Compliance mit Schlüsselverwaltung unterstützen
Diese Seite enthält Informationen zur Compliance mit der Schlüsselverwaltung durch Verschlüsselung für Assured Workloads.
Übersicht
Die Verwaltung von Verschlüsselungsschlüsseln ist für die Compliance mit gesetzlichen Vorschriften bei Google Cloud-Ressourcen von grundlegender Bedeutung. Assured Workloads unterstützt Compliance durch Verschlüsselung im auf folgende Arten:
CJIS oder ITAR: Vom Kunden verwaltete Schlüssel und Aufgabentrennung und optional für Impact Level 4 (IL4) und Impact Level 5 (IL5).
- CMEK: Assured Workloads erfordert den Einsatz von vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) zur Unterstützung dieser Kontrollpakete.
- Schlüsselverwaltungsprojekt: Assured Workloads erstellt ein Schlüsselverwaltungsprojekt, das auf die NIST 800-53-Sicherheitskontrollen ausgerichtet ist. Das Schlüsselverwaltungsprojekt ist von Ressourcenordnern getrennt, um eine Aufgabentrennung zwischen Sicherheitsadministratoren und Entwicklern einzurichten.
Schlüsselbund: Assured Workloads erstellt auch einen Schlüsselbund, um Ihre Schlüssel zu speichern. Das CMEK-Projekt beschränkt die Erstellung von Schlüsselbunden auf konforme Standorte, die Sie auswählen. Nachdem Sie den Schlüsselbund erstellt haben, verwalten Sie das Erstellen oder Importieren von Verschlüsselungsschlüsseln. Eine starke Verschlüsselung, Schlüsselverwaltung und Aufgabentrennung unterstützen positive Sicherheits- und Compliance-Ergebnisse in Google Cloud.
Andere Kontrollpakete (einschließlich IL4 und IL5): Google-eigene und von Google verwaltete Schlüssel und weitere Verschlüsselungsoptionen.
- Schlüssel, die Google gehören und von Google verwaltet werden bieten Standardmäßig aktiviert, validierte FIPS 140-2 die Verschlüsselung während der Übertragung und im inaktiven Zustand an alle Google Cloud-Dienste.
- Cloud Key Management Service (Cloud KMS): Assured Workloads unterstützt Cloud KMS. Cloud KMS deckt alle Google Cloud-Produkte und -Dienste ab, die gemäß FIPS 140-2 validierte Verschlüsselung während der Übertragung und Verschlüsselung ruhender Daten.
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK): Assured Workloads unterstützt CMEK.
- Cloud External Key Manager (Cloud EKM): Assured Workloads unterstützt Cloud EKM.
- Schlüsselimport
Verschlüsselungsstrategien
In diesem Abschnitt werden die Verschlüsselungsstrategien von Assured Workloads beschrieben.
CMEK-Erstellung in Assured Workloads
Mit CMEK haben Sie erweiterte Kontrollen über die Daten- und Schlüsselverwaltung, So können Sie den gesamten Schlüssellebenszyklus verwalten, von der Erstellung bis zum zu löschen. Diese Funktion ist entscheidend für die Unterstützung kryptografischer Löschanforderungen im Cloud Computing SRG.
Dienste
CMEK-integrierte Dienste
CMEK deckt die folgenden Dienste ab, in denen Kundendaten für CJIS gespeichert werden.
Andere Dienste: Verwaltung benutzerdefinierter Schlüssel
Für Dienste, die nicht in einen CMEK integriert sind oder für Kunden, deren Kontrolle Pakete erfordern keinen CMEK, Assured Workloads-Kunden haben Option zur Verwendung von von Google verwalteten Cloud Key Management Service-Schlüsseln. Diese Option wird angeboten um Kunden zusätzliche Optionen für die Schlüsselverwaltung zu bieten. Anforderungen Ihres Unternehmens. Derzeit ist die CMEK-Integration auf die Dienste innerhalb des Geltungsbereichs beschränkt, die CMEK-Funktionen unterstützen. Von Google verwalteter KMS ist eine akzeptable Verschlüsselungsmethode Es deckt standardmäßig alle Google Cloud-Produkte und -Dienste ab. Nach FIPS 140-2 validierte Verschlüsselung in und im Ruhezustand sind.
Informationen zu anderen von Assured Workloads unterstützten Produkten finden Sie unter Unterstützte Produkte nach Kontrollpaket.
Schlüsselverwaltungsrollen
Administratoren und Entwickler unterstützen in der Regel Best Practices für Compliance und Sicherheit durch Schlüsselverwaltung und Aufgabentrennung. Beispielsweise haben Entwickler möglicherweise Zugriff auf den Assured Workloads-Ressourcenordner, Administratoren dagegen auf das CMEK-Schlüsselverwaltungsprojekt.
Administratoren
Administratoren steuern normalerweise den Zugriff auf das Verschlüsselungsprojekt und die darin enthaltenen Schlüsselressourcen. Die Administratoren sind dafür verantwortlich, Entwicklern Schlüsselressourcen-IDs zuzuweisen, damit sie Ressourcen verschlüsseln können. Bei dieser Vorgehensweise wird die Verwaltung von Schlüsseln vom Entwicklungsprozess getrennt. Außerdem können Sicherheitsadministratoren Verschlüsselungsschlüssel zentral im CMEK-Projekt verwalten.
Sicherheitsadministratoren können bei Assured Workloads die folgenden Verschlüsselungsschlüsselstrategien verwenden:
- Cloud KMS
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
- Cloud External Key Manager (Cloud EKM)
- Schlüsselimport
Entwickler
Wenn Sie während der Entwicklung Google Cloud-Ressourcen innerhalb des Geltungsbereichs bereitstellen und konfigurieren, die einen CMEK-Verschlüsselungsschlüssel erfordern, fordern Sie die Ressourcen-ID des Schlüssels von Ihrem Administrator an. Wenn Sie keinen CMEK verwenden, Schlüssel, die Google gehören und von Google verwaltet werden, damit Daten verschlüsselt werden
Die Anfragemethode wird von Ihrer Organisation als Teil Ihrer dokumentierten Sicherheitsprozesse und -verfahren bestimmt.
Nächste Schritte
- So erstellen Sie einen Assured Workloads-Ordner.
- Weitere Informationen zu unterstützten Produkten für jedes Kontrollpaket.