Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Mendukung kepatuhan terhadap pengelolaan kunci

Halaman ini memberikan informasi tentang dukungan kepatuhan terhadap pengelolaan kunci menggunakan enkripsi untuk Assured Workloads.

Ringkasan

Pengelolaan kunci enkripsi sangat penting untuk mendukung kepatuhan terhadap peraturan resource Google Cloud . Assured Workloads mendukung kepatuhan melalui enkripsi dengan cara berikut.

CJIS, ITAR, dan IL5: Kunci yang dikelola pelanggan dan pemisahan tugas yang diwajibkan:

CMEK: Assured Workloads mewajibkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mendukung paket kontrol ini.
Project pengelolaan kunci: Assured Workloads membuat project pengelolaan kunci agar selaras dengan kontrol keamanan NIST 800-53. Project pengelolaan kunci dipisahkan dari folder resource untuk menetapkan pemisahan tugas antara administrator keamanan dan developer.
Key ring: Assured Workloads juga membuat key ring untuk menyimpan kunci Anda. Project CMEK membatasi pembuatan key ring ke lokasi yang sesuai yang Anda pilih. Setelah membuat keyring, Anda mengelola pembuatan atau pengimporan kunci enkripsi. Enkripsi yang kuat, pengelolaan kunci, dan pemisahan tugas mendukung hasil keamanan dan kepatuhan yang positif di Google Cloud.

Catatan: Setelah Assured Workloads membuat key ring, Anda harus membuat kunci CMEK. Kecuali jika paket kontrol Anda mewajibkan strategi kunci enkripsi tertentu, Anda dapat menggunakan layanan pengelolaan kunci Google, termasuk Cloud Key Management Service, Cloud External Key Manager, atau CMEK. Anda juga dapat menggunakan Google-owned and Google-managed encryption keys default, yang telah divalidasi FIPS.

Paket kontrol lainnya (termasuk IL4): Google-owned and Google-managed encryption keys dan opsi enkripsi lainnya:

Google-owned and Google-managed encryption keys menyediakan enkripsi dalam pengiriman dan dalam penyimpanan yang tervalidasi dengan FIPS 140-2 secara default untuk semua layanan Google Cloud .
Cloud Key Management Service (Cloud KMS): Assured Workloads mendukung Cloud KMS. Cloud KMS mencakup semua produk dan layanan secara default, yang menyediakan enkripsi dalam transit dan enkripsi dalam penyimpanan yang divalidasi FIPS 140-2. Google Cloud
Kunci enkripsi yang dikelola pelanggan (CMEK): Assured Workloads mendukung CMEK untuk paket kontrol seperti IL4, yang CMEK-nya bersifat opsional.
Cloud External Key Manager (Cloud EKM) Assured Workloads mendukung Cloud EKM.
Impor kunci

Strategi enkripsi

Bagian ini menjelaskan strategi enkripsi Assured Workloads.

Pembuatan CMEK Assured Workloads

CMEK memungkinkan Anda memiliki kontrol lanjutan atas data dan pengelolaan kunci dengan memungkinkan Anda mengelola siklus proses kunci secara menyeluruh, mulai dari pembuatan hingga penghapusan. Kemampuan ini sangat penting untuk mendukung persyaratan penghapusan kriptografis dalam SRG Cloud Computing.

Layanan

Layanan yang terintegrasi dengan CMEK

CMEK mencakup layanan berikut, yang menyimpan data pelanggan untuk CJIS.

Layanan lainnya: Pengelolaan Kunci Kustom

Untuk layanan yang tidak terintegrasi dengan CMEK, atau untuk pelanggan yang paket kontrolnya tidak memerlukan CMEK, pelanggan Assured Workloads memiliki opsi untuk menggunakan kunci Cloud Key Management Service yang dikelola Google. Opsi ini ditawarkan untuk memberikan opsi tambahan kepada pelanggan terkait pengelolaan kunci yang sesuai dengan kebutuhan organisasi Anda. Saat ini, integrasi CMEK terbatas pada layanan dalam cakupan yang mendukung kemampuan CMEK. KMS yang dikelola Google adalah metode enkripsi yang dapat diterima karena mencakup semua produk dan layanan secara default, yang menyediakan enkripsi dalam pengiriman dan dalam penyimpanan yang divalidasi FIPS 140-2. Google Cloud

Untuk produk lain yang didukung oleh Assured Workloads, lihat Produk yang didukung menurut paket kontrol.

Peran pengelolaan kunci

Administrator dan developer biasanya mendukung kepatuhan dan praktik terbaik keamanan melalui pengelolaan kunci dan pemisahan tugas. Misalnya, meskipun developer mungkin memiliki akses ke folder resource Assured Workloads, administrator memiliki akses ke project pengelolaan kunci CMEK.

Administrator

Administrator biasanya mengontrol akses ke project enkripsi dan resource utama di dalamnya. Administrator bertanggung jawab untuk mengalokasikan ID resource utama kepada developer untuk mengenkripsi resource. Praktik ini memisahkan pengelolaan kunci dari proses pengembangan dan memberikan kemampuan kepada administrator keamanan untuk mengelola kunci enkripsi secara terpusat dalam project CMEK.

Administrator keamanan dapat menggunakan strategi kunci enkripsi berikut dengan Assured Workloads:

Developer

Selama pengembangan, saat Anda menyediakan dan mengonfigurasi resource Google Cloud dalam cakupan yang memerlukan kunci enkripsi CMEK, Anda meminta ID resource kunci dari administrator Anda. Jika Anda tidak menggunakan CMEK, sebaiknya gunakan Google-owned and Google-managed encryption keys untuk memastikan data dienkripsi.

Metode permintaan ditentukan oleh organisasi Anda sebagai bagian dari proses dan prosedur keamanan yang terdokumentasi.

Langkah berikutnya

Pelajari cara membuat folder Assured Workloads.
Pelajari produk yang didukung untuk setiap paket kontrol.