키 관리 규정 준수 지원

이 페이지에서는 Assured Workloads에서 암호화를 사용하여 키 관리 규정 준수를 지원하는 방법을 설명합니다.

개요

암호화 키 관리는 Google Cloud 리소스의 규정 준수를 지원하기 위한 기본적인 요소입니다. Assured Workloads는 다음과 같은 방법으로 암호화를 통해 규정 준수를 지원합니다.

  1. CJIS 또는 ITAR: 필수 고객 관리 키 및 업무 분리이며 영향 수준 4(IL4) 및 영향 수준 5(IL5)의 경우 선택사항입니다.

    1. CMEK: Assured Workloads는 이러한 제어 패키지를 지원하기 위해 고객 관리 암호화 키(CMEK)를 사용해야 합니다.
    2. 키 관리 프로젝트: Assured Workloads는 NIST 800-53 보안 통제에 맞게 키 관리 프로젝트를 생성하고 키 관리 프로젝트는 리소스 폴더에서 분리되어 보안 관리자와 개발자 간의 업무 분리를 수립하는 데 사용됩니다.

    3. 키링: Assured Workloads는 키를 저장할 키링도 만듭니다. CMEK 프로젝트는 키링 생성을 사용자가 선택한 규정 준수 위치로 제한합니다. 키링을 만든 후에 암호화 키의 생성 또는 가져오기를 관리합니다. 강력한 암호화, 키 관리, 업무 분리가 Google Cloud에서 긍정적인 보안 및 규정 준수 결과를 얻을 수 있도록 지원합니다.

  2. 기타 제어 패키지(IL4 및 IL5 포함): Google 소유 및 Google 관리 키 및 기타 암호화 옵션

암호화 전략

이 섹션에서는 Assured Workloads 암호화 전략에 대해 설명합니다.

Assured Workloads CMEK 생성

CMEK에서는 생성부터 삭제까지 전체 키 수명 주기를 관리할 수 있어 데이터 및 키 관리에 대한 고급 제어가 가능합니다. 이는 클라우드 컴퓨팅 SRG의 암호화 삭제 요구사항을 지원하는 데 중요한 기능입니다.

서비스

CMEK 통합 서비스

CMEK는 CJIS용 고객 데이터를 저장하는 다음 서비스에 적용됩니다.

기타 서비스: 맞춤 키 관리

CMEK와 통합되지 않은 서비스 또는 제어 패키지에 CMEK가 필요하지 않은 고객의 경우 Assured Workloads 고객은 Google 관리 Cloud Key Management Service 키를 사용할 수 있습니다. 이 옵션은 조직의 요구사항에 맞는 키 관리 옵션을 고객에게 추가로 제공하기 위해 제공됩니다. 현재 CMEK 통합은 CMEK 기능을 지원하는 범위 내 서비스로 제한됩니다. Google 관리 KMS는 전송 중 데이터 및 저장 데이터에 FIPS 140-2 검증 암호화를 제공하여 기본적으로 모든 Google Cloud 제품 및 서비스를 다루기 때문에 허용되는 암호화 방법입니다.

Assured Workloads에서 지원되는 다른 제품은 제어 패키지에서 지원되는 제품을 참조하세요.

키 관리 역할

관리자와 개발자는 일반적으로 키 관리 및 업무 분리를 통해 규정 준수와 보안 권장사항을 지원합니다. 예를 들어 개발자는 Assured Workloads 리소스 폴더에 액세스할 수 있지만 관리자는 CMEK 키 관리 프로젝트에 액세스할 수 있습니다.

관리자

관리자는 일반적으로 암호화 프로젝트와 암호화 프로젝트 내의 키 리소스에 대한 액세스를 제어합니다. 관리자는 개발자에게 키 리소스 ID를 할당해 리소스를 암호화해야 할 책임이 있습니다. 이 관행은 개발 프로세스와 키 관리를 분리하고 보안 관리자에게 CMEK 프로젝트의 암호화 키를 중앙에서 관리할 수 있는 기능을 제공합니다.

보안 관리자는 Assured Workloads에서 다음과 같은 암호화 키 전략을 사용할 수 있습니다.

개발자

개발 중에 CMEK 암호화 키가 필요한 범위 내 Google Cloud 리소스를 프로비저닝하고 구성할 때는 관리자에게 키의 리소스 ID를 요청합니다. CMEK를 사용하지 않는 경우 데이터가 암호화되도록 Google 소유 및 Google 관리 키를 사용하는 것이 좋습니다.

요청 방법은 문서화된 보안 프로세스와 절차의 일환으로 조직에서 결정합니다.

다음 단계