。
    • 顧客管理の暗号鍵(CMEK): Assured Workloads は CMEK をサポートします。
    • Cloud External Key Manager(Cloud EKM)Assured Workloads は Cloud EKM をサポートします。
    • 鍵のインポート

暗号化戦略

このセクションでは、Assured Workloads 暗号化戦略について説明します。

Assured Workloads CMEK の作成

CMEK を使用すると、作成から削除までの鍵のライフサイクル全体を管理できます。これにより、データと鍵の管理を詳細に管理できます。この機能は、Cloud Computing SRG で暗号消去要件をサポートするうえで不可欠です。

サービス

CMEK 統合サービス

CMEK は、IL4 と CJIS の顧客データを格納する次のサービスに対応しています。

その他のサービス: カスタム鍵管理

CMEK と統合されていないサービス、または CMEK を必要としないコンプライアンス レジームのお客様の場合、Assured Workloads のお客様は Google が管理する Cloud Key Management Service 鍵を使用できます。このオプションは、組織のニーズに合わせた鍵管理の追加オプションをお客様に提供するために使用します。現在、CMEK の統合は、CMEK 機能をサポートする対象サービスに限定されています。Google マネージド KMS は、すべての Google Cloud プロダクトとサービスを網羅し、デフォルトで転送中も保存時も FIPS 140-2 認証取得済みの暗号化に対応しているため、好ましい暗号化方式です。

Assured Workloads でサポートされるその他のプロダクトについては、コンプライアンス レジームごとのサポート対象サービスをご覧ください。

鍵管理のロール

管理者とデベロッパーは、通常、鍵管理と職掌分散によってコンプライアンスとセキュリティのベスト プラクティスをサポートします。たとえば、デベロッパーは Assured Workloads リソース フォルダにアクセスでき、管理者は CMEK 鍵管理プロジェクトにアクセスできます。

管理者

管理者は、暗号化プロジェクトとその中の主要なリソースへのアクセスを制御するのが一般的です。管理者は、デベロッパーが暗号化する鍵のリソース ID をデベロッパーに割り当てます。これにより、開発プロセスから鍵の管理が分離され、セキュリティ管理者がCMEK プロジェクトで暗号鍵を一元管理できるようになります。

セキュリティ管理者は、Assured Workloads で次の暗号鍵戦略を使用できます。

デベロッパー

開発中に、CMEK 暗号鍵を必要とする対象範囲内の Google Cloud リソースをプロビジョニングして構成する場合は、管理者に鍵のリソース ID をリクエストします。CMEK を使用しない場合は、Google が管理する鍵を使用してデータを暗号化することをおすすめします。

リクエスト方法は、文書化されたセキュリティ プロセスと手順の一部として、組織によって決定されます。

次のステップ