遵循金鑰管理的法規要求
本頁說明如何使用 Assured Workloads 的加密功能,支援金鑰管理法規遵循。
總覽
加密金鑰管理是支援 Google Cloud 資源法規遵循的基礎。Assured Workloads 支援透過加密機制確保法規遵循,方式如下。
CJIS、ITAR 和 IL5:強制規定客戶管理金鑰和職責劃分:
- CMEK:Assured Workloads 規定必須使用客戶自行管理的加密金鑰 (CMEK),才能支援這些控管套件。
- 金鑰管理專案:Assured Workloads 會建立金鑰管理專案,以符合 NIST 800-53 安全性控管措施。金鑰管理專案與資源資料夾分開,可在安全管理員和開發人員之間建立職責分離。
金鑰環:Assured Workloads 也會建立金鑰環來儲存金鑰。CMEK 專案會限制您只能在所選的相容位置建立金鑰環。建立金鑰環後,您就可以管理加密金鑰的建立或匯入作業。嚴密的加密機制、金鑰管理和職責分離,都有助於在 Google Cloud實現正面的安全和法規遵循結果。
其他控制項套件 (包括 IL4): Google-owned and Google-managed encryption keys 和其他加密選項:
- Google-owned and Google-managed encryption keys 預設會為所有 Google Cloud 服務提供經 FIPS 140-2 驗證的傳輸中和靜態加密機制。
- Cloud Key Management Service (Cloud KMS): Assured Workloads 支援 Cloud KMS。 Cloud KMS 預設涵蓋所有 Google Cloud 產品和服務,提供通過 FIPS 140-2 驗證的傳輸中加密和靜態加密。
- 客戶自行管理的加密金鑰 (CMEK): Assured Workloads 支援 CMEK,適用於 IL4 等控制套件,CMEK 為選用功能。
- Cloud External Key Manager (Cloud EKM) Assured Workloads 支援 Cloud EKM。
- 金鑰匯入
加密策略
本節說明 Assured Workloads 加密策略。
建立 Assured Workloads CMEK
啟用 CMEK 後,您就能管理從建立到刪除的完整金鑰生命週期,進而進一步控管資料和金鑰管理作業。這項功能對於支援雲端運算 SRG 中的加密清除要求至關重要。
服務
整合 CMEK 的服務
CMEK 涵蓋下列服務,這些服務會儲存 CJIS 的客戶資料。
其他服務:自訂金鑰管理
對於未與 CMEK 整合的服務,或控制套件不需要 CMEK 的客戶,Assured Workloads 客戶可以選擇使用 Google 代管的 Cloud Key Management Service 金鑰。我們提供這個選項,是為了讓客戶有更多金鑰管理方式,以符合貴機構的需求。目前 CMEK 整合僅限於適用範圍內的服務,這些服務支援 CMEK 功能。Google 管理的 KMS 是可接受的加密方法,因為它預設涵蓋所有 Google Cloud 產品和服務,並提供通過 FIPS 140-2 驗證的傳輸中和靜態資料加密。
如要瞭解 Assured Workloads 支援的其他產品,請參閱「依控制套件分類的支援產品」。
金鑰管理角色
管理員和開發人員通常會透過金鑰管理和職責區隔,支援法規遵循和安全性最佳做法。舉例來說,開發人員可能可以存取 Assured Workloads 資源資料夾,但管理員可以存取 CMEK 金鑰管理專案。
管理員
管理員通常會控管加密專案的存取權,以及專案中的金鑰資源。管理員負責將金鑰資源 ID 分配給開發人員,用於加密資源。這項做法可將金鑰管理與開發程序分開,並讓安全管理員在 CMEK 專案中集中管理加密金鑰。
安全管理員可以搭配 Assured Workloads 使用下列加密金鑰策略:
開發人員
在開發期間,當您佈建及設定需要 CMEK 加密金鑰的範圍內 Google Cloud資源時,請向管理員索取金鑰的資源 ID。如果您未使用 CMEK,建議使用Google-owned and Google-managed encryption keys ,確保資料經過加密。
要求方法由貴機構決定,是記錄在安全程序和程序中的一部分。
後續步驟
- 瞭解如何建立 Assured Workloads 資料夾。
- 瞭解每個控管套件支援哪些產品。