Mendukung kepatuhan terhadap pengelolaan kunci

Halaman ini memberikan informasi tentang mendukung kepatuhan terhadap pengelolaan kunci menggunakan enkripsi untuk Assured Workloads.

Ringkasan

Pengelolaan kunci enkripsi sangat penting untuk mendukung kepatuhan terhadap peraturan terkait resource Google Cloud. Assured Workloads mendukung kepatuhan melalui enkripsi dengan cara berikut:

  1. CJIS atau ITAR: Kunci yang dikelola pelanggan dan pemisahan tugas yang diwajibkan, serta opsional untuk Impact Level 4 (IL4) dan Impact Level 5 (IL5).

    1. CMEK: Assured Workloads mewajibkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mendukung paket kontrol ini.
    2. Project pengelolaan kunci: Assured Workloads membuat project pengelolaan kunci agar selaras dengan kontrol keamanan NIST 800-53, project pengelolaan kunci dipisahkan dari folder resource untuk menetapkan pemisahan tugas antara administrator keamanan dan developer.

    3. Key ring: Assured Workloads juga membuat key ring untuk menyimpan kunci Anda. Project CMEK membatasi pembuatan key ring ke lokasi yang mematuhi kebijakan yang Anda pilih. Setelah membuat ring kunci, Anda dapat mengelola pembuatan atau impor kunci enkripsi. Enkripsi, pengelolaan kunci, dan pemisahan tugas yang kuat mendukung hasil keamanan dan kepatuhan yang positif di Google Cloud.

  2. Paket kontrol lainnya (termasuk IL4 dan IL5): Kunci milik dan dikelola Google serta opsi enkripsi lainnya.

Strategi enkripsi

Bagian ini menjelaskan strategi enkripsi Assured Workloads.

Pembuatan CMEK Assured Workloads

CMEK memungkinkan Anda memiliki kontrol lanjutan atas data dan pengelolaan kunci dengan memungkinkan Anda mengelola siklus proses kunci lengkap, mulai dari pembuatan hingga penghapusan. Kemampuan ini sangat penting untuk mendukung persyaratan penghapusan kriptografis di SRG Cloud Computing.

Layanan

Layanan terintegrasi CMEK

CMEK mencakup layanan berikut, yang menyimpan data pelanggan untuk CJIS.

Layanan lainnya: Pengelolaan Kunci Kustom

Untuk layanan yang tidak terintegrasi dengan CMEK, atau untuk pelanggan yang paket kontrolnya tidak memerlukan CMEK, pelanggan Assured Workloads memiliki opsi untuk menggunakan kunci Cloud Key Management Service yang dikelola Google. Opsi ini ditawarkan untuk memberi pelanggan opsi tambahan pengelolaan kunci agar sesuai dengan kebutuhan organisasi Anda. Saat ini, integrasi CMEK terbatas pada layanan dalam cakupan yang mendukung kemampuan CMEK. KMS yang dikelola Google adalah metode enkripsi yang dapat diterima karena mencakup semua produk dan layanan Google Cloud secara default yang menyediakan enkripsi yang divalidasi FIPS 140-2 dalam pengiriman dan dalam penyimpanan.

Untuk produk lain yang didukung oleh Assured Workloads, lihat Produk yang didukung menurut paket kontrol.

Peran pengelolaan kunci

Administrator dan developer biasanya mendukung kepatuhan dan praktik terbaik keamanan melalui pengelolaan kunci dan pemisahan tugas. Misalnya, meskipun developer mungkin memiliki akses ke folder resource Assured Workloads, administrator memiliki akses ke project pengelolaan kunci CMEK.

Administrator

Administrator biasanya mengontrol akses ke project enkripsi dan resource utama di dalamnya. Administrator bertanggung jawab untuk mengalokasikan ID resource utama kepada developer untuk mengenkripsi resource. Praktik ini memisahkan pengelolaan kunci dari proses pengembangan dan memberi administrator keamanan kemampuan untuk mengelola kunci enkripsi secara terpusat dalam project CMEK.

Administrator keamanan dapat menggunakan strategi kunci enkripsi berikut dengan Assured Workloads:

Developer

Selama pengembangan, saat menyediakan dan mengonfigurasi resource Google Cloud dalam cakupan yang memerlukan kunci enkripsi CMEK, Anda meminta ID resource kunci dari administrator. Jika tidak menggunakan CMEK, sebaiknya gunakan kunci milik dan dikelola Google untuk memastikan data dienkripsi.

Metode permintaan ditentukan oleh organisasi Anda sebagai bagian dari proses dan prosedur keamanan yang didokumentasikan.

Langkah selanjutnya