Aufgabentrennung

Die Aufgabentrennung ist ein Konzept, mit dem verhindert werden soll, dass eine Person allein über alle Berechtigungen verfügt, die notwendig sind, um bösartige Aktionen ausführen zu können. Eine bösartige Aktion in Cloud KMS wäre beispielsweise der Missbrauch eines Schlüssels für den Zugriff auf und die Entschlüsselung von Daten, auf die der Nutzer normalerweise keinen Zugriff hätte.

Die Aufgabentrennung ist eine Form der Unternehmenssteuerung, die in der Regel in größeren Organisationen umgesetzt wird. Sie soll Sicherheits- oder Datenschutzvorfälle und -fehler vermeiden. Sie gilt als Best Practice.

Weitere Anleitungen finden Sie in unserer Dokumentation zur sicheren Verwendung von IAM.

Cloud KMS in einem separaten Projekt einrichten

Cloud KMS kann in einem bereits vorhandenen Projekt, z. B. your-project, ausgeführt werden. Dies ist sinnvoll, wenn die in Cloud KMS mit Schlüsseln verschlüsselten Daten im selben Projekt gespeichert werden.

Jeder Nutzer mit owner-Zugriff auf das Projekt kann dann jedoch in diesem Projekt ebenfalls Schlüssel in Cloud KMS verwalten und kryptografische Vorgänge ausführen, da die Schlüssel Eigentum des Projekts sind, dessen owner der Nutzer ist.

Um hier eine Aufgabentrennung zu ermöglichen, können Sie Cloud KMS in einem eigenen Projekt ausführen, beispielsweise your-key-project. Je nachdem, wie strikt die Aufgabentrennung durchgesetzt werden muss, können Sie wie folgt vorgehen:

  • (empfohlen) Erstellen Sie your-key-project ohne owner auf Projektebene. Richten Sie stattdessen einen Organisationsadministrator auf Organisationsebene ein. Der Organisationsadministrator kann im Gegensatz zum owner keine Schlüssel verwalten oder verwenden. Er hat jedoch die Berechtigung, eine IAM-Richtlinie festzulegen, mit der die Vergabe von Berechtigungen für die Verwaltung und Verwendung von Schlüsseln eingeschränkt werden kann. Mit einem Knoten auf Organisationsebene können Sie Berechtigungen für Projekte in Ihrer Organisation weiter einschränken. Im nächsten Abschnitt lernen Sie neben owner alternative Rollen für Cloud KMS kennen.
  • (nicht empfohlen) Weisen Sie die Rolle owner für your-key-project einem anderen Nutzer als dem owner von Projekt your-project zu, in dem die Schlüssel von Cloud KMS verwendet werden. Dieser Nutzer hat dann weiterhin Zugriff auf alle Schlüsselvorgänge.

Geeignete IAM-Rollen auswählen

In kleineren Organisationen bieten die einfachen Rollen owner, editor und viewer einen ausreichenden Detaillierungsgrad für die Schlüsselverwaltung. In größeren Organisationen, in denen eine Aufgabentrennung erforderlich ist, gewährt die Rolle owner einen uneingeschränkten Zugriff auf vertrauliche Sicherheitsvorgänge und ist deshalb möglicherweise nicht ideal. In diesem Fall werden stattdessen vordefinierte Rollen empfohlen:

  • Für Geschäftsinhaber mit Verschlüsselungsbedarf auf Anwendungsebene: Organisationsadministrator auf Organisationsebene.
  • Für Nutzer, die Cloud KMS verwalten, z. B. ein Mitglied des IT-Sicherheitsteams der Organisation: Cloud KMS auf Projektebene mit Administratorrolle (cloudkms.admin) oder Bearbeiterrolle (editor).
  • Für Nutzer oder Dienste, die Schlüssel für Verschlüsselungs- oder Entschlüsselungsvorgänge verwenden: Dienstkonto für Cloud KMS auf Projektebene mit der Rolle "Verschlüsseler/Entschlüsseler" (cloudkms.cryptoKeyEncrypterDecrypter). Wenn der Dienst entweder nur Daten schreiben oder nur Daten lesen muss, können Sie die Nutzung weiter beschränken, indem Sie nur die Verschlüsseler-Rolle (cloudkms.cryptoKeyEncrypter) oder nur die Entschlüsseler-Rolle (cloudkms.cryptoKeyDecrypter) zuweisen.

Wenn Sie ein separates Projekt für Cloud KMS und die oben empfohlenen Rollen erstellen, können Sie mehrere Sicherheitsbedenken hinsichtlich der Aufgabentrennung ausräumen:

  • Nutzer, die für die Verwendung eines anderen Google Cloud-Dienstes eine primäre Rolle auf Projektebene benötigen, können mit dieser Berechtigung nicht auf Cloud KMS zugreifen.
  • Kein Nutzer benötigt die Rolle owner, deren Berechtigungen einen allzu umfassenden Zugriff auf Schlüssel ermöglichen. Ohne owner kann kein Nutzer Schlüssel verwalten oder verwenden, um Daten standardmäßig direkt zu verschlüsseln oder zu entschlüsseln. Wenn keine Datenzugriffs-Logs aktiviert sind, kann ein owner potenziell ungeprüft auf Schlüsselmaterial zugreifen.
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud KMS-Dokumentation