תמיכה בעמידה בדרישות באמצעות ניהול מפתחות
בדף הזה מוסבר איך אפשר לתמוך בתאימות לניהול מפתחות באמצעות הצפנה ב-Assured Workloads.
סקירה כללית
ניהול מפתחות הצפנה הוא מרכיב חיוני לתמיכה בתאימות לתקנות של משאבי Google Cloud . Assured Workloads תומך בתאימות באמצעות הצפנה בדרכים הבאות.
CJIS, ITAR ו-IL5: נדרשים מפתחות בניהול הלקוח והפרדת תפקידים:
- CMEK: כדי לתמוך בחבילות הבקרה האלה, Assured Workloads מחייב שימוש במפתחות הצפנה בניהול הלקוח (CMEK).
- פרויקט לניהול מפתחות: Assured Workloads יוצר פרויקט לניהול מפתחות בהתאם לאמצעי האבטחה של NIST 800-53. הפרויקט לניהול מפתחות מופרד מתיקיות המשאבים כדי ליצור הפרדת תפקידים בין אדמינים של אבטחה לבין מפתחים.
Key ring: Assured Workloads יוצר גם key ring לאחסון המפתחות. פרויקט ה-CMEK מגביל את יצירת אוסף המפתחות למיקומים תואמים שאתם בוחרים. אחרי שיוצרים את מחזיק המפתחות, אפשר ליצור מפתחות הצפנה או לייבא אותם. הצפנה חזקה, ניהול מפתחות והפרדת תפקידים תומכים בתוצאות חיוביות של אבטחה ותאימות ב- Google Cloud.
חבילות אחרות של אמצעי בקרה (כולל IL4): Google-owned and Google-managed encryption keys ואפשרויות הצפנה אחרות:
- Google-owned and Google-managed encryption keys מספק הצפנה מאומתת של FIPS 140-2 בזמן ההעברה ובזמן האחסון, שמופעלת כברירת מחדל בכל שירותי Google Cloud .
- Cloud Key Management Service (Cloud KMS): Assured Workloads תומך ב-Cloud KMS. ב-Cloud KMS, כל Google Cloud המוצרים והשירותים מסופקים כברירת מחדל עם הצפנה מאומתת של נתונים במעבר והצפנה מאומתת של נתונים במנוחה, בהתאם לתקן FIPS 140-2.
- מפתחות הצפנה בניהול הלקוח (CMEK): Assured Workloads תומך ב-CMEK לחבילות בקרה כמו IL4, שבהן השימוש ב-CMEK הוא אופציונלי.
- Cloud External Key Manager (Cloud EKM) Assured Workloads תומך ב-Cloud EKM.
- ייבוא מפתחות
שיטות הצפנה
בקטע הזה מתוארות אסטרטגיות ההצפנה של Assured Workloads.
יצירת CMEK ב-Assured Workloads
CMEK מאפשר לכם לשלוט באופן מתקדם בנתונים ובניהול המפתחות, כי אתם יכולים לנהל את מחזור החיים המלא של המפתחות, מהיצירה ועד למחיקה. היכולת הזו חשובה מאוד כדי לעמוד בדרישות של מחיקה קריפטוגרפית ב-Cloud Computing SRG.
שירותים
שירותים עם שילובי CMEK
ה-CMEK מכסה את השירותים הבאים, שבהם מאוחסנים נתוני לקוחות עבור CJIS.
שירותים אחרים: ניהול מפתחות בהתאמה אישית
לקוחות Assured Workloads יכולים להשתמש במפתחות Cloud Key Management Service בניהול Google בשירותים שלא משולבים עם CMEK, או אם חבילות הבקרה שלהם לא דורשות CMEK. האפשרות הזו מוצעת כדי לספק ללקוחות אפשרויות נוספות לניהול מפתחות, בהתאם לצרכים הארגוניים שלהם. נכון לעכשיו, שילוב CMEK מוגבל לשירותים שכלולים בהיקף שתומכים ביכולות CMEK. KMS בניהול Google היא שיטת הצפנה מקובלת, כי היא מכסה את כל מוצרי Google Cloud Google והשירותים שלה כברירת מחדל, ומספקת הצפנה עם אישור FIPS 140-2 בזמן העברה ובמצב מנוחה.
ברשימת המוצרים הנתמכים לפי חבילת אמצעי בקרה תוכלו לבדוק אילו מוצרים נוספים נתמכים על ידי Assured Workloads.
תפקידים לניהול מפתחות
אדמינים ומפתחים בדרך כלל תומכים בשיטות מומלצות בנושא תאימות ואבטחה באמצעות ניהול מפתחות והפרדת תפקידים. לדוגמה, למפתחים יכולה להיות גישה לתיקיית המשאבים של Assured Workloads, אבל לאדמינים יש גישה לפרויקט לניהול מפתחות CMEK.
מנהלי מערכת
אדמינים בדרך כלל שולטים בגישה לפרויקט ההצפנה ולמשאבי המפתח שבו. האדמינים אחראים להקצאת מזהי משאבים מרכזיים למפתחים כדי להצפין משאבים. השיטה הזו מפרידה בין ניהול המפתחות לבין תהליך הפיתוח, ומאפשרת לאדמינים של האבטחה לנהל את מפתחות ההצפנה באופן מרכזי בפרויקט CMEK.
אדמינים של אבטחה יכולים להשתמש באסטרטגיות הבאות של מפתחות הצפנה עם Assured Workloads:
מפתחים
במהלך הפיתוח, כשמקצים ומגדירים משאבים בתחום Google Cloudשנדרש להם מפתח הצפנה מסוג CMEK, מבקשים מהאדמין את מזהה המשאב של המפתח. אם אתם לא משתמשים ב-CMEK, מומלץ להשתמש ב-Google-owned and Google-managed encryption keys כדי להבטיח שהנתונים מוצפנים.
שיטת הבקשה נקבעת על ידי הארגון כחלק מהתהליכים והנהלים המתועדים של האבטחה.
המאמרים הבאים
- איך יוצרים תיקיית Assured Workloads
- אילו מוצרים נתמכים בכל חבילת אמצעי בקרה