키 관리 규정 준수 지원

이 페이지에서는 Assured Workloads에서 암호화를 사용하여 키 관리 규정 준수를 지원하는 방법을 설명합니다.

개요

암호화 키 관리는 Google Cloud 리소스의 규정 준수를 지원하기 위한 기본적인 요소입니다. Assured Workloads는 다음과 같은 방법으로 암호화를 통해 규정 준수를 지원합니다.

  1. CJIS 또는 ITAR: 필수 고객 관리 키 및 업무 분리이며 영향 수준 4(IL4) 및 영향 수준 5(IL5)의 경우 선택사항입니다.

    1. CMEK: Assured Workloads는 이러한 제어 패키지를 지원하기 위해 고객 관리 암호화 키(CMEK)를 사용해야 합니다.
    2. 키 관리 프로젝트: Assured Workloads는 NIST 800-53 보안 통제에 맞게 키 관리 프로젝트를 생성하고 키 관리 프로젝트는 리소스 폴더에서 분리되어 보안 관리자와 개발자 간의 업무 분리를 수립하는 데 사용됩니다.

    3. 키링: Assured Workloads는 키를 저장할 키링도 만듭니다. CMEK 프로젝트는 키링 생성을 사용자가 선택한 규정 준수 위치로 제한합니다. 키링을 만든 후에 암호화 키의 생성 또는 가져오기를 관리합니다. 강력한 암호화, 키 관리, 업무 분리가 Google Cloud에서 긍정적인 보안 및 규정 준수 결과를 얻을 수 있도록 지원합니다.

  2. 기타 제어 패키지(IL4 및 IL5 포함): Google 관리 키 및 기타 암호화 옵션입니다.

암호화 전략

이 섹션에서는 Assured Workloads 암호화 전략을 설명합니다.

Assured Workloads CMEK 생성

CMEK에서는 생성부터 삭제까지 전체 키 수명 주기를 관리할 수 있어 데이터 및 키 관리에 대한 고급 제어가 가능합니다. 이는 클라우드 컴퓨팅 SRG의 암호화 삭제 요구사항을 지원하는 데 중요한 기능입니다.

서비스

CMEK 통합 서비스

CMEK는 CJIS용 고객 데이터를 저장하는 다음 서비스에 적용됩니다.

기타 서비스: 맞춤 키 관리

CMEK와 통합되지 않은 서비스 또는 제어 패키지에 CMEK가 필요하지 않은 고객의 경우 Assured Workloads 고객은 Google 관리 Cloud Key Management Service 키를 사용할 수 있습니다. 이 옵션은 조직의 요구사항에 맞는 키 관리 옵션을 고객에게 추가로 제공하기 위해 제공됩니다. 현재 CMEK 통합은 CMEK 기능을 지원하는 범위 내 서비스로 제한됩니다. Google 관리 KMS는 전송 중 데이터 및 저장 데이터에 FIPS 140-2 검증 암호화를 제공하여 기본적으로 모든 Google Cloud 제품 및 서비스를 다루기 때문에 허용되는 암호화 방법입니다.

Assured Workloads에서 지원되는 다른 제품은 제어 패키지에서 지원되는 제품을 참조하세요.

키 관리 역할

관리자와 개발자는 일반적으로 키 관리 및 업무 분리를 통해 규정 준수와 보안 권장사항을 지원합니다. 예를 들어 개발자가 Assured Workloads 리소스 폴더에 액세스할 수 있지만 관리자는 CMEK 키 관리 프로젝트에 액세스할 수 있습니다.

관리자

관리자는 일반적으로 암호화 프로젝트와 암호화 프로젝트 내의 키 리소스에 대한 액세스를 제어합니다. 관리자는 개발자에게 키 리소스 ID를 할당해 리소스를 암호화해야 할 책임이 있습니다. 이 관행은 개발 프로세스와 키 관리를 분리하고 보안 관리자에게 CMEK 프로젝트의 암호화 키를 중앙에서 관리할 수 있는 기능을 제공합니다.

보안 관리자는 Assured Workloads에서 다음 암호화 키 전략을 사용할 수 있습니다.

개발자

개발 중에 CMEK 암호화 키가 필요한 범위 내 Google Cloud 리소스를 프로비저닝하고 구성할 때는 관리자에게 키의 리소스 ID를 요청합니다. CMEK를 사용하지 않는 경우 데이터가 암호화되도록 Google 관리 키를 사용하는 것이 좋습니다.

요청 방법은 문서화된 보안 프로세스와 절차의 일환으로 조직에서 결정합니다.

다음 단계