Se usó la API de Cloud Translation para traducir esta página.

Respaldar el cumplimiento de la administración de claves

En esta página, se proporciona información sobre cómo respaldar el cumplimiento de la administración de claves mediante la encriptación para Assured Workloads.

Descripción general

La administración de claves de encriptación es fundamental para respaldar el cumplimiento normativo de los recursos de Google Cloud. Assured Workloads admite el cumplimiento mediante la encriptación de las siguientes maneras:

CJIS o ITAR: Claves administradas por el cliente y separación de obligaciones, y opcional para el nivel de impacto 4 (IL4) y el nivel de impacto 5 (IL5).
1. CMEK: Assured Workloads exige el uso de claves de encriptación administradas por el cliente (CMEK) para admitir estos paquetes de control.
2. Proyecto de administración de claves: Assured Workloads crea un proyecto de administración de claves para alinearlo con los controles de seguridad de NIST 800-53. El proyecto de administración de claves está separado de las carpetas de recursos para establecer una separación de obligaciones entre los desarrolladores y los administradores de seguridad.
3. Llavero de claves: Assured Workloads también crea un llavero de claves para almacenar tus claves. El proyecto CMEK restringe la creación de llaveros de claves a las ubicaciones compatibles que selecciones. Después de crear el llavero de claves, puedes administrar la creación o la importación de claves de encriptación. La encriptación sólida, la administración de claves y la separación de obligaciones admiten resultados positivos de seguridad y cumplimiento en Google Cloud.
  
  Nota: Después de que Assured Workloads cree el llavero de claves, debes crear tu clave CMEK. A menos que tu paquete de control exija una estrategia de claves de encriptación determinada, puedes usar cualquier servicio de administración de claves de Google, incluido Cloud Key Management Service, Cloud External Key Manager o CMEK. También puedes usar claves predeterminadas de propiedad y administradas por Google, que están validadas por FIPS.
Otros paquetes de control (incluidos el IL4 y el IL5): Claves de Google y administradas por Google y otras opciones de encriptación
- Las claves de propiedad y administración de Google proporcionan encriptación en tránsito y en reposo validada por FIPS 140-2 de forma predeterminada para todos los servicios de Google Cloud.
- Cloud Key Management Service (Cloud KMS): Assured Workloads admite Cloud KMS. Cloud KMS abarca todos los productos y servicios de Google Cloud de forma predeterminada, y proporciona encriptación en tránsito y en reposo validados por FIPS 140-2.
- Claves de encriptación administradas por el cliente (CMEK): Assured Workloads admite CMEK.
- Cloud External Key Manager (Cloud EKM) Assured Workloads admite Cloud EKM.
- Importación de claves

Estrategias de encriptación

En esta sección, se describen las estrategias de encriptación de Assured Workloads.

Creación de CMEK de Assured Workloads

CMEK te permite tener controles avanzados sobre tus datos y la administración de claves, ya que te permite administrar el ciclo de vida completo de tu clave, desde la creación hasta la eliminación. Esta capacidad es fundamental para admitir los requisitos de borrado criptográfico en el SRG de Cloud Computing.

Servicios

Servicios integrados en CMEK

CMEK cubre los siguientes servicios, que almacenan los datos de los clientes para CJIS.

Otros servicios: Administración de claves personalizadas

En el caso de los servicios que no están integrados en CMEK o de los clientes cuyos paquetes de control no requieren CMEK, los clientes de Assured Workloads tienen la opción de usar claves de Cloud Key Management Service administradas por Google. Esta opción se ofrece para proporcionar a los clientes opciones adicionales de administración de claves que se ajusten a las necesidades de tu organización. En la actualidad, la integración de CMEK se limita a los servicios dentro del alcance que admiten capacidades de CMEK. El KMS administrado por Google es un método de encriptación aceptable, ya que abarca todos los productos y servicios de Google Cloud de forma predeterminada, ya que proporciona encriptación validada por FIPS 140-2 en tránsito y en reposo.

Para obtener información sobre otros productos compatibles con Assured Workloads, consulta Productos compatibles con el paquete de control.

Roles de administración de claves

Por lo general, los administradores y los desarrolladores admiten las prácticas recomendadas de cumplimiento y seguridad mediante la administración de claves y la separación de obligaciones. Por ejemplo, si bien los desarrolladores pueden tener acceso a la carpeta de recursos de Assured Workloads, los administradores tienen acceso al proyecto de administración de claves CMEK.

Administradores

Los administradores suelen controlar el acceso al proyecto de encriptación y a los recursos de clave en él. Los administradores son responsables de asignar los ID de recurso de clave a los desarrolladores para encriptar los recursos. Esta práctica separa la administración de las claves del proceso de desarrollo y proporciona a los administradores de seguridad la capacidad de administrar las claves de encriptación de forma centralizada en el proyecto CMEK.

Los administradores de seguridad pueden usar las siguientes estrategias de clave de encriptación con Assured Workloads:

Desarrolladores

Durante el desarrollo, cuando aprovisionas y configuras recursos dentro del alcance de Google Cloud que requieren una clave de encriptación CMEK, debes solicitarle el ID de recurso de la clave a tu administrador. Si no usas CMEK, te recomendamos que uses claves de propiedad de Google y administradas por Google para asegurarte de que los datos estén encriptados.

Tu organización determina el método de solicitud como parte de tus procesos y procedimientos de seguridad documentados.

¿Qué sigue?

Obtén más información para crear una carpeta de Assured Workloads.
Obtén información sobre los productos compatibles con cada paquete de control.