Cette page a été traduite par l'API Cloud Translation.

Assurer la conformité avec la gestion des clés

Cette page fournit des informations sur la conformité avec la gestion des clés à l'aide du chiffrement pour Assured Workloads.

Présentation

La gestion des clés de chiffrement est essentielle pour assurer la conformité réglementaire des ressources Google Cloud. Assured Workloads assure la conformité grâce au chiffrement de différentes manières:

CJIS ou ITAR: clés obligatoires gérées par le client et séparation des tâches, facultative pour les niveaux d'impact 4 (IL4) et d'impact 5 (IL5).
1. CMEK: Assured Workloads exige l'utilisation de clés de chiffrement gérées par le client (CMEK) pour prendre en charge ces packages de contrôle.
2. Projet de gestion des clés : Assured Workloads crée un projet de gestion des clés pour se conformer aux contrôles de sécurité NIST 800-53. Le projet de gestion des clés est séparé des projets de ressources afin d'établir la séparation des tâches entre les administrateurs de sécurité et les développeurs.
3. Trousseau de clés : Assured Workloads crée également un trousseau de clés pour stocker vos clés. Le projet CMEK limite la création des trousseaux de clés aux emplacements conformes que vous sélectionnez. Une fois le trousseau de clés créé, vous devez gérer la création ou l'importation des clés de chiffrement. Le chiffrement renforcé, la gestion des clés et la séparation des tâches offrent tous des résultats positifs en termes de sécurité et de conformité sur Google Cloud.
  
  Remarque : Une fois que Assured Workloads a créé le trousseau, vous devez créer votre clé CMEK. À moins que votre package de contrôle n'exige une stratégie de clés de chiffrement spécifique, vous pouvez utiliser n'importe quel service de gestion des clés Google, y compris Cloud Key Management Service, Cloud External Key Manager ou CMEK. Vous pouvez également utiliser des clés détenues ou gérées par Google par défaut, qui sont validées FIPS.
Autres packages de contrôle (y compris IL4 et IL5): clés détenues et gérées par Google, et autres options de chiffrement.
- Les clés détenues et gérées par Google fournissent un chiffrement certifié FIPS 140-2 par défaut en transit et au repos pour tous les services Google Cloud.
- Cloud Key Management Service (Cloud KMS) : Assured Workloads est compatible avec Cloud KMS. Cloud KMS couvre tous les produits et services Google Cloud par défaut, avec la certification FIPS 140-2 de chiffrement en transit et de chiffrement au repos.
- Clés de chiffrement gérées par le client (CMEK) : Assured Workloads est compatible avec les CMEK.
- Cloud External Key Manager (Cloud EKM) : Assured Workloads est compatible avec Cloud EKM.
- Importation des clés

Stratégies de chiffrement

Cette section décrit les stratégies de chiffrement Assured Workloads.

Création de CMEK Assured Workloads

Le chiffrement CMEK vous offre des contrôles avancés sur la gestion de vos données et de vos clés en vous permettant de gérer l'intégralité du cycle de vie de vos clés, de leur création à leur suppression. Cette fonctionnalité est essentielle pour assurer la conformité aux exigences d'effacement cryptographique dans le Cloud Computing SRG.

Services

Services bénéficiant d'une intégration des CMEK

Le chiffrement CMEK couvre les services suivants, qui stockent les données client pour CJIS.

Autres services : gestion des clés personnalisées

Pour les services qui ne sont pas intégrés à CMEK ou pour les clients dont les packages de contrôle ne nécessitent pas de CMEK, les clients Assured Workloads ont la possibilité d'utiliser des clés Cloud Key Management Service gérées par Google. Cette option permet de fournir aux clients des options supplémentaires de gestion des clés afin de répondre aux besoins de votre organisation. Aujourd'hui, l'intégration des clés CMEK est limitée aux services couverts et compatibles avec les fonctionnalités CMEK. Le service de gestion des clés géré par Google est une méthode de chiffrement acceptable, car il couvre tous les produits et services Google Cloud par défaut, fournissant un chiffrement validé FIPS 140-2 en transit et au repos.

Pour les autres produits compatibles avec Assured Workloads, consultez la page Produits compatibles avec le package de contrôle.

Rôles de gestion des clés

Les administrateurs et les développeurs implémentent généralement les bonnes pratiques de conformité et de sécurité via la gestion des clés et la séparation des tâches. Par exemple, les développeurs peuvent avoir accès au dossier Assured Workloads alors que les administrateurs ont accès au projet de gestion des clés CMEK.

Administrateurs

Les administrateurs contrôlent généralement l'accès au projet de chiffrement et aux ressources de clé qu'il contient. Les administrateurs sont chargés d'attribuer des ID de ressource de clé aux développeurs pour le chiffrement des ressources. Cette pratique sépare la gestion des clés du processus de développement et permet aux administrateurs de sécurité de gérer les clés de chiffrement de manière centralisée dans le projet CMEK.

Les administrateurs de sécurité peuvent utiliser les stratégies de clé de chiffrement suivantes avec Assured Workloads :

Développeurs

Pendant le développement, lorsque vous provisionnez et configurez des ressources Google Cloud couvertes qui nécessitent une clé de chiffrement CMEK, vous devez demander l'ID de ressource de clé à votre administrateur. Si vous n'utilisez pas de CMEK, nous vous recommandons d'utiliser des clés détenues et gérées par Google pour vous assurer que les données sont chiffrées.

La méthode de requête est déterminée par votre organisation dans le cadre de vos processus et procédures de sécurité documentés.

Étapes suivantes

Découvrez comment créer un dossier Assured Workloads.
Découvrez les produits compatibles avec chaque package de contrôle.