Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Apoio técnico para a conformidade com a gestão de chaves

Esta página fornece informações sobre o suporte da conformidade com a gestão de chaves através da encriptação para cargas de trabalho asseguradas.

Vista geral

A gestão de chaves de encriptação é fundamental para suportar a conformidade regulamentar dos recursos. Google Cloud O Assured Workloads suporta a conformidade através da encriptação das seguintes formas.

CJIS, ITAR e IL5: chaves geridas pelo cliente e separação de funções obrigatórias:

CMEK: os Assured Workloads exigem a utilização de chaves de encriptação geridas pelo cliente (CMEK) para suportar estes pacotes de controlos.
Projeto de gestão de chaves: o Assured Workloads cria um projeto de gestão de chaves para se alinhar com os controlos de segurança NIST 800-53. O projeto de gestão de chaves está separado das pastas de recursos para estabelecer a separação de funções entre os administradores de segurança e os programadores.
Conjunto de chaves: o Assured Workloads também cria um conjunto de chaves para armazenar as suas chaves. O projeto CMEK restringe a criação de conjuntos de chaves a localizações em conformidade que selecionar. Depois de criar o conjunto de chaves, gere a criação ou a importação de chaves de encriptação. A encriptação forte, a gestão de chaves e a separação de funções suportam resultados positivos de segurança e conformidade no Google Cloud.

Nota: depois de o Assured Workloads criar o conjunto de chaves, tem de criar a sua chave CMEK. A menos que o seu pacote de controlos exija uma determinada estratégia de chaves de encriptação, pode usar qualquer serviço de gestão de chaves da Google, incluindo o Cloud Key Management Service, o Cloud External Key Manager ou as CMEK. Também pode usar as predefinições Google-owned and Google-managed encryption keys, que são validadas pela FIPS.

Outros pacotes de controlo (incluindo IL4): Google-owned and Google-managed encryption keys e outras opções de encriptação:

O Google-owned and Google-managed encryption keys oferece encriptação validada pela FIPS 140-2 em trânsito e em repouso ativada por predefinição para todos os Google Cloud serviços.
Cloud Key Management Service (Cloud KMS): O Assured Workloads suporta o Cloud KMS. O Cloud KMS abrange todos os Google Cloud produtos e serviços por predefinição, oferecendo encriptação em trânsito validada pela FIPS 140-2 e encriptação em repouso.
Chaves de encriptação geridas pelo cliente (CMEK): O Assured Workloads suporta CMEK para pacotes de controlos, como IL4, para os quais a CMEK é opcional.
Cloud External Key Manager (Cloud EKM) O Assured Workloads suporta o Cloud EKM.
Importação de chaves

Estratégias de encriptação

Esta secção descreve as estratégias de encriptação do Assured Workloads.

Criação de CMEK do Assured Workloads

As CMEK permitem-lhe ter controlos avançados sobre os seus dados e gestão de chaves, o que lhe permite gerir o ciclo de vida completo das chaves, desde a criação à eliminação. Esta capacidade é fundamental para suportar os requisitos de eliminação criptográfica no SRG de computação em nuvem.

Serviços

Serviços integrados com CMEK

A CMEK abrange os seguintes serviços, que armazenam dados de clientes para o CJIS.

Outros serviços: gestão de chaves personalizada

Para serviços que não estão integrados com a CMEK ou para clientes cujos pacotes de controlo não requerem a CMEK, os clientes dos Assured Workloads têm a opção de usar chaves do Cloud Key Management Service geridas pela Google. Esta opção é oferecida para dar aos clientes opções adicionais de gestão de chaves que se adequem às necessidades da sua organização. Atualmente, a integração da CMEK está limitada aos serviços no âmbito que suportam capacidades da CMEK. O KMS gerido pela Google é um método de encriptação aceitável, uma vez que abrange todos os Google Cloud produtos e serviços por predefinição, oferecendo encriptaçãovalidada pela FIPS 140-2 em trânsito e em repouso.

Para outros produtos suportados pelo Assured Workloads, consulte o artigo Produtos suportados por pacote de controlos.

Funções de gestão de chaves

Normalmente, os administradores e os programadores suportam as práticas recomendadas de conformidade e segurança através da gestão de chaves e da separação de funções. Por exemplo, embora os programadores possam ter acesso à pasta de recursos do Assured Workloads, os administradores têm acesso ao projeto de gestão de chaves CMEK.

Administradores

Normalmente, os administradores controlam o acesso ao projeto de encriptação e aos recursos de chaves no mesmo. Os administradores são responsáveis por atribuir IDs de recursos principais aos programadores para encriptar recursos. Esta prática separa a gestão de chaves do processo de desenvolvimento e oferece aos administradores de segurança a capacidade de gerir as chaves de encriptação de forma centralizada no projeto CMEK.

Os administradores de segurança podem usar as seguintes estratégias de chaves de encriptação com os Assured Workloads:

Programadores

Durante o desenvolvimento, quando aprovisiona e configura recursos no âmbito que requerem uma chave de encriptação CMEK, pede o ID de recurso da chave ao seu administrador. Google CloudSe não usar a CMEK, recomendamos que use a Google-owned and Google-managed encryption keys para garantir que os dados estão encriptados.

O método de pedido é determinado pela sua organização como parte dos seus processos e procedimentos de segurança documentados.

O que se segue?

Saiba como criar uma pasta do Assured Workloads.
Saiba que produtos são suportados para cada pacote de controlos.