Questa pagina è stata tradotta dall'API Cloud Translation.

Supporto per la conformità con la gestione delle chiavi

Questa pagina fornisce informazioni sul supporto della conformità alla gestione delle chiavi utilizzando la crittografia per Assured Workloads.

Panoramica

La gestione delle chiavi di crittografia è fondamentale per supportare la conformità alle normative delle risorse Google Cloud. Assured Workloads supporta la conformità tramite nei seguenti modi:

CJIS o ITAR: chiavi gestite dal cliente obbligatorie e separazione dei compiti. opzionale per Impact Level 4 (IL4) e Impact Level 5 (IL5).
1. CMEK: Assured Workloads richiede l'uso di una soluzione gestita dal cliente chiavi di crittografia (CMEK) per supportare questi pacchetti di controllo.
2. Progetto di gestione delle chiavi: Assured Workloads crea una chiave per l'allineamento con i controlli di sicurezza dello standard NIST 800-53, progetto di gestione chiave separato dalle cartelle delle risorse per separazione dei compiti tra le procedure di sicurezza amministratori e sviluppatori.
3. Key ring: Assured Workloads crea anche un keyring per archiviare le tue chiavi. Il progetto CMEK limita la creazione dei keyring a località conformi selezionate. Dopo aver creato il keyring, che gestisci la creazione o l'importazione delle chiavi di crittografia. La crittografia forte, la gestione delle chiavi e la separazione dei compiti supportano tutti risultati positivi in termini di sicurezza e conformità su Google Cloud.
  
  Nota: dopo che Assured Workloads ha creato il keyring, devi creare la chiave CMEK. A meno che il pacchetto di controllo non imponga una determinata strategia per le chiavi di crittografia, puoi utilizzare qualsiasi servizio di gestione delle chiavi di Google, tra cui Cloud Key Management Service, Cloud External Key Manager o CMEK. Puoi anche utilizzare le chiavi di proprietà di Google e gestite da Google predefinite, che sono validate FIPS.
Altri pacchetti di controllo (inclusi IL4 e IL5): chiavi e chiavi di proprietà di Google e gestite da Google e altre opzioni di crittografia.
- Le chiavi di proprietà e gestite da Google forniscono la crittografia in transito e at-rest convalidata da FIPS 140-2 per impostazione predefinita per tutti i servizi Google Cloud.
- Cloud Key Management Service (Cloud KMS): Assured Workloads supporta Cloud KMS. Cloud KMS copre tutti i prodotti e i servizi Google Cloud per impostazione predefinita, fornendo crittografia in transito e crittografia at-rest convalidata FIPS 140-2.
- Chiavi di crittografia gestite dal cliente (CMEK): Assured Workloads supporta le chiavi CMEK.
- Gestore di chiavi esterne Cloud (Cloud EKM) Assured Workloads supporta Cloud EKM.
- Importazione chiavi

Strategie di crittografia

Questa sezione descrive le strategie di crittografia di Assured Workloads.

Creazione CMEK Assured Workloads

CMEK ti consente di avere controlli avanzati sui tuoi dati e sulla gestione delle chiavi, in quanto ti consente di gestire l'intero ciclo di vita delle chiavi, dalla creazione all'eliminazione. Questa funzionalità è fondamentale per supportare la cancellazione crittografica in Cloud Computing SRG.

Servizi

Servizi integrati con CMEK

CMEK copre i seguenti servizi, che archiviano i dati dei clienti per CJIS.

Altri servizi: gestione delle chiavi personalizzata

Per i servizi che non sono integrati con CMEK o per i clienti il cui controllo i pacchetti non richiedono CMEK, i clienti di Assured Workloads per utilizzare le chiavi Cloud Key Management Service gestite da Google. Questa opzione è offerta al fine di offrire ai clienti ulteriori opzioni di gestione delle chiavi le esigenze della tua organizzazione. Al momento, l'integrazione CMEK è limitata ai servizi inclusi nell'ambito che supportano le funzionalità CMEK. KMS gestito da Google è un metodo di crittografia accettabile poiché copre per impostazione predefinita tutti i prodotti e i servizi Google Cloud, fornendo la crittografia convalidata FIPS 140-2 in transito e at-rest.

Per altri prodotti supportati da Assured Workloads, consulta Prodotti supportati dal pacchetto di controlli.

Ruoli di gestione chiave

Gli amministratori e gli sviluppatori in genere supportano meglio la conformità e la sicurezza attraverso la gestione delle chiavi e separazione dei compiti. Ad esempio, mentre gli sviluppatori potrebbero avere accesso alla cartella delle risorse Assured Workloads gli amministratori hanno accesso al progetto di gestione delle chiavi CMEK.

Amministratori

Gli amministratori di solito controllano l'accesso al progetto di crittografia delle risorse chiave al suo interno. Gli amministratori sono responsabili dell'allocazione degli ID risorsa principali agli sviluppatori per criptare le risorse. Questa pratica separa la gestione delle chiavi dal processo di sviluppo e fornisce la amministratori con la possibilità di gestire le chiavi di crittografia centralmente in CMEK progetto.

Gli amministratori della sicurezza possono utilizzare le seguenti strategie per le chiavi di crittografia con Assured Workloads:

Sviluppatori

Durante lo sviluppo, quando esegui il provisioning e la configurazione di Google Cloud nell'ambito per le risorse che richiedono una chiave di crittografia CMEK, richiedi l'ID risorsa dal tuo amministratore. Se non utilizzi le chiavi CMEK, ti consigliamo di utilizzare le chiavi di proprietà di Google e gestite da Google per assicurarti che i dati siano criptati.

Il metodo di richiesta viene determinato dalla tua organizzazione nell'ambito della documentazione processi e procedure di sicurezza.

Passaggi successivi

Scopri come creare una cartella Assured Workloads.
Scopri quali prodotti sono supportati per ogni pacchetto di controllo.