Mendukung kepatuhan terhadap pengelolaan kunci

Halaman ini menyediakan informasi tentang cara mendukung kepatuhan terhadap pengelolaan kunci menggunakan enkripsi untuk Assured Workloads.

Ringkasan

Pengelolaan kunci enkripsi merupakan dasar untuk mendukung kepatuhan terhadap peraturan resource Google Cloud. Assured Workloads mendukung kepatuhan melalui enkripsi dengan cara berikut:

  1. CJIS atau ITAR: Kunci yang dikelola pelanggan yang diwajibkan dan pemisahan tugas, serta opsional untuk Impact Level 4 (IL4) dan Impact Level 5 (IL5).

    1. CMEK: Assured Workloads mewajibkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mendukung paket kontrol ini.
    2. Project pengelolaan kunci: Assured Workloads membuat project pengelolaan kunci agar selaras dengan kontrol keamanan NIST 800-53, project pengelolaan kunci dipisahkan dari folder resource untuk menetapkan pemisahan tugas antara administrator keamanan dan developer.
    3. Key ring: Assured Workloads juga membuat key ring untuk menyimpan kunci Anda. Project CMEK membatasi pembuatan key ring ke lokasi yang sesuai yang Anda pilih. Setelah Anda membuat key ring, Anda akan mengelola pembuatan atau impor kunci enkripsi. Enkripsi yang kuat, pengelolaan kunci, dan pemisahan tugas, semuanya mendukung hasil keamanan dan kepatuhan yang positif di Google Cloud.

  2. Paket kontrol lainnya (termasuk IL4 dan IL5): Kunci yang dikelola Google dan opsi enkripsi lainnya.

Strategi enkripsi

Bagian ini menjelaskan strategi enkripsi Assured Workloads.

Pembuatan CMEK Assured Workloads

Dengan CMEK, Anda dapat memiliki kontrol lanjutan atas data dan pengelolaan kunci dengan memungkinkan Anda mengelola seluruh siklus proses kunci, mulai dari pembuatan hingga penghapusan. Kemampuan ini sangat penting untuk mendukung persyaratan penghapusan kriptografi dalam SRG Cloud Computing.

Service

Layanan yang terintegrasi dengan CMEK

CMEK mencakup layanan berikut, yang menyimpan data pelanggan untuk CJIS.

Layanan lainnya: Pengelolaan Kunci Kustom

Untuk layanan yang tidak terintegrasi dengan CMEK, atau untuk pelanggan yang paket kontrolnya tidak memerlukan CMEK, pelanggan Assured Workloads memiliki opsi untuk menggunakan kunci Cloud Key Management Service yang dikelola Google. Opsi ini ditawarkan untuk memberi pelanggan opsi tambahan terkait pengelolaan kunci agar sesuai dengan kebutuhan organisasi Anda. Saat ini, integrasi CMEK terbatas pada layanan dalam cakupan yang mendukung kemampuan CMEK. KMS yang dikelola Google adalah metode enkripsi yang dapat diterima karena mencakup semua produk dan layanan Google Cloud secara default yang menyediakan enkripsi tervalidasi FIPS 140-2 selama pengiriman dan saat nonaktif.

Untuk produk lain yang didukung oleh Assured Workloads, lihat Produk yang didukung oleh paket kontrol.

Peran pengelolaan kunci

Administrator dan developer biasanya mendukung praktik terbaik kepatuhan dan keamanan melalui pengelolaan kunci dan pemisahan tugas. Misalnya, meskipun developer mungkin memiliki akses ke folder resource Assured Workloads, administrator memiliki akses ke project pengelolaan kunci CMEK.

Administrator

Administrator biasanya mengontrol akses ke project enkripsi dan resource utama di dalamnya. Administrator bertanggung jawab untuk mengalokasikan ID resource kunci kepada developer untuk mengenkripsi resource. Praktik ini memisahkan pengelolaan kunci dari proses pengembangan dan memberi administrator keamanan kemampuan untuk mengelola kunci enkripsi secara terpusat dalam project CMEK.

Administrator keamanan dapat menggunakan strategi kunci enkripsi berikut dengan Assured Workloads:

Developer

Selama pengembangan, saat menyediakan dan mengonfigurasi resource Google Cloud dalam cakupan yang memerlukan kunci enkripsi CMEK, Anda akan meminta ID resource kunci dari administrator. Jika Anda tidak menggunakan CMEK, sebaiknya gunakan kunci yang dikelola Google untuk memastikan data dienkripsi.

Metode permintaan ditentukan oleh organisasi Anda sebagai bagian dari proses dan prosedur keamanan terdokumentasi.

Langkah selanjutnya