Compatibilidade com o gerenciamento de chaves

Esta página fornece informações sobre como oferecer compliance com o gerenciamento de chaves usando criptografia para o Assured Workloads.

Visão geral

O gerenciamento de chaves de criptografia é fundamental para o suporte à conformidade regulatória dos recursos do Google Cloud. O Assured Workloads é compatível com a conformidade por meio de criptografia das seguintes maneiras:

  1. CJIS ou ITAR: chaves gerenciadas pelo cliente obrigatórias e separação de tarefas, e opcionais para o nível 4 (IL4) e 5 (IL5) de impacto.

    1. CMEK: o Assured Workloads exige o uso de recursos gerenciados pelo cliente de criptografia de dados (CMEK, na sigla em inglês) para oferecer suporte a esses pacotes de controle.
    2. Projeto de gerenciamento de chaves: o Assured Workloads cria um projeto de gerenciamento de chaves para o alinhamento com os controles de segurança NIST 800-53. O projeto de gerenciamento de chaves é separado de pastas de recursos para estabelecer a separação de tarefas entre os administradores de segurança e os desenvolvedores.
    3. Keyring: o Assured Workloads também cria um keyring para armazenar suas chaves. O projeto de CMEK restringe a criação de keyrings aos locais compatíveis selecionados. Depois de criar o keyring, você gerencia a criação ou a importação de chaves de criptografia. A forte criptografia, gerenciamento de chaves e separação de tarefas dá suporte a resultados positivos de segurança e conformidade no Google Cloud.

  2. Outros pacotes de controle (incluindo IL4 e IL5): chaves de propriedade e gerenciadas pelo Google e outras opções de criptografia.

Estratégias de criptografia

Nesta seção, descrevemos as estratégias de criptografia do Assured Workloads.

Criação de CMEK do Assured Workloads

A CMEK permite que você tenha controles avançados sobre os dados e o gerenciamento de chaves, permitindo que você gerencie o ciclo de vida completo das chaves, desde a criação até a exclusão. Esse recurso é essencial para atender aos requisitos de limpeza criptográfica no Cloud Computing SRG.

Serviços

Serviços integrados a CMEK

A CMEK cobre os serviços a seguir, que armazenam dados do cliente para CJIS.

Outros serviços: gerenciamento personalizado de chaves

Para serviços que não estão integrados à CMEK ou para clientes cujos pacotes de controle não exigem CMEK, os clientes do Assured Workloads têm a opção de usar chaves do Cloud Key Management Service gerenciadas pelo Google. Essa opção é oferecida para fornecer aos clientes mais opções de gerenciamento de chaves para atender às suas necessidades organizacionais. Hoje, a integração de CMEK é limitada aos serviços no escopo compatíveis com os recursos CMEK. O KMS gerenciado pelo Google é um método de criptografia aceitável já que abrange todos os produtos e serviços do Google Cloud por padrão, fornecendo Criptografia validada pelo FIPS 140-2 nos em trânsito e em repouso.

Para outros produtos compatíveis com o Assured Workloads, consulte Produtos compatíveis por pacote de controle.

Papéis de gerenciamento de chaves

Os administradores e desenvolvedores geralmente oferecem suporte às práticas recomendadas de compliance e segurança por meio do gerenciamento de chaves e da separação de tarefas. Por exemplo, embora os desenvolvedores possam ter acesso à pasta de recursos do Assured Workloads, os administradores têm acesso ao projeto de gerenciamento de chaves CMEK.

Administradores

Os administradores geralmente controlam o acesso ao projeto de criptografia e aos principais recursos dele. Os administradores são responsáveis por alocar códigos de recursos principais para desenvolvedores para criptografar recursos. Essa prática separa o gerenciamento de chaves do processo de desenvolvimento e fornece aos administradores de segurança a capacidade de gerenciar chaves de criptografia de maneira centralizada no projeto CMEK.

Os administradores de segurança podem usar as seguintes estratégias de chave de criptografia com o Assured Workloads:

Desenvolvedores

Durante o desenvolvimento, quando você provisiona e configura recursos do Google Cloud no escopo que exigem uma chave de criptografia CMEK, você solicita o ID do recurso da chave do administrador. Caso você não use uma CMEK, recomendamos usar Chaves de propriedade e gerenciadas pelo Google para garantir que os dados sejam criptografados.

O método de solicitação é determinado pela sua organização como parte dos processos e procedimentos de segurança documentados.

A seguir