La separación de obligaciones es el concepto de garantizar que un principal no tenga todos los permisos necesarios para completar una acción maliciosa. En Cloud Key Management Service, esto podría ser una acción como usar una clave para acceder y desencriptar datos a los que el usuario no tiene un motivo válido para acceder.
La separación de obligaciones es un control empresarial que se suele usar en organizaciones más grandes, y cuyo propósito es ayudar a evitar incidentes y errores de seguridad o privacidad. Se considera una recomendación.
En Cloud KMS, la separación de obligaciones requiere una distinción estricta entre los siguientes roles:
- Administradores de claves: Son las entidades principales autorizadas para administrar los ciclos de vida de las claves, incluidos la creación, el borrado, la rotación y los cambios de estado. Por ejemplo, los usuarios con el rol de administrador de Cloud KMS.
- Usuario clave: Son las entidades principales autorizadas para usar claves, incluidas las de encriptación, desencriptación, firma o verificación de firma. Por ejemplo, los usuarios con el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS.
Cuando usas claves de Cloud KMS para las claves de encriptación administradas por el cliente, te recomendamos que la cuenta de servicio sea la única principal autorizada para usar la clave para la encriptación y la desencriptación. Para obtener más información sobre cómo las integraciones de CMEK controlan el acceso a los recursos, consulta Cómo los servicios integrados en CMEK controlan el acceso a los recursos.
Para evitar que se eluda la separación de tareas, no otorgues a los principales roles básicos amplios, como Propietario (roles/owner), que contiene permisos administrativos y criptográficos. Puedes usar el panel Métricas de encriptación (Versión preliminar) para identificar las claves que no cumplen con las recomendaciones de separación de tareas. Para obtener más información, consulta Cómo ver las métricas de encriptación.
Para obtener más información sobre cómo usar los roles de IAM de forma segura, consulta Usa IAM de forma segura.
Modelos de administración de claves
Cloud KMS admite dos modelos principales para aplicar la separación de tareas: administración de claves centralizada y administración de claves delegada. Estos modelos de administración de claves se pueden usar por separado o en combinación. Por ejemplo, una organización podría optar por usar un modelo de administración de claves centralizado para los entornos de producción y un modelo de administración de claves dedicado para los entornos inferiores que se usan para el desarrollo y las pruebas.
En la siguiente tabla, se comparan los modelos de administración de claves centralizados y delegados, y se te ayuda a decidir cuál es el mejor para tus necesidades.
| Área | Centralizada (a nivel de la carpeta) | Delegado (a nivel del proyecto) |
|---|---|---|
| Ubicación de la clave | Se almacena en un proyecto de claves dedicado, por lo general, por carpeta. | Se almacena en el mismo proyecto que el recurso que protege la clave. |
| Método de separación | Límites del proyecto: Las claves y los recursos que protegen se encuentran en proyectos diferentes. | Roles separados: Separación estricta de roles de IAM para que ninguna principal pueda administrar y usar una clave. |
| Cultura empresarial | Es ideal para organizaciones altamente reguladas con equipos centrales dedicados a la seguridad o a las criptomonedas. | Es ideal para organizaciones que priorizan la agilidad de los desarrolladores y la autoridad descentralizada. |
| Variables principales | Alto aislamiento y supervisión centralizada | Se simplificó la administración de cuotas y se redujo el esfuerzo operativo. |
Administración de claves delegada
El modelo de administración de claves delegada o "del mismo proyecto" se recomienda para las organizaciones que priorizan la agilidad de los desarrolladores y buscan reducir el "bucle" entre los equipos centrales de seguridad y los desarrolladores.
En el modelo delegado, tus CMEK y otras claves se almacenan en el mismo proyecto que los recursos que protegen. Para aplicar la separación de obligaciones en la administración de claves delegadas, es necesario mantener los roles de IAM estrictamente separados.
Puedes habilitar Autokey para proyectos (versión preliminar) en un proyecto o una carpeta para permitir la creación automática de claves con el modelo de administración de claves delegadas. Para obtener más información, consulta Cómo habilitar la clave automática para la administración de claves delegada.
Administración de claves centralizada
El modelo de administración de claves centralizado o de "proyecto dedicado" se recomienda para organizaciones con equipos de seguridad centralizados o que requieren un aislamiento estricto del material de claves de los entornos de aplicaciones.
En el modelo centralizado, tus claves de CMEK y otras claves se almacenan en proyectos de claves dedicados, separados de los recursos que protegen. Por lo general, esto significa que cada carpeta tiene su propio proyecto de claves dedicado para contener las claves que protegen los recursos en toda la carpeta. Este proyecto de claves exclusivo lo administra un equipo de seguridad central, que tiene permisos de administración de claves en el proyecto de claves, pero no puede acceder a los proyectos que contienen los recursos protegidos por esas claves.
Puedes habilitar Autokey en una carpeta para permitir la creación automática de claves con el modelo de administración de claves centralizado. Para obtener más información, consulta Cómo configurar Autokey para la administración centralizada de claves.
Automatización y supervisión del cumplimiento
Google Cloud proporciona las siguientes herramientas para automatizar y supervisar tus límites de seguridad:
- Clave automática de Cloud KMS: La clave automática admite modelos de administración de claves centralizados y delegados (vista previa). En ambos casos, automatiza la separación de tareas otorgando automáticamente el rol de uso de claves al agente de servicio requerido, no a la persona que solicita la clave. Autokey se diseñó para admitir canalizaciones de infraestructura como código que no necesitan privilegios elevados para la creación de claves.
- Security Command Center: Supervisa los resultados de Separación de roles de KMS para detectar cualquier principal, incluido un propietario del proyecto o una cuenta de servicio de Google, que posea permisos administrativos y criptográficos en una sola clave.
Métricas de encriptación con CMEK: Usa el panel para verificar la alineación con las prácticas de separación de tareas en toda la organización.