키 관리 규정 준수 지원

이 주제에서는 Assured Workloads에서 암호화를 사용하여 키 관리 규정 준수를 지원하는 방법을 설명합니다.

개요

암호화 키 관리는 Google Cloud 리소스의 규정 준수를 지원하기 위한 기본 요건입니다. Assured Workloads는 다음과 같은 방법으로 암호화를 통해 규정 준수를 지원합니다.

  1. IL4 및 CJIS: 필수 고객 관리 키 및 업무 분리

    1. CMEK: Assured Workloads는 이러한 규정 준수 체계를 지원하기 위해 고객 관리 암호화 키(CMEK)를 사용해야 합니다.
    2. 키 관리 프로젝트: Assured Workloads는 NIST 800-53 보안 통제에 맞게 키 관리 프로젝트를 생성하고 키 관리 프로젝트는 리소스 폴더에서 분리되어 보안 관리자와 개발자 간의 업무 분리를 수립하는 데 사용됩니다.
    3. 키링: Assured Workloads도 키를 저장할 키링을 만듭니다. CMEK 프로젝트는 키링 생성을 선택한 규정 준수 위치로 제한합니다. 키링을 만든 후에는 암호화 키를 만들거나 가져옵니다. 강력한 암호화, 키 관리, 업무 분리가 모두 Google Cloud에서 긍정적인 보안 및 규정 준수 결과를 지원합니다.

  2. 기타 규정 준수 체계: Google 관리 키 및 기타 암호화 옵션

암호화 전략

이 섹션에서는 Assured Workloads 암호화 전략을 설명합니다.

Assured Workloads CMEK 만들기

CMEK를 사용하면 만들기부터 삭제까지 전체 키 수명 주기를 관리할 수 있으므로 데이터 및 키 관리를 고급 제어할 수 있습니다. 이 기능은 Cloud Computing SRG에서 암호화 삭제 요구사항을 지원하는 데 매우 중요합니다.

서비스

CMEK 통합 서비스

CMEK는 IL4 및 CJIS의 고객 데이터를 저장하는 다음 서비스를 다룹니다.

기타 서비스: 커스텀 키 관리

CMEK와 통합되지 않은 서비스 또는 규정 준수 체계에 CMEK가 필요하지 않은 고객의 경우 Assured Workloads 고객은 Google 관리 Cloud Key Management Service 키를 사용할 수 있습니다. 이 옵션은 조직의 요구사항에 맞는 키 관리 옵션을 고객에게 추가로 제공하기 위해 제공됩니다. 현재 CMEK 통합은 CMEK 기능을 지원하는 범위 내 서비스로 제한됩니다. Google 관리 KMS는 전송 중 데이터 및 저장 중 데이터에 FIPS 140-2 검증 암호화를 제공하여 기본적으로 모든 Google Cloud 제품 및 서비스를 다루기 때문에 허용되는 암호화 방법입니다.

Assured Workloads에서 지원되는 다른 제품은 규정 준수 체계에서 지원하는 제품을 참조하세요.

키 관리 역할

관리자와 개발자는 일반적으로 키 관리 및 업무 분리를 통해 규정 준수 및 보안 권장사항을 지원합니다. 예를 들어 개발자는 Assured Workloads 리소스 폴더에 액세스할 수 있지만 관리자는 CMEK 키 관리 프로젝트에 액세스할 수 있습니다.

관리자

관리자는 일반적으로 암호화 프로젝트 및 암호화 프로젝트와 그 프로젝트 내의 키 리소스에 대한 액세스를 제어합니다. 관리자는 리소스를 암호화하기 위해 개발자에게 키 리소스 ID를 할당해야 합니다. 이 방법은 개발 프로세스에서 키 관리를 분리하고 보안 관리자에게 CMEK 프로젝트의 중앙에서 키를 암호화할 수 있는 기능을 제공합니다.

보안 관리자는 Assured Workloads에서 다음과 같은 암호화 키 전략을 사용할 수 있습니다.

개발자

개발 중에 CMEK 암호화 키가 필요한 범위 내 Google Cloud 리소스를 프로비저닝하고 구성할 때 관리자에게 키의 리소스 ID를 요청합니다. CMEK를 사용하지 않는 경우 데이터가 암호화되도록 Google 관리 키를 사용하는 것이 좋습니다.

요청 방법은 조직에서 문서화된 보안 프로세스와 절차의 일환으로 결정합니다.

다음 단계