Diese Seite wurde von der Cloud Translation API übersetzt.

Compliance mit Schlüsselverwaltung unterstützen

Diese Seite enthält Informationen zur Compliance mit der Schlüsselverwaltung mithilfe der Verschlüsselung für Assured Workloads.

Überblick

Die Verwaltung von Verschlüsselungsschlüsseln ist für die Compliance mit gesetzlichen Vorschriften bei Google Cloud-Ressourcen von grundlegender Bedeutung. Assured Workloads unterstützt Compliance durch Verschlüsselung auf folgende Arten:

CJIS oder ITAR: Vom Kunden verwaltete Schlüssel und Aufgabentrennung; optional für Impact Level 4 (IL4) und Impact Level 5 (IL5).
1. CMEK: Assured Workloads erfordert die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) zur Unterstützung dieser Kontrollpakete.
2. Schlüsselverwaltungsprojekt: Assured Workloads erstellt ein Schlüsselverwaltungsprojekt, das auf die NIST 800-53-Sicherheitskontrollen ausgerichtet ist. Das Schlüsselverwaltungsprojekt ist von Ressourcenordnern getrennt, um eine Aufgabentrennung zwischen Sicherheitsadministratoren und Entwicklern einzurichten.
3. Schlüsselbund: Assured Workloads erstellt auch einen Schlüsselbund, um Ihre Schlüssel zu speichern. Das CMEK-Projekt beschränkt die Erstellung von Schlüsselbunden auf konforme Standorte, die Sie auswählen. Nachdem Sie den Schlüsselbund erstellt haben, verwalten Sie das Erstellen oder Importieren von Verschlüsselungsschlüsseln. Eine starke Verschlüsselung, Schlüsselverwaltung und Aufgabentrennung unterstützen positive Sicherheits- und Compliance-Ergebnisse in Google Cloud.
  
  Hinweis: Nachdem Assured Workloads den Schlüsselbund erstellt hat, müssen Sie Ihren CMEK-Schlüssel erstellen. Sofern Ihr Kontrollpaket keine bestimmte Verschlüsselungsschlüsselstrategie vorschreibt, können Sie einen beliebigen Key Management Service von Google verwenden, einschließlich Cloud Key Management Service, Cloud External Key Manager oder CMEK. Sie können auch standardmäßige Google-eigene und von Google verwaltete Schlüssel verwenden, die FIPS-validiert sind.
Andere Kontrollpakete (einschließlich IL4 und IL5): Google-eigene und von Google verwaltete Schlüssel und andere Verschlüsselungsoptionen.
- Google-eigene und von Google verwaltete Schlüssel bieten für alle Google Cloud-Dienste standardmäßig eine gemäß FIPS 140-2 validierte Verschlüsselung während der Übertragung und im inaktiven Zustand.
- Cloud Key Management Service (Cloud KMS): Assured Workloads unterstützt Cloud KMS. Cloud KMS deckt standardmäßig alle Google Cloud-Produkte und -Dienste ab und bietet gemäß FIPS 140-2 validierte Verschlüsselung während der Übertragung und Verschlüsselung ruhender Daten.
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK): Assured Workloads unterstützt CMEK.
- Cloud External Key Manager (Cloud EKM): Assured Workloads unterstützt Cloud EKM.
- Schlüsselimport

Verschlüsselungsstrategien

In diesem Abschnitt werden die Verschlüsselungsstrategien von Assured Workloads beschrieben.

CMEK-Erstellung in Assured Workloads

Mit CMEK haben Sie erweiterte Kontrollen über Ihre Daten und die Schlüsselverwaltung, da Sie damit den gesamten Schlüssellebenszyklus verwalten können – vom Erstellen bis zum Löschen. Diese Funktion ist entscheidend für die Unterstützung kryptografischer Löschanforderungen im Cloud Computing SRG.

Dienste

CMEK-integrierte Dienste

CMEK deckt die folgenden Dienste ab, in denen Kundendaten für CJIS gespeichert werden.

Andere Dienste: Verwaltung benutzerdefinierter Schlüssel

Für Dienste, die nicht in CMEK eingebunden sind oder für Kunden, deren Kontrollpakete keinen CMEK erfordern, haben Assured Workloads-Kunden die Möglichkeit, von Google verwaltete Cloud Key Management Service-Schlüssel zu verwenden. Diese Option wird angeboten, damit Kunden zusätzliche Optionen für die Schlüsselverwaltung erhalten, die den Anforderungen Ihrer Organisation entsprechen. Derzeit ist die CMEK-Integration auf die Dienste innerhalb des Geltungsbereichs beschränkt, die CMEK-Funktionen unterstützen. Von Google verwaltetes KMS ist eine akzeptable Verschlüsselungsmethode, da es standardmäßig alle Google Cloud-Produkte und -Dienste abdeckt und bei der Übertragung und im inaktiven Zustand eine gemäß FIPS 140-2-validierte Verschlüsselung bereitstellt.

Weitere von Assured Workloads unterstützte Produkte finden Sie unter Unterstützte Produkte nach Kontrollpaket.

Schlüsselverwaltungsrollen

Administratoren und Entwickler unterstützen in der Regel Best Practices für Compliance und Sicherheit durch Schlüsselverwaltung und Aufgabentrennung. Beispielsweise haben Entwickler möglicherweise Zugriff auf den Assured Workloads-Ressourcenordner, Administratoren dagegen auf das CMEK-Schlüsselverwaltungsprojekt.

Administratoren

Administratoren steuern normalerweise den Zugriff auf das Verschlüsselungsprojekt und die darin enthaltenen Schlüsselressourcen. Die Administratoren sind dafür verantwortlich, Entwicklern Schlüsselressourcen-IDs zuzuweisen, damit sie Ressourcen verschlüsseln können. Bei dieser Vorgehensweise wird die Verwaltung von Schlüsseln vom Entwicklungsprozess getrennt. Außerdem können Sicherheitsadministratoren Verschlüsselungsschlüssel zentral im CMEK-Projekt verwalten.

Sicherheitsadministratoren können bei Assured Workloads die folgenden Verschlüsselungsschlüsselstrategien verwenden:

Entwickler

Wenn Sie während der Entwicklung Google Cloud-Ressourcen innerhalb des Geltungsbereichs bereitstellen und konfigurieren, die einen CMEK-Verschlüsselungsschlüssel erfordern, fordern Sie die Ressourcen-ID des Schlüssels von Ihrem Administrator an. Wenn Sie keinen CMEK verwenden, sollten Sie Schlüssel von Google und von Google verwaltete Schlüssel verwenden, damit die Daten verschlüsselt werden.

Die Anfragemethode wird von Ihrer Organisation als Teil Ihrer dokumentierten Sicherheitsprozesse und -verfahren bestimmt.