I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Supporto per la conformità con la gestione delle chiavi

Questa pagina fornisce informazioni sul supporto della conformità alla gestione delle chiavi utilizzando la crittografia per Assured Workloads.

Panoramica

La gestione delle chiavi di crittografia è fondamentale per supportare la conformità normativa delle risorse Google Cloud . Assured Workloads supporta la conformità tramite la crittografia nei seguenti modi.

CJIS, ITAR e IL5: chiavi gestite dal cliente e separazione dei compiti obbligatorie:

CMEK: Assured Workloads impone l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) per supportare questi pacchetti di controlli.
Progetto di gestione delle chiavi: Assured Workloads crea un progetto di gestione delle chiavi in linea con i controlli di sicurezza NIST 800-53. Il progetto di gestione delle chiavi è separato dalle cartelle delle risorse per stabilire la separazione dei compiti tra gli amministratori della sicurezza e gli sviluppatori.
Keyring: Assured Workloads crea anche un keyring per archiviare le tue chiavi. Il progetto CMEK limita la creazione di chiavi automatizzate alle località conformi che selezioni. Dopo aver creato il portachiavi, gestisci la creazione o l'importazione delle chiavi di crittografia. Crittografia avanzata, gestione delle chiavi e separazione dei compiti contribuiscono a risultati positivi in termini di sicurezza e conformità su Google Cloud.

Nota: dopo che Assured Workloads ha creato il keyring, devi creare la chiave CMEK. A meno che il pacchetto di controllo non imponga una determinata strategia per le chiavi di crittografia, puoi utilizzare qualsiasi servizio di gestione delle chiavi di Google, tra cui Cloud Key Management Service, Cloud External Key Manager o CMEK. Puoi anche utilizzare le chiavi di crittografia predefinite Google-owned and Google-managed encryption keys, che sono convalidate da FIPS.

Altri pacchetti di controllo (incluso IL4): Google-owned and Google-managed encryption keys e altre opzioni di crittografia:

Google-owned and Google-managed encryption keys fornisce la crittografia in transito e at-rest con validazione FIPS 140-2 attivata per impostazione predefinita a tutti i servizi Google Cloud .
Cloud Key Management Service (Cloud KMS): Assured Workloads supporta Cloud KMS. Cloud KMS copre tutti i prodotti e servizi per impostazione predefinita fornendo la crittografia in transito e at-rest convalidata FIPS 140-2. Google Cloud
Chiavi di crittografia gestite dal cliente (CMEK): Assured Workloads supporta le CMEK per i pacchetti di controllo come IL4, per i quali le CMEK sono facoltative.
Cloud External Key Manager (Cloud EKM) Assured Workloads supporta Cloud EKM.
Importazione delle chiavi

Strategie di crittografia

Questa sezione descrive le strategie di crittografia di Assured Workloads.

Creazione di chiavi CMEK di Assured Workloads

CMEK ti consente di avere controlli avanzati sulla gestione dei dati e delle chiavi, permettendoti di gestire l'intero ciclo di vita delle chiavi, dalla creazione all'eliminazione. Questa funzionalità è fondamentale per supportare i requisiti di cancellazione crittografica nel Cloud Computing SRG.

Servizi

Servizi integrati con CMEK

CMEK copre i seguenti servizi, che archiviano i dati dei clienti per il CJIS.

Altri servizi: gestione delle chiavi personalizzata

Per i servizi non integrati con CMEK o per i clienti i cui pacchetti di controllo non richiedono CMEK, i clienti di Assured Workloads hanno la possibilità di utilizzare le chiavi Cloud Key Management Service gestite da Google. Questa opzione viene offerta per fornire ai clienti ulteriori opzioni per la gestione delle chiavi in modo da soddisfare le esigenze della tua organizzazione. Oggi, l'integrazione di CMEK è limitata ai servizi inclusi nell'ambito che supportano le funzionalità CMEK. KMS gestito da Google è un metodo di crittografia accettabile in quanto copre tutti i prodotti e servizi per impostazione predefinita, fornendo la crittografia convalidata FIPS 140-2 in transito e a riposo. Google Cloud

Per altri prodotti supportati da Assured Workloads, consulta Prodotti supportati per pacchetto di controlli.

Ruoli di gestione delle chiavi

Amministratori e sviluppatori in genere supportano le best practice di conformità e sicurezza tramite la gestione delle chiavi e la separazione dei compiti. Ad esempio, mentre gli sviluppatori potrebbero avere accesso alla cartella delle risorse Assured Workloads, gli amministratori hanno accesso al progetto di gestione delle chiavi CMEK.

Amministratori

In genere, gli amministratori controllano l'accesso al progetto di crittografia e alle risorse chiave al suo interno. Gli amministratori sono responsabili dell'allocazione degli ID risorsa chiave agli sviluppatori per criptare le risorse. Questa pratica separa la gestione delle chiavi dal processo di sviluppo e offre agli amministratori della sicurezza la possibilità di gestire le chiavi di crittografia centralmente nel progetto CMEK.

Gli amministratori della sicurezza possono utilizzare le seguenti strategie per le chiavi di crittografia con Assured Workloads:

Sviluppatori

Durante lo sviluppo, quando esegui il provisioning e la configurazione delle risorse Google Cloud nell'ambito che richiedono una chiave di crittografia CMEK, richiedi l'ID risorsa della chiave all'amministratore. Se non utilizzi CMEK, ti consigliamo di utilizzare Google-owned and Google-managed encryption keys per garantire la crittografia dei dati.

Il metodo di richiesta è determinato dalla tua organizzazione nell'ambito delle procedure e dei processi di sicurezza documentati.

Passaggi successivi

Scopri come creare una cartella Assured Workloads.
Scopri quali prodotti sono supportati per ogni pacchetto di controlli.