鍵管理によるコンプライアンスのサポート
このページでは、Assured Workloads の暗号化を使用した鍵管理のコンプライアンスのサポートについて説明します。
概要
暗号鍵管理は、Google Cloud リソースの規制遵守をサポートするうえで不可欠です。Assured Workloads は、次の方法で暗号化によるコンプライアンスをサポートしています。
CJIS または ITAR: 必須の顧客管理の暗号鍵と職掌分散、影響レベル 4(IL4)と影響レベル 5(IL5)では任意。
- CMEK: Assured Workloads では、これらのコントロール パッケージをサポートために、顧客管理の暗号鍵(CMEK)の使用を義務付けています。
- 鍵管理プロジェクト: Assured Workloads は、NIST 800-53 セキュリティ管理に合わせて鍵管理プロジェクトを作成します。鍵管理プロジェクトは、リソース フォルダから分離され、セキュリティ管理者とデベロッパー間で職掌分散が確立されます。
キーリング: Assured Workloads は、鍵を格納するキーリングも作成します。CMEK プロジェクトでは、キーリングの作成は、選択した準拠のロケーションに制限されます。キーリングを作成した後、暗号鍵の作成やインポートを管理します。強力な暗号化、鍵管理、職掌分散により、Google Cloud でのポジティブなセキュリティとコンプライアンスの結果がサポートされます。
その他のコントロール パッケージ(IL4 と IL5 を含む): Google が所有し管理する鍵とその他の暗号化オプション。
- Google が所有し管理する鍵は、デフォルトで、すべての Google Cloud サービスへの転送時と保存時に、FIPS 140-2 認証取得済みの暗号化を提供します。
- Cloud Key Management Service(Cloud KMS): Assured Workloads は Cloud KMS をサポートしています。Cloud KMS は、デフォルトで FIPS 140-2 認証取得済みの転送中データと保存データの暗号化を提供し、すべての Google Cloud プロダクトとサービスに対応しています。
- 顧客管理の暗号鍵(CMEK): Assured Workloads は CMEK をサポートします。
- Cloud External Key Manager(Cloud EKM) Assured Workloads は Cloud EKM をサポートしています。
- 鍵のインポート
暗号化戦略
このセクションでは、Assured Workloads の暗号化戦略について説明します。
Assured Workloads の CMEK の作成
CMEK を使用すると、作成から削除までの鍵のライフサイクル全体を管理できます。これにより、データと鍵の管理を詳細に管理できます。この機能は、クラウド コンピューティング SRG で暗号消去要件をサポートするうえで非常に重要です。
サービス
CMEK 統合サービス
CMEK は、CJIS の顧客データを保存する次のサービスに適用されます。
その他のサービス: カスタム鍵管理
CMEK と統合されていないサービス、または CMEK を必要としないコントロール パッケージをご利用のお客様の場合、Assured Workloads のお客様は、Google が管理する Cloud Key Management Service を使用できます。このオプションは、組織のニーズに合わせて鍵管理の追加オプションをお客様に提供するために用意されています。現在、CMEK の統合は、CMEK 機能をサポートしている対象範囲内のサービスに限定されています。Google が管理する KMS は、転送中と保存時に FIPS 140-2 認証取得済みの暗号化をデフォルトで提供することにより、すべての Google Cloud プロダクトとサービスをカバーするため、許容される暗号化方法です。
Assured Workloads でサポートされるその他のプロダクトについては、コントロール パッケージでサポートされているプロダクトをご覧ください。
鍵管理のロール
管理者とデベロッパーは、通常、鍵管理と職掌分散によってコンプライアンスとセキュリティのベスト プラクティスをサポートします。たとえば、デベロッパーは Assured Workloads リソース フォルダにアクセスでき、管理者は CMEK 鍵管理プロジェクトにアクセスできます。
管理者
管理者は、暗号化プロジェクトとその中の主要なリソースへのアクセスを制御するのが一般的です。 管理者は、デベロッパーが暗号化する鍵のリソース ID をデベロッパーに割り当てます。 これにより、開発プロセスから鍵の管理が分離され、セキュリティ管理者がCMEK プロジェクトで暗号鍵を一元管理できるようになります。
セキュリティ管理者は、Assured Workloads で次の暗号鍵戦略を使用できます。
開発者
開発中に、CMEK 暗号鍵を必要とするスコープ内の Google Cloud リソースをプロビジョニングして構成する場合は、管理者に鍵のリソース ID をリクエストします。CMEK を使用しない場合は、Google が所有し管理する鍵を使用して、データを確実に暗号化することをおすすめします。
リクエスト メソッドは、文書化されたセキュリティ プロセスと手順の一部として組織によって決定されます。
次のステップ
- Assured Workloads フォルダを作成する方法を学習する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。