支持密钥管理的合规性

本页面介绍了如何支持密钥管理合规性 对 Assured Workloads 进行加密。

概览

加密密钥管理有助于支持 Google Cloud 资源的监管合规性。Assured Workloads 通过加密 方式：

1. CJIS 或 ITAR：强制要求使用客户管理的密钥并且强制要求职责分离，以及影响级别 4 (IL4) 和影响级别 5 (IL5) 的可选密钥。

   1. CMEK：Assured Workloads 规定必须使用由客户管理的 加密密钥 (CMEK) 以支持这些控制包。
   2. 密钥管理项目：Assured Workloads 会创建一个密钥管理项目以符合 NIST 800-53 安全控制措施，并且密钥管理项目与资源文件夹分离，以便在安全管理员和开发者之间建立职责分离机制。

   3. 密钥环：Assured Workloads 还会创建一个密钥环来存储密钥。CMEK 项目将密钥环创建限制为您选择的合规位置。创建密钥环后，您就可以管理创建或导入加密密钥了。强大的加密、密钥管理和职责分离全都支持在 Google Cloud 上产生积极的安全性和合规性结果。

2. 其他控制软件包（包括 IL4 和 IL5）：Google 拥有的密钥和 Google 管理的密钥以及 加密选项

   • 默认开启的 Google 拥有且由 Google 管理的密钥向所有 Google Cloud 服务提供通过 FIPS 140-2 验证的传输加密方法和静态加密方法。
   • Cloud Key Management Service (Cloud KMS)： Assured Workloads 支持 Cloud KMS。 Cloud KMS 涵盖所有 Google Cloud 产品和服务， 默认提供通过 FIPS 140-2 验证的传输加密 静态加密
   • 客户管理的加密密钥 (CMEK)：Assured Workloads 支持 CMEK。
   • Cloud External Key Manager (Cloud EKM)：Assured Workloads 支持 Cloud EKM。
   • 密钥导入

加密策略

本部分介绍 Assured Workloads 加密策略。

Assured Workloads CMEK 创建

借助 CMEK，您可以通过 让您能够管理从创建到密钥的完整生命周期 删除。此功能对于支持云计算 SRG 中的加密擦除要求至关重要。

服务

与 CMEK 集成的服务

CMEK 涵盖以下服务，这些服务存储 CJIS 的客户数据。

• Cloud Storage
• 永久性磁盘
• BigQuery

其他服务：自定义密钥管理

适用于未与 CMEK 集成的服务，或拥有控制权的客户 不需要 CMEK，而 Assured Workloads 客户可以 选择使用 Google 管理的 Cloud Key Management Service 密钥。提供此选项是为了为客户提供额外的密钥管理选项，以满足您的组织需求。如今，CMEK 集成限制为支持 CMEK 功能的范围内服务。Google 管理的 KMS 是一种可接受的加密方法，因为它默认涵盖所有 Google Cloud 产品和服务，并提供经过 FIPS 140-2 验证的在传输过程中加密和静态加密。

如需了解 Assured Workloads 支持的其他产品，请参阅 控制套餐支持的产品。

密钥管理角色

管理员和开发者通常通过密钥管理和职责分离来支持合规性和安全最佳实践。例如，开发者可能有权访问 Assured Workloads 资源文件夹，而管理员则有权访问 CMEK 密钥管理项目。

管理员

管理员通常控制对加密项目的访问权限， 关键资源。管理员负责分配 密钥资源 ID 提供给开发者，用于加密资源。这种做法将密钥的管理与开发流程分开，可让安全管理员在 CMEK 项目中集中管理加密密钥。

安全管理员可以将以下加密密钥策略用于 Assured Workloads：

• Cloud KMS
• 客户管理的加密密钥 (CMEK)
• Cloud External Key Manager (Cloud EKM)
• 密钥导入

开发者

在开发期间，当您预配和配置范围内 Google Cloud 资源（需要使用 CMEK 加密密钥）时，应向管理员请求该密钥的资源 ID。如果您不使用 CMEK，我们建议您使用 Google 拥有的密钥和 Google 管理的密钥可确保数据加密。

请求方法由您的组织作为记录的安全流程和过程的一部分确定。

后续步骤

• 了解如何创建 Assured Workloads 文件夹。
• 了解哪些产品受支持 每个控制包