Compatibilidade com o gerenciamento de chaves

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Neste tópico, fornecemos informações sobre como oferecer compatibilidade com o gerenciamento de chaves usando criptografia para o Assured Workloads.

Visão geral

O gerenciamento de chaves de criptografia é fundamental para o suporte à conformidade regulatória dos recursos do Google Cloud. O Assured Workloads é compatível com a conformidade por meio de criptografia das seguintes maneiras:

  1. IL4 e CJIS: chaves gerenciadas pelo cliente obrigatórias e separação de tarefas.

    1. CMEK: o Assured Workloads determina o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para dar suporte a esses regimes de conformidade.
    2. Projeto de gerenciamento de chaves: o Assured Workloads cria um projeto de gerenciamento de chaves para o alinhamento com os controles de segurança NIST 800-53. O projeto de gerenciamento de chaves é separado. de projetos de recursos para estabelecer a separação de tarefas entre os administradores de segurança e os desenvolvedores.
    3. Keyring: o Assured Workloads também cria um keyring para armazenar suas chaves. O projeto de CMEK restringe a criação de keyrings aos locais compatíveis selecionados. Depois de criar o keyring, você gerencia a criação ou a importação de chaves de criptografia. A forte criptografia, gerenciamento de chaves e separação de tarefas dá suporte a resultados positivos de segurança e conformidade no Google Cloud.

  2. Outros regimes de conformidade: chaves gerenciadas pelo Google e outras opções de criptografia.

Estratégias de criptografia

Nesta seção, descrevemos as estratégias de criptografia do Assured Workloads.

Criação de CMEK do Assured Workloads

A CMEK permite que você tenha controles avançados sobre os dados e o gerenciamento de chaves, permitindo que você gerencie o ciclo de vida completo das chaves, desde a criação até a exclusão. Esse recurso é essencial para atender aos requisitos de limpeza criptográfica no Cloud Computing SRG.

Serviços

Serviços integrados a CMEK

A CMEK abrange os seguintes serviços, que armazenam dados do cliente para o IL4 e o CJIS.

Outros serviços: gerenciamento personalizado de chaves

Para serviços que não estão integrados à CMEK, ou para clientes cujos regimes de conformidade não exigem CMEK, os clientes do Assured Workloads têm a opção de usar o gerenciamento gerenciado pelo GoogleCloud Key Management Service. Essa opção é oferecida para fornecer aos clientes mais opções de gerenciamento de chaves para atender às suas necessidades organizacionais. Hoje, a integração de CMEK é limitada aos serviços no escopo compatíveis com os recursos CMEK. O KMS gerenciado pelo Google é um método de criptografia aceitável porque abrange todos os produtos e serviços do Google Cloud por padrão, fornecendo criptografia FIPS 140-2 validada em trânsito e em repouso.

Para outros produtos compatíveis com o Assured Workloads, consulte Produtos compatíveis por regime de conformidade.

Papéis de gerenciamento de chaves

Os administradores e desenvolvedores geralmente oferecem suporte às práticas recomendadas de conformidade e segurança por meio do gerenciamento de chaves e da separação de tarefas. Por exemplo, embora os desenvolvedores possam ter acesso ao projeto de recursos do Assured Workloads, os administradores têm acesso ao projeto de gerenciamento de chaves CMEK.

Administradores

Os administradores geralmente controlam o acesso ao projeto de criptografia e aos principais recursos dele. Os administradores são responsáveis por alocar códigos de recursos principais para desenvolvedores para criptografar recursos. Essa prática separa o gerenciamento de chaves do processo de desenvolvimento e fornece aos administradores de segurança a capacidade de gerenciar chaves de criptografia de maneira centralizada no projeto CMEK.

Os administradores de segurança podem usar as seguintes estratégias de chave de criptografia com o Assured Workloads:

Desenvolvedores

Durante o desenvolvimento, quando você provisiona e configura recursos do Google Cloud no escopo que exigem uma chave de criptografia CMEK, você solicita o ID do recurso da chave do administrador. Se você não usar CMEK, recomendamos usar chaves gerenciadas pelo Google para garantir que os dados sejam criptografados.

O método de solicitação é determinado pela sua organização como parte dos processos e procedimentos de segurança documentados.

A seguir