Compatibilidade com o gerenciamento de chaves

Nesta página, você encontra informações sobre o suporte à conformidade com o gerenciamento de chaves usando criptografia para Assured Workloads.

Visão geral

O gerenciamento de chaves de criptografia é fundamental para o suporte à conformidade regulatória dos recursos do Google Cloud. O Assured Workloads oferece suporte à conformidade por meio de criptografia das seguintes maneiras:

  1. CJIS ou ITAR: chaves gerenciadas pelo cliente e separação de tarefas, opcionais para IL4 e IL5.

    1. CMEK: o Assured Workloads obriga o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para oferecer suporte a esses programas de conformidade.
    2. Projeto de gerenciamento de chaves: o Assured Workloads cria um projeto de gerenciamento de chaves para o alinhamento com os controles de segurança NIST 800-53. O projeto de gerenciamento de chaves é separado de pastas de recursos para estabelecer a separação de tarefas entre os administradores de segurança e os desenvolvedores.
    3. Keyring: o Assured Workloads também cria um keyring para armazenar suas chaves. O projeto de CMEK restringe a criação de keyrings aos locais compatíveis selecionados. Depois de criar o keyring, você gerencia a criação ou a importação de chaves de criptografia. A forte criptografia, gerenciamento de chaves e separação de tarefas dá suporte a resultados positivos de segurança e conformidade no Google Cloud.

  2. Outros programas de conformidade (incluindo IL4 e IL5): chaves gerenciadas pelo Google e outras opções de criptografia.

Estratégias de criptografia

Nesta seção, descrevemos as estratégias de criptografia do Assured Workloads.

Criação de CMEK do Assured Workloads

A CMEK permite que você tenha controles avançados sobre os dados e o gerenciamento de chaves, permitindo que você gerencie o ciclo de vida completo das chaves, desde a criação até a exclusão. Esse recurso é essencial para atender aos requisitos de limpeza criptográfica no Cloud Computing SRG.

Serviços

Serviços integrados a CMEK

A CMEK cobre os serviços a seguir, que armazenam dados do cliente para CJIS.

Outros serviços: gerenciamento personalizado de chaves

Para serviços não integrados à CMEK ou clientes com programas de compliance que não exigem CMEK, os clientes do Assured Workloads têm a opção de usar chaves do Cloud Key Management Service gerenciadas pelo Google. Essa opção é oferecida para fornecer aos clientes mais opções de gerenciamento de chaves para atender às necessidades organizacionais. Hoje, a integração de CMEK é limitada aos serviços no escopo compatíveis com os recursos CMEK. O KMS gerenciado pelo Google é um método de criptografia aceitável, porque abrange todos os produtos e serviços do Google Cloud por padrão, fornecendo criptografia validada pelo FIPS 140-2 em trânsito e em repouso.

Para outros produtos compatíveis com o Assured Workloads, consulte Produtos compatíveis com o programa de compliance.

Papéis de gerenciamento de chaves

Os administradores e desenvolvedores geralmente oferecem suporte às práticas recomendadas de compliance e segurança por meio do gerenciamento de chaves e da separação de tarefas. Por exemplo, embora os desenvolvedores possam ter acesso à pasta de recursos do Assured Workloads, os administradores têm acesso ao projeto de gerenciamento de chaves CMEK.

Administradores

Os administradores geralmente controlam o acesso ao projeto de criptografia e aos principais recursos dele. Os administradores são responsáveis por alocar códigos de recursos principais para desenvolvedores para criptografar recursos. Essa prática separa o gerenciamento de chaves do processo de desenvolvimento e fornece aos administradores de segurança a capacidade de gerenciar chaves de criptografia de maneira centralizada no projeto CMEK.

Os administradores de segurança podem usar as seguintes estratégias de chave de criptografia com o Assured Workloads:

Desenvolvedores

Durante o desenvolvimento, quando você provisiona e configura recursos do Google Cloud no escopo que exigem uma chave de criptografia CMEK, você solicita o ID do recurso da chave do administrador. Se você não usar CMEK, recomendamos usar chaves gerenciadas pelo Google para garantir que os dados sejam criptografados.

O método de solicitação é determinado pela sua organização como parte dos processos e procedimentos de segurança documentados.

A seguir