支持密钥管理的合规性
本页介绍了如何将加密用于 Assured Workloads 加密来支持密钥管理合规性。
概览
加密密钥管理有助于支持 Google Cloud 资源的监管合规性。Assured Workloads 通过加密采用以下方法支持合规性。
CJIS、ITAR 和 IL5:强制要求使用客户管理的密钥并且强制要求职责分离:
- CMEK:Assured Workloads 强制要求使用客户管理的加密密钥 (CMEK) 来支持这些控制包。
- 密钥管理项目:Assured Workloads 会创建一个密钥管理项目以符合 NIST 800-53 安全控制措施,并且密钥管理项目与资源文件夹分离,以便在安全管理员和开发者之间建立职责分离机制。
密钥环:Assured Workloads 还会创建一个密钥环来存储密钥。CMEK 项目将密钥环创建限制为您选择的合规位置。创建密钥环后,您就可以管理创建或导入加密密钥了。强大的加密、密钥管理和职责分离全都支持在 Google Cloud上产生积极的安全性和合规性结果。
其他控制软件包(包括 IL4): Google-owned and Google-managed encryption keys 和其他加密选项:
- 默认开启的 Google-owned and Google-managed encryption keys 向所有 Google Cloud 服务提供通过 FIPS 140-2 验证的传输加密方法和静态加密方法。
- Cloud Key Management Service (Cloud KMS):Assured Workloads 支持 Cloud KMS。 Cloud KMS 默认涵盖所有 Google Cloud 产品和服务,并提供经过 FIPS 140-2 验证的在传输过程中加密和静态加密。
- 客户管理的加密密钥 (CMEK):对于 IL4 等控制包,Assured Workloads 支持 CMEK,但 CMEK 并非必需。
- Cloud External Key Manager (Cloud EKM):Assured Workloads 支持 Cloud EKM。
- 密钥导入
加密策略
本部分介绍 Assured Workloads 加密策略。
Assured Workloads CMEK 创建
借助 CMEK,您可以管理整个密钥生命周期(从创建到删除),从而更好地控制数据和密钥管理。此功能对于支持云计算 SRG 中的加密擦除要求至关重要。
服务
与 CMEK 集成的服务
CMEK 涵盖以下服务,这些服务存储 CJIS 的客户数据。
其他服务:自定义密钥管理
对于未与 CMEK 集成的服务,或者其控制包不需要 CMEK 的客户,Assured Workloads 客户可以选择使用 Google 管理的 Cloud Key Management Service 密钥。提供此选项是为了为客户提供额外的密钥管理选项,以满足您的组织需求。如今,CMEK 集成限制为支持 CMEK 功能的范围内服务。Google 管理的 KMS 是一种可接受的加密方法,因为它默认涵盖所有 Google Cloud 产品和服务,并提供经过 FIPS 140-2 验证的在传输过程中加密和静态加密。
如需了解 Assured Workloads 支持的其他产品,请参阅控制包所支持的产品。
密钥管理角色
管理员和开发者通常通过密钥管理和职责分离来支持合规性和安全最佳实践。例如,开发者可能有权访问 Assured Workloads 资源文件夹,而管理员则有权访问 CMEK 密钥管理项目。
管理员
管理员通常控制对加密项目及其中的密钥资源的访问权限。管理员负责为开发者分配密钥资源 ID 以加密资源。这种做法将密钥的管理与开发流程分开,可让安全管理员在 CMEK 项目中集中管理加密密钥。
安全管理员可以将以下加密密钥策略用于 Assured Workloads:
开发者
在开发期间,当您预配和配置范围内 Google Cloud需要使用 CMEK 加密密钥的资源时,应向管理员请求该密钥的资源 ID。如果您不使用 CMEK,则我们建议您使用Google-owned and Google-managed encryption keys 以确保将数据加密。
请求方法由您的组织作为记录的安全流程和过程的一部分确定。
后续步骤
- 了解如何创建 Assured Workloads 文件夹。
- 了解每个控制包支持哪些产品。