Questa pagina è stata tradotta dall'API Cloud Translation.

Supporto per la conformità con la gestione delle chiavi

Questa pagina fornisce informazioni sul supporto della conformità con la gestione delle chiavi tramite la crittografia per Assured Workloads.

Panoramica

La gestione delle chiavi di crittografia è fondamentale per supportare la conformità normativa delle risorse Google Cloud. Assured Workloads supporta la conformità tramite crittografia nei seguenti modi:

CJIS o ITAR: chiavi gestite dal cliente obbligatorie e separazione dei compiti. Facoltativo per Impact Level 4 (IL4) e Impact Level 5 (IL5).
1. CMEK: Assured Workloads richiede l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) per supportare questi pacchetti di controllo.
2. Progetto di gestione delle chiavi: Assured Workloads crea un progetto di gestione delle chiavi in linea con i controlli di sicurezza dello standard NIST 800-53. Il progetto di gestione delle chiavi è separato dalle cartelle delle risorse per stabilire la separazione dei compiti tra amministratori della sicurezza e sviluppatori.
3. Keyring: Assured Workloads crea anche un keyring per archiviare le tue chiavi. Il progetto CMEK limita la creazione dei keyring alle località conformi selezionate. Dopo aver creato il keyring, gestirai la creazione o l'importazione delle chiavi di crittografia. Crittografia avanzata, gestione delle chiavi e separazione dei compiti supportano risultati positivi in materia di sicurezza e conformità su Google Cloud.
  
  Nota: dopo che Assured Workloads ha creato il keyring, devi creare la chiave CMEK. A meno che il tuo pacchetto di controllo non richieda una determinata strategia di chiave di crittografia, puoi utilizzare qualsiasi servizio di gestione delle chiavi di Google, inclusi Cloud Key Management Service, Cloud External Key Manager o CMEK. Puoi anche utilizzare chiavi predefinite di proprietà di Google e gestite da Google, che sono convalidate tramite FIPS.
Altri pacchetti di controllo (inclusi IL4 e IL5): chiavi di proprietà di Google e gestite da Google e altre opzioni di crittografia.
- Le chiavi di proprietà di Google e gestite da Google offrono per impostazione predefinita la crittografia convalidata FIPS 140-2 sia in transito che at-rest a tutti i servizi Google Cloud.
- Cloud Key Management Service (Cloud KMS): Assured Workloads supporta Cloud KMS. Cloud KMS copre tutti i prodotti e i servizi Google Cloud per impostazione predefinita fornendo funzionalità di crittografia in transito e crittografia at-rest conformi a FIPS 140-2.
- Chiavi di crittografia gestite dal cliente (CMEK): Assured Workloads supporta CMEK.
- Cloud External Key Manager (Cloud EKM) Assured Workloads supporta Cloud EKM.
- Importazione chiavi

Strategie di crittografia

Questa sezione descrive le strategie di crittografia di Assured Workloads.

Creazione CMEK Assured Workloads

CMEK ti consente di avere controlli avanzati sulla gestione dei dati e delle chiavi consentendoti di gestire l'intero ciclo di vita delle chiavi, dalla creazione all'eliminazione. Questa funzionalità è fondamentale per supportare i requisiti di cancellazione crittografica in Cloud Computing SRG.

Servizi

Servizi integrati con CMEK

CMEK copre i seguenti servizi, che archiviano i dati dei clienti per CJIS.

Altri servizi: gestione delle chiavi personalizzate

Per i servizi non integrati con CMEK o per i clienti i cui pacchetti di controllo non richiedono CMEK, i clienti di Assured Workloads hanno la possibilità di utilizzare le chiavi Cloud Key Management Service gestite da Google. Questa opzione viene offerta per fornire ai clienti opzioni aggiuntive per la gestione delle chiavi in base alle esigenze dell'organizzazione. Oggi, l'integrazione CMEK è limitata ai servizi inclusi nell'ambito che supportano le funzionalità CMEK. Il KMS gestito da Google è un metodo di crittografia accettabile, in quanto copre per impostazione predefinita tutti i prodotti e i servizi Google Cloud e fornisce per impostazione predefinita la crittografia convalidata FIPS 140-2 sia in transito sia at-rest.

Per altri prodotti supportati da Assured Workloads, consulta Prodotti supportati dal pacchetto di controlli.

Ruoli di gestione chiave

Gli amministratori e gli sviluppatori in genere supportano le best practice per la conformità e la sicurezza attraverso la gestione delle chiavi e la separazione dei compiti. Ad esempio, mentre gli sviluppatori potrebbero avere accesso alla cartella delle risorse Assured Workloads, gli amministratori hanno accesso al progetto di gestione delle chiavi CMEK.

Amministratori

Gli amministratori di solito controllano l'accesso al progetto di crittografia e alle risorse chiave al suo interno. Gli amministratori sono responsabili dell'allocazione degli ID risorsa della chiave agli sviluppatori per criptare le risorse. Questa pratica separa la gestione delle chiavi dal processo di sviluppo e offre agli amministratori della sicurezza la possibilità di gestire le chiavi di crittografia a livello centrale nel progetto CMEK.

Gli amministratori della sicurezza possono utilizzare le seguenti strategie delle chiavi di crittografia con Assured Workloads:

Sviluppatori

Durante lo sviluppo, quando esegui il provisioning e la configurazione di risorse Google Cloud nell'ambito che richiedono una chiave di crittografia CMEK, richiedi l'ID risorsa della chiave all'amministratore. Se non utilizzi CMEK, ti consigliamo di utilizzare chiavi di proprietà di Google e gestite da Google per garantire che i dati siano criptati.

Il metodo di richiesta è determinato dalla tua organizzazione nell'ambito delle tue procedure e dei tuoi processi di sicurezza documentati.

Passaggi successivi

Scopri come creare una cartella Assured Workloads.
Scopri quali prodotti sono supportati per ciascun pacchetto di controlli.