Supporto per la conformità con la gestione delle chiavi
Questa pagina fornisce informazioni sul supporto della conformità con la gestione delle chiavi mediante la crittografia per Assured Workloads.
Panoramica
La gestione delle chiavi di crittografia è fondamentale per supportare la conformità normativa delle risorse Google Cloud. Assured Workloads supporta la conformità tramite crittografia nei modi seguenti:
CJIS o ITAR: chiavi gestite dal cliente obbligatorie e separazione dei compiti, e facoltativo per Impact Level 4 (IL4) e Impact Level 5 (IL5).
- CMEK: Assured Workloads impone l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) per supportare questi pacchetti di controllo.
- Progetto di gestione delle chiavi: Assured Workloads crea un progetto di gestione delle chiavi per allinearsi ai controlli di sicurezza dello standard NIST 800-53. Il progetto di gestione delle chiavi è separato dalle cartelle delle risorse per stabilire la separazione dei compiti tra amministratori della sicurezza e sviluppatori.
Keyring: Assured Workloads crea anche un keyring per archiviare le chiavi. Il progetto CMEK limita la creazione dei keyring alle località conformi selezionate. Dopo aver creato il keyring, puoi creare o importare le chiavi di crittografia. La crittografia, la gestione delle chiavi e la separazione dei compiti efficaci supportano tutti risultati positivi in termini di sicurezza e conformità su Google Cloud.
Altri pacchetti di controllo (inclusi IL4 e IL5): chiavi gestite da Google e altre opzioni di crittografia.
- Le chiavi gestite da Google forniscono, per impostazione predefinita, la crittografia convalidata FIPS 140-2 per i dati in transito e at-rest a tutti i servizi Google Cloud.
- Cloud Key Management Service (Cloud KMS): Assured Workloads supporta Cloud KMS. Per impostazione predefinita, Cloud KMS copre tutti i prodotti e i servizi Google Cloud, fornendo crittografia in transito e crittografia at-rest convalidati FIPS 140-2.
- Chiavi di crittografia gestite dal cliente (CMEK): Assured Workloads supporta CMEK.
- Cloud External Key Manager (Cloud EKM) Assured Workloads supporta Cloud EKM.
- Importazione delle chiavi
Strategie di crittografia
Questa sezione descrive le strategie di crittografia di Assured Workloads.
Creazione CMEK di Assured Workloads
La tecnologia CMEK ti consente di avere controlli avanzati sulla gestione dei dati e delle chiavi consentendoti di gestire l'intero ciclo di vita delle chiavi, dalla creazione all'eliminazione. Questa funzionalità è fondamentale per supportare i requisiti di cancellazione crittografica nella SRG di Cloud Computing.
Servizi
Servizi integrati con CMEK
CMEK copre i seguenti servizi, che archiviano i dati dei clienti per CJIS.
Altri servizi: gestione delle chiavi personalizzate
Per i servizi non integrati con CMEK o per i clienti i cui pacchetti di controllo non richiedono CMEK, i clienti di Assured Workloads hanno la possibilità di utilizzare chiavi Cloud Key Management Service gestite da Google. Questa opzione viene offerta per fornire ai clienti opzioni aggiuntive per la gestione delle chiavi in base alle esigenze della tua organizzazione. Oggi, l'integrazione CMEK è limitata ai servizi nell'ambito che supportano le funzionalità CMEK. Il KMS gestito da Google è un metodo di crittografia accettabile, in quanto copre tutti i prodotti e i servizi Google Cloud per impostazione predefinita, fornendo per impostazione predefinita la crittografia convalidata FIPS 140-2 in transito e a riposo.
Per altri prodotti supportati da Assured Workloads, consulta Prodotti supportati per pacchetto di controllo.
Ruoli di gestione delle chiavi
In genere, amministratori e sviluppatori supportano le best practice in materia di conformità e sicurezza tramite la gestione delle chiavi e la separazione dei compiti. Ad esempio, mentre gli sviluppatori potrebbero avere accesso alla cartella delle risorse di Assured Workloads, gli amministratori hanno accesso al progetto di gestione delle chiavi CMEK.
Amministratori
In genere, gli amministratori controllano l'accesso al progetto di crittografia e alle risorse chiave al suo interno. Gli amministratori sono responsabili di assegnare gli ID risorsa della chiave agli sviluppatori per criptare le risorse. Questa pratica separa la gestione delle chiavi dal processo di sviluppo e offre agli amministratori della sicurezza la possibilità di gestire le chiavi di crittografia a livello centrale nel progetto CMEK.
Gli amministratori della sicurezza possono utilizzare le seguenti strategie di chiavi di crittografia con Assured Workloads:
- Cloud KMS
- Chiavi di crittografia gestite dal cliente (CMEK)
- Gestore chiavi esterno Cloud (Cloud EKM)
- Importazione delle chiavi
Sviluppatori
Durante lo sviluppo, quando esegui il provisioning e la configurazione delle risorse Google Cloud nell'ambito che richiedono una chiave di crittografia CMEK, richiedi l'ID risorsa della chiave all'amministratore. Se non usi CMEK, ti consigliamo di usare chiavi gestite da Google per assicurarti che i dati siano criptati.
Il metodo di richiesta è determinato dalla tua organizzazione come parte dei processi e delle procedure di sicurezza documentati.
Passaggi successivi
- Scopri come creare una cartella Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.