סקירה כללית על הצדקות גישה למפתחות

בדף הזה מובאת סקירה כללית על הצדקות גישה למפתחות. ההצדקות לגישה למפתחות הן חלק מהמחויבות ארוכת הטווח של Google לשקיפות, לאמון המשתמשים ולבעלות הלקוחות על הנתונים שלהם. התכונה 'הצדקות לגישה למפתחות' מנחה את המערכות של Google ליצור קודי הצדקה לגישה לכל פעולה קריפטוגרפית שכוללת מפתחות רשומים של Cloud Key Management Service‏ (Cloud KMS).

התכונה 'נימוקים לגישה למפתחות' פועלת לצד אישורי גישה וAccess Transparency באופן הבא: אישורי גישה מאפשרים לכם לאשר בקשות של צוות Google לגשת לנתוני לקוחות,‏ Access Transparency עוזרת לכם לגלות מתי בוצעה גישה לנתוני לקוחות, והתכונה 'נימוקים לגישה למפתחות' מספקת בקרת גישה למפתחות לכל האינטראקציות עם נתוני לקוחות במצב מנוחה שמוצפנים באמצעות מפתח שמנוהל על ידי הלקוח. ביחד, כל אחד מהמוצרים האלה מספק יכולות לניהול גישה שמאפשרות לכם לשלוט בבקשות אדמיניסטרטיביות לגישה לנתוני לקוחות ולקבל הקשר לגביהן.

סקירה כללית

התכונה Key Access Justifications (הצדקות לגישה למפתחות) מאפשרת להגדיר מדיניות לגבי מפתחות ב-Cloud Key Management Service‏ (Cloud KMS) כדי להציג, לאשר ולדחות בקשות לגישה למפתחות בהתאם לקוד ההצדקה שסופק. אפשר להגדיר מדיניות של הצדקות לגישה למפתחות אצל שותפים נבחרים לניהול מפתחות חיצוניים מחוץ ל- Google Cloud , כך שהאכיפה תתבצע באופן בלעדי על ידי מנהל המפתחות החיצוני ולא על ידי Cloud KMS.

בהתאם לחבילת אמצעי הבקרה של Assured Workloads שתבחרו, התכונות הבאות של Key Access Justifications יהיו זמינות:

  • בחבילות בקרה אזוריות נבחרות, יומני Key Access Transparency מתעדים את קודי ההצדקה האלה ביומני הביקורת של Cloud KMS.
  • במקרים מסוימים של חבילות בקרה אזוריות, רגולטוריות או ריבוניות, ההצדקות לגישה למפתחות מאפשרות לכם להגדיר מדיניות לגבי המפתחות כדי לאשר או לדחות בקשות לגישה למפתחות בהתאם לקוד ההצדקה שסופק. חלק מהגבולות האזוריים של Data Boundary מספקים את התכונה הזו בנוסף ל-Access Transparency של מפתחות.
  • בחלק מחבילות השליטה הריבונית, אפשר להשתמש בשותפים חיצוניים נתמכים לניהול מפתחות כדי להגדיר מדיניות של הצדקות לגישה למפתחות מחוץ ל-Google Cloud. האכיפה של כללי המדיניות האלה מתבצעת באופן בלעדי על ידי מנהל המפתחות החיצוני ולא על ידי Cloud KMS.

בנוסף לתכונות האלה, חבילת הבקרה של Assured Workloads שתבחרו תקבע גם אילו מסוגי המפתחות הבאים של Cloud KMS יהיו זמינים:

איך פועלת הצפנה במנוחה

Google Cloud הצפנה במנוחה פועלת על ידי הצפנת הנתונים שמאוחסנים ב-Google Cloud באמצעות מפתח הצפנה שנמצא מחוץ לשירות שבו הנתונים מאוחסנים. לדוגמה, אם מצפינים נתונים ב-Cloud Storage, השירות מאחסן רק את המידע המוצפן ששמרתם, בעוד שהמפתח ששימש להצפנת הנתונים מאוחסן ב-Cloud KMS (אם אתם משתמשים במפתחות הצפנה בניהול הלקוח (CMEK)) או במנהל המפתחות החיצוני (אם אתם משתמשים ב-Cloud EKM).

כשמשתמשים בשירות, רוצים שהאפליקציות ימשיכו לפעול כמו שמתואר, ולכן צריך לפענח את הנתונים. Google Cloud לדוגמה, אם מריצים שאילתה באמצעות BigQuery, שירות BigQuery צריך לפענח את הנתונים כדי שיוכל לנתח אותם. ‫BigQuery עושה זאת על ידי שליחת בקשת פענוח למנהל המפתחות כדי לקבל את הנתונים הנדרשים.

למה מישהו ירצה לגשת למפתחות שלי?

לרוב, מערכות אוטומטיות ניגשות למפתחות ההצפנה שלכם בזמן שהן מטפלות בבקשות ובעומסי העבודה שלכם ב- Google Cloud.

בנוסף לגישות שמתחילות על ידי הלקוח ולגישות של מערכות אוטומטיות, יכול להיות שעובד של Google יצטרך להתחיל פעולות שמשתמשות במפתחות ההצפנה שלכם מהסיבות הבאות:

  • גיבוי הנתונים: יכול להיות ש-Google תצטרך לגשת למפתחות ההצפנה שלכם כדי לגבות את הנתונים לצורך תוכנית התאוששות מאסון.

  • פתרון בקשת תמיכה: יכול להיות שעובד של Google יצטרך לפענח את הנתונים שלכם כדי למלא את ההתחייבות החוזית לספק תמיכה.

  • ניהול מערכות ופתרון בעיות: אנשי Google יכולים ליזום פעולות שמשתמשות במפתחות ההצפנה שלכם כדי לבצע ניפוי באגים טכניים שנדרש לבקשת תמיכה או לחקירה מורכבות. יכול להיות שתידרש גישה גם כדי לתקן כשל באחסון או פגם בנתונים.

  • הבטחת תקינות הנתונים ועמידה בדרישות, והגנה מפני הונאה וניצול לרעה: יכול להיות ש-Google תצטרך לפענח נתונים מהסיבות הבאות:

    • כדי לשמור על הבטיחות והאבטחה של הנתונים והחשבונות שלכם.
    • כדי לוודא שאתם משתמשים בשירותי Google בהתאם לתנאים ולהגבלות שלGoogle Cloud .
    • כדי לחקור תלונות של משתמשים ולקוחות אחרים, או סימנים אחרים להתנהלות פוגעת.
    • כדי לוודא שהשימוש בשירותי Google Cloud נעשה בהתאם לדרישות הרגולטוריות הרלוונטיות, כמו תקנות איסור הלבנת הון.

  • שמירה על אמינות המערכת: צוות Google יכול לבקש גישה כדי לבדוק אם הפסקה זמנית בשירות משפיעה עליכם. יכול להיות שנבקש גישה גם כדי לוודא שניתן לבצע גיבוי ושחזור במקרה של הפסקות זמניות בשירות או כשלים במערכת.

רשימת קודי ההצדקה מופיעה במאמר בנושא קודי נימוקים להצדקת גישה למפתחות.

ניהול הגישה למפתחות

התכונה 'הצדקות גישה למפתחות' מספקת סיבה בכל פעם שיש גישה למפתחות שמנוהלים על ידי Cloud KMS או למפתחות שמנוהלים באופן חיצוני. כשמשתמשים במפתח שלכם לכל פעולה קריפטוגרפית, אתם מקבלים הצדקה לגישה מבוססת-שירות (בשירותים נתמכים) ולגישה ישירה ל-API.

אחרי שמצרפים את פרויקטי המפתח ל-Key Access Justifications, מתחילים לקבל באופן מיידי הצדקות לכל גישה למפתח עבור מפתחות חדשים. אם יש לכם מפתחות קיימים, תקבלו הצדקות לכל גישה למפתח תוך 24 שעות.

הפעלת הצדקות גישה למפתחות

אפשר להשתמש ב'הצדקות לגישה למפתח' רק עם Assured Workloads, והתכונה מופעלת כברירת מחדל כשיוצרים תיקייה חדשה של Assured Workloads שמוגדרת לחבילת אמצעי בקרה שכוללת הצדקות לגישה למפתח. מידע נוסף זמין במאמר סקירה כללית על Assured Workloads.

החרגות של הצדקות גישה למפתחות

הצדקות גישה למפתחות חלות רק במצבים הבאים:

  • פעולות על נתונים מוצפנים: כדי לדעת אילו שדות בשירות מסוים מוצפנים באמצעות מפתח בניהול הלקוח, כדאי לעיין במסמכי התיעוד של השירות.
  • המעבר מנתונים באחסון לנתונים בשימוש: אמנם Google ממשיכה להחיל אמצעי הגנה על הנתונים בשימוש, אבל ההצדקות לגישה למפתחות חלות רק על המעבר מנתונים באחסון לנתונים בשימוש.

התכונות הבאות של Compute Engine ושל Persistent Disk פטורות כשמשתמשים בהן עם CMEK:

הצדקות גישה למפתחות עם אישור גישה

עבור עומסי עבודה שמופעל בהם אישור גישה עם מפתח חתימה בהתאמה אישית, גם הצדקות לגישה למפתח יחולו על עיבוד בקשות חתומות לאישור גישה. אפשר לעבד בקשות לאישורי גישה רק אם ההצדקה המשויכת לגישה למפתח מורשית גם על ידי מדיניות ההצדקות לגישה למפתח. כשלקוח חותם על בקשת אישור גישה, ההצדקה שמשויכת לבקשה משתקפת בבקשת החתימה לאישור.

כל הגישות לנתוני לקוחות שמתרחשות מתוך בקשת אישור גישה חתומה שאושרה יופיעו ביומני Access Transparency שמקושרים לבקשת האישור.

המאמרים הבאים