支持密钥管理的合规性

本页面介绍了如何支持对 Assured Workloads 使用加密来满足密钥管理要求。

概览

加密密钥管理有助于支持 Google Cloud 资源的监管合规性。Assured Workloads 通过以下方式通过加密来支持合规性：

1. CJIS 或 ITAR：强制执行的客户管理密钥和职责分离；对于影响级别 4 (IL4) 和影响级别 5 (IL5)，则为可选。

   1. CMEK：Assured Workloads 规定使用客户管理的加密密钥 (CMEK) 来支持这些控制套餐。
   2. 密钥管理项目：Assured Workloads 会创建一个密钥管理项目以符合 NIST 800-53 安全控制措施，并且密钥管理项目与资源文件夹分离，以便在安全管理员和开发者之间建立职责分离机制。

   3. 密钥环：Assured Workloads 还会创建一个密钥环来存储密钥。CMEK 项目将密钥环创建限制为您选择的合规位置。创建密钥环后，您就可以管理创建或导入加密密钥了。强大的加密、密钥管理和职责分离全都支持在 Google Cloud 上产生积极的安全性和合规性结果。

2. 其他控制软件包（包括 IL4 和 IL5）：Google 拥有和由 Google 管理的密钥以及其他加密选项。

   • Google 拥有和由 Google 管理的密钥默认为所有 Google Cloud 服务提供通过 FIPS 140-2 验证的传输加密和静态加密。
   • Cloud Key Management Service (Cloud KMS)：Assured Workloads 支持 Cloud KMS。Cloud KMS 默认提供通过 FIPS 140-2 验证的传输加密和静态加密，涵盖所有 Google Cloud 产品和服务。
   • 客户管理的加密密钥 (CMEK)：Assured Workloads 支持 CMEK。
   • Cloud External Key Manager (Cloud EKM)：Assured Workloads 支持 Cloud EKM。
   • 密钥导入

加密策略

本部分介绍 Assured Workloads 加密策略。

Assured Workloads CMEK 创建

借助 CMEK，您可以管理从创建到删除的整个密钥生命周期，从而实现对数据和密钥管理的高级控制。此功能对于支持云计算 SRG 中的加密擦除要求至关重要。

Service

与 CMEK 集成的服务

CMEK 涵盖以下服务，这些服务存储 CJIS 的客户数据。

• Cloud Storage
• 永久性磁盘
• BigQuery

其他服务：自定义密钥管理

对于未与 CMEK 集成的服务，或者其控制包不需要 CMEK 的客户，Assured Workloads 客户可以选择使用 Google 管理的 Cloud Key Management Service 密钥。提供此选项是为了向客户提供额外的密钥管理选项，以满足您的组织需求。如今，CMEK 集成限制为支持 CMEK 功能的范围内服务。由 Google 管理的 KMS 是一种可接受的加密方法，因为它涵盖所有 Google Cloud 产品和服务，默认提供经过 FIPS 140-2 验证的传输和静态加密。

如需了解 Assured Workloads 支持的其他产品，请参阅支持的产品（按控制套餐划分）。

密钥管理角色

管理员和开发者通常通过密钥管理和职责分离来支持合规性和安全最佳实践。例如，开发者可能有权访问 Assured Workloads 资源文件夹，而管理员则有权访问 CMEK 密钥管理项目。

管理员

管理员通常控制对加密项目及其中密钥资源的访问权限。管理员负责为开发者分配密钥资源 ID 以加密资源。这种做法将密钥的管理与开发流程分开，可让安全管理员在 CMEK 项目中集中管理加密密钥。

安全管理员可以将以下加密密钥策略用于 Assured Workloads：

• Cloud KMS
• 客户管理的加密密钥 (CMEK)
• Cloud External Key Manager (Cloud EKM)
• 密钥导入

开发者

在开发期间，当您预配和配置范围内 Google Cloud 资源（需要使用 CMEK 加密密钥）时，应向管理员请求该密钥的资源 ID。如果您不使用 CMEK，我们建议您使用 Google 拥有的密钥和 Google 管理的密钥来确保数据加密。

请求方法由您的组织作为记录的安全流程和过程的一部分确定。

后续步骤

• 了解如何创建 Assured Workloads 文件夹。
• 了解每个控制套餐支持哪些产品。