Esta página foi traduzida pela API Cloud Translation.

Compatibilidade com o gerenciamento de chaves

Esta página fornece informações sobre como oferecer compliance com o gerenciamento de chaves usando criptografia para o Assured Workloads.

Visão geral

O gerenciamento de chaves de criptografia é fundamental para o suporte à conformidade regulatória dos recursos do Google Cloud . O Assured Workloads é compatível com a conformidade por meio de criptografia das seguintes maneiras.

CJIS, ITAR e IL5:chaves gerenciadas pelo cliente obrigatórias e separação de tarefas:

CMEK: o Assured Workloads determina o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para dar suporte a esses pacotes de controle.
Projeto de gerenciamento de chaves: o Assured Workloads cria um projeto de gerenciamento de chaves para o alinhamento com os controles de segurança NIST 800-53. O projeto de gerenciamento de chaves é separado de pastas de recursos para estabelecer a separação de tarefas entre os administradores de segurança e os desenvolvedores.
Keyring: o Assured Workloads também cria um keyring para armazenar suas chaves. O projeto de CMEK restringe a criação de keyrings aos locais compatíveis selecionados. Depois de criar o keyring, você gerencia a criação ou a importação de chaves de criptografia. A criptografia avançada, o gerenciamento de chaves e a separação de tarefas oferecem suporte a resultados positivos de segurança e conformidade no Google Cloud.

Observação: depois que o Assured Workloads criar o keyring, crie a chave CMEK. A menos que seu pacote de controle exija uma determinada estratégia de chave de criptografia, é possível usar qualquer serviço de gerenciamento de chaves do Google, incluindo o Cloud Key Management Service, o Cloud External Key Manager ou a CMEK. Também é possível usar o padrão Google-owned and Google-managed encryption keys, que é validado pelo FIPS.

Outros pacotes de controle (incluindo IL4): Google-owned and Google-managed encryption keys e outras opções de criptografia:

O Google-owned and Google-managed encryption keys fornece criptografia em trânsito e em repouso validada pelo FIPS 140-2 por padrão para todos os serviços Google Cloud .
Cloud Key Management Service (Cloud KMS): o Assured Workloads é compatível com o Cloud KMS. O Cloud KMS abrange todos os Google Cloud produtos e serviços por padrão, fornecendo criptografia em trânsito e criptografia em repouso validadas pelo FIPS 140-2.
Chaves de criptografia gerenciadas pelo cliente (CMEK): o Assured Workloads oferece suporte a CMEK para pacotes de controle, como IL4, para os quais o CMEK é opcional.
Gerenciador de chaves externas do Cloud (Cloud EKM) O Assured Workloads é compatível com o Cloud EKM.
Importação de chave

Estratégias de criptografia

Nesta seção, descrevemos as estratégias de criptografia do Assured Workloads.

Criação de CMEK do Assured Workloads

A CMEK permite que você tenha controles avançados sobre os dados e o gerenciamento de chaves, permitindo que você gerencie o ciclo de vida completo das chaves, desde a criação até a exclusão. Esse recurso é essencial para atender aos requisitos de limpeza criptográfica no Cloud Computing SRG.

Serviços

Serviços integrados a CMEK

A CMEK cobre os serviços a seguir, que armazenam dados do cliente para CJIS.

Outros serviços: gerenciamento personalizado de chaves

Para serviços que não estão integrados à CMEK ou para clientes cujos pacotes de controle não exigem CMEK, os clientes do Assured Workloads têm a opção de usar chaves do Cloud Key Management Service gerenciadas pelo Google. Essa opção é oferecida para fornecer aos clientes mais opções de gerenciamento de chaves para atender às necessidades da sua organização. Hoje, a integração de CMEK é limitada aos serviços no escopo compatíveis com os recursos CMEK. O KMS gerenciado pelo Google é um método de criptografia aceitável porque abrange todos os Google Cloud produtos e serviços por padrão, fornecendo criptografia FIPS 140-2 validada em trânsito e em repouso.

Para outros produtos compatíveis com o Assured Workloads, consulte Produtos compatíveis por pacote de controle.

Papéis de gerenciamento de chaves

Os administradores e desenvolvedores geralmente oferecem suporte às práticas recomendadas de compliance e segurança por meio do gerenciamento de chaves e da separação de tarefas. Por exemplo, embora os desenvolvedores possam ter acesso à pasta de recursos do Assured Workloads, os administradores têm acesso ao projeto de gerenciamento de chaves CMEK.

Administradores

Os administradores geralmente controlam o acesso ao projeto de criptografia e aos principais recursos dele. Os administradores são responsáveis por alocar códigos de recursos principais para desenvolvedores para criptografar recursos. Essa prática separa o gerenciamento de chaves do processo de desenvolvimento e fornece aos administradores de segurança a capacidade de gerenciar chaves de criptografia de maneira centralizada no projeto CMEK.

Os administradores de segurança podem usar as seguintes estratégias de chave de criptografia com o Assured Workloads:

Desenvolvedores

Durante o desenvolvimento, quando você provisiona e configura recursos Google Cloudno escopo que exigem uma chave de criptografia CMEK, solicita o ID do recurso da chave do administrador. Se você não usa CMEK, recomendamos usar Google-owned and Google-managed encryption keys para garantir que os dados sejam criptografados.

O método de solicitação é determinado pela sua organização como parte dos processos e procedimentos de segurança documentados.

A seguir

Saiba como criar uma pasta do Assured Workloads.
Saiba quais produtos são compatíveis com cada pacote de controle.