支持密钥管理的合规性

本页介绍了如何将加密用于 Assured Workloads 加密来支持密钥管理合规性。

概览

加密密钥管理有助于支持 Google Cloud 资源的监管合规性。Assured Workloads 通过加密 方式:

  1. CJIS 或 ITAR:规定的客户管理的密钥和职责分离;以及 对于 Impact Level 4 (IL4) 和 Impact Level 5 (IL5) 则为可选。

    1. CMEK:Assured Workloads 规定必须使用由客户管理的 加密密钥 (CMEK) 以支持这些控制包。
    2. 密钥管理项目:Assured Workloads 会创建一个密钥管理项目以符合 NIST 800-53 安全控制措施,并且密钥管理项目与资源文件夹分离,以便在安全管理员和开发者之间建立职责分离机制。
    3. 密钥环:Assured Workloads 还会创建一个密钥环来存储密钥。CMEK 项目将密钥环创建限制为您选择的合规位置。创建密钥环后,您就可以管理创建或导入加密密钥了。强大的加密、密钥管理和职责分离全都支持在 Google Cloud 上产生积极的安全性和合规性结果。

  2. 其他控制软件包(包括 IL4 和 IL5):Google 拥有的密钥和 Google 管理的密钥以及 加密选项

加密策略

本部分介绍 Assured Workloads 加密策略。

Assured Workloads CMEK 创建

借助 CMEK,您可以通过 让您能够管理从创建到密钥的完整生命周期 删除。此功能对于支持云计算 SRG 中的加密擦除要求至关重要。

服务

与 CMEK 集成的服务

CMEK 涵盖以下服务,这些服务存储 CJIS 的客户数据。

其他服务:自定义密钥管理

适用于未与 CMEK 集成的服务,或拥有控制权的客户 不需要 CMEK,而 Assured Workloads 客户可以 选择使用 Google 管理的 Cloud Key Management Service 密钥。提供此选项是为了为客户提供额外的密钥管理选项,以满足您的组织需求。如今,CMEK 集成限制为支持 CMEK 功能的范围内服务。由 Google 管理的 KMS 是可接受的加密方法 因为它默认涵盖所有 Google Cloud 产品和服务 已通过 FIPS 140-2 验证的加密 无论是传输中的还是静态的

如需了解 Assured Workloads 支持的其他产品,请参阅控制包所支持的产品

密钥管理角色

管理员和开发者通常通过密钥管理和职责分离来支持合规性和安全最佳实践。例如,开发者可能有权访问 Assured Workloads 资源文件夹,而管理员则有权访问 CMEK 密钥管理项目。

管理员

管理员通常控制对加密项目及其中的密钥资源的访问权限。管理员负责为开发者分配密钥资源 ID 以加密资源。这种做法将密钥的管理与开发流程分开,可让安全管理员在 CMEK 项目中集中管理加密密钥。

安全管理员可以将以下加密密钥策略用于 Assured Workloads:

开发者

在开发期间,当您预配和配置范围内 Google Cloud 资源(需要使用 CMEK 加密密钥)时,应向管理员请求该密钥的资源 ID。如果您不使用 CMEK,我们建议您使用 Google 拥有的密钥和 Google 管理的密钥可确保数据加密。

请求方法由您的组织作为记录的安全流程和过程的一部分确定。

后续步骤