鍵管理によるコンプライアンスのサポート

このページでは、Assured Workloads の暗号化を使用して鍵管理のコンプライアンスをサポートする方法について説明します。

概要

暗号鍵管理は、Google Cloud リソースの規制遵守をサポートするための基本です。Assured Workloads は、次の方法で暗号化によってコンプライアンスをサポートします。

  1. CJIS または ITAR: 必須の顧客管理の暗号鍵と職掌分散。影響レベル 4(IL4)と影響レベル 5(IL5)では任意。

    1. CMEK: Assured Workloads では、これらの制御パッケージをサポートために、顧客管理の暗号鍵(CMEK)の使用を義務付けています。
    2. 鍵管理プロジェクト: Assured Workloads は、NIST 800-53 セキュリティ管理に合わせて鍵管理プロジェクトを作成します。鍵管理プロジェクトは、リソース フォルダから分離され、セキュリティ管理者とデベロッパー間で職掌分散が確立されます。

    3. キーリング: Assured Workloads は、鍵を格納するキーリングも作成します。CMEK プロジェクトは、キーリングの作成を、選択した選択したロケーションに制限します。キーリングを作成すると、暗号鍵の作成またはインポートを管理します。強力な暗号化、鍵管理、職掌分散により、Google Cloud でのポジティブなセキュリティとコンプライアンスの結果がサポートされます。

  2. その他のコントロール パッケージ(IL4 や IL5 など): Google が管理する鍵とその他の暗号化オプション。

暗号化戦略

このセクションでは、Assured Workloads の暗号化戦略について説明します。

Assured Workloads CMEK の作成

CMEK を使用すると、作成から削除までの鍵のライフサイクル全体を管理できます。これにより、データと鍵の管理を詳細に管理できます。この機能は、クラウド コンピューティング SRG の暗号消去要件をサポートするうえで不可欠です。

サービス

CMEK 統合サービス

CMEK は、CJIS の顧客データを保存する次のサービスに対応しています。

他のサービス: カスタム鍵管理

CMEK と統合されていないサービス、または CMEK を必要としないコントロール パッケージをご利用のお客様の場合、Assured Workloads のお客様は、Google が管理する Cloud Key Management Service を使用できます。このオプションは、組織のニーズに合わせて鍵管理の追加オプションを提供するためのものです。現在、CMEK の統合は CMEK 機能をサポートしている対象範囲内のサービスに限定されています。Google が管理する KMS は、転送中と保存時に FIPS 140-2 認証取得済みの暗号化をデフォルトで提供することにより、すべての Google Cloud プロダクトとサービスをカバーするため、許容される暗号化方法です。

Assured Workloads でサポートされるその他のプロダクトについては、コントロール パッケージでサポートされているプロダクトをご覧ください。

鍵管理のロール

管理者とデベロッパーは、通常、鍵管理と職掌分散によってコンプライアンスとセキュリティのベスト プラクティスをサポートします。たとえば、デベロッパーは Assured Workloads リソース フォルダにアクセスでき、管理者は CMEK 鍵管理プロジェクトにアクセスできます。

管理者

管理者は、暗号化プロジェクトとその中の主要なリソースへのアクセスを制御するのが一般的です。 管理者は、デベロッパーが暗号化する鍵のリソース ID をデベロッパーに割り当てます。 これにより、開発プロセスから鍵の管理が分離され、セキュリティ管理者がCMEK プロジェクトで暗号鍵を一元管理できるようになります。

セキュリティ管理者は、Assured Workloads で次の暗号鍵戦略を使用できます。

開発者

開発中に、CMEK 暗号鍵を必要とする対象範囲内の Google Cloud リソースをプロビジョニングして構成するときに、管理者に鍵のリソース ID をリクエストします。CMEK を使用しない場合は、Google が管理する鍵を使用してデータを暗号化することをおすすめします。

リクエスト メソッドは、文書化されたセキュリティ プロセスと手順の一環として、組織が決定します。

次のステップ