Die Aufgabentrennung ist ein Konzept, mit dem verhindert werden soll, dass ein Hauptkonto allein über alle Berechtigungen verfügt, die notwendig sind, um bösartige Aktionen ausführen zu können. Im Cloud Key Management Service könnte eine solche Aktion z. B. darin bestehen, dass ein Nutzer mit einem Schlüssel auf Daten zugreift und sie entschlüsselt, obwohl er eigentlich keinen Zugriff haben sollte.
Die Aufgabentrennung ist eine Form der Unternehmenssteuerung, die in der Regel in größeren Organisationen umgesetzt wird. Sie dient dazu, Sicherheits- und Datenschutzvorfälle sowie Fehler zu vermeiden und gilt als Best Practice.
In Cloud KMS erfordert die Aufgabentrennung eine strikte Unterscheidung zwischen den folgenden Rollen:
- Schlüsseladministratoren: Identitäten, die berechtigt sind, den Lebenszyklus von Schlüsseln zu verwalten, einschließlich Erstellung, Löschung, Rotation und Statusänderungen, z. B. Nutzer mit der Rolle Cloud KMS-Administrator.
- Schlüsselnutzer: Identitäten, die berechtigt sind, Schlüssel für Verschlüsselung, Entschlüsselung, Signierung oder Signaturprüfung zu verwenden, z. B. Nutzer mit der Rolle Cloud KMS CryptoKey Encrypter/Decrypter.
Wenn Sie Cloud KMS-Schlüssel für kundenverwaltete Verschlüsselungsschlüssel verwenden, empfehlen wir, dass das Dienstkonto das einzige Prinzipal ist, das zur Verwendung des Schlüssels für die Verschlüsselung und Entschlüsselung autorisiert ist. Weitere Informationen dazu, wie CMEK-Integrationen den Ressourcenzugriff verarbeiten, finden Sie unter So verarbeiten CMEK-integrierte Dienste den Ressourcenzugriff.
Um eine Umgehung der Aufgabentrennung zu verhindern, sollten Sie Hauptkonten keine umfassenden einfachen Rollen wie Inhaber (roles/owner) zuweisen, die sowohl administrative als auch kryptografische Berechtigungen enthalten. Mit dem Dashboard für Verschlüsselungsstatistiken (Vorschau) können Sie Schlüssel ermitteln, die nicht den Empfehlungen zur Trennung von Aufgaben entsprechen. Weitere Informationen finden Sie unter Verschlüsselungsmesswerte ansehen.
Weitere Informationen zur sicheren Verwendung von IAM-Rollen finden Sie unter IAM sicher verwenden.
Modelle für die Schlüsselverwaltung
Cloud KMS unterstützt zwei primäre Modelle zur Durchsetzung der Funktionstrennung: zentrale Schlüsselverwaltung und delegierte Schlüsselverwaltung. Diese Modelle für die Schlüsselverwaltung können separat oder in Kombination verwendet werden. Eine Organisation kann beispielsweise ein zentrales Schlüsselverwaltungsmodell für Produktionsumgebungen und ein dediziertes Schlüsselverwaltungsmodell für niedrigere Umgebungen für Entwicklung und Tests verwenden.
In der folgenden Tabelle werden die Modelle für die zentrale und die delegierte Schlüsselverwaltung verglichen. So können Sie entscheiden, welches Modell am besten für Ihre Anforderungen geeignet ist.
| Gebiet | Zentralisiert (auf Ordnerebene) | Delegiert (auf Projektebene) |
|---|---|---|
| Speicherort des Schlüssels | In einem dedizierten Schlüsselprojekt gespeichert, in der Regel pro Ordner. | Sie werden im selben Projekt wie die Ressource gespeichert, die durch den Schlüssel geschützt wird. |
| Trennverfahren | Projektgrenzen: Schlüssel und die Ressourcen, die sie schützen, befinden sich in verschiedenen Projekten. | Getrennte Rollen: Strikte Trennung von IAM-Rollen, sodass kein Hauptkonto einen Schlüssel sowohl verwalten als auch verwenden kann. |
| Unternehmenskultur | Ideal für stark regulierte Organisationen mit dedizierten zentralen Sicherheits- oder Kryptoteams. | Ideal für Organisationen, die Wert auf die Agilität von Entwicklern und eine dezentrale Entscheidungsbefugnis legen. |
| Primäre Faktoren | Hohe Isolation und zentrale Aufsicht. | Vereinfachte Kontingentverwaltung und weniger Betriebsaufwand. |
Delegierte Schlüsselverwaltung
Das delegierte oder „Same-Project“-Schlüsselverwaltungsmodell wird für Organisationen empfohlen, die die Flexibilität von Entwicklern priorisieren und den „Loop“ zwischen zentralen Sicherheitsteams und Entwicklern reduzieren möchten.
Im delegierten Modell werden Ihre CMEKs und andere Schlüssel im selben Projekt wie die Ressourcen gespeichert, die sie schützen. Um die Trennung von Aufgaben bei der delegierten Schlüsselverwaltung zu erzwingen, müssen IAM-Rollen strikt getrennt werden.
Sie können Autokey für Projekte (Vorschau) für ein Projekt oder einen Ordner aktivieren, um die automatische Schlüsselerstellung mit dem delegierten Schlüsselverwaltungsmodell zu ermöglichen. Weitere Informationen finden Sie unter Autokey für die delegierte Schlüsselverwaltung aktivieren.
Zentrale Schlüsselverwaltung
Das zentrale oder „dediziertes Projekt“-Schlüsselverwaltungsmodell wird für Organisationen mit zentralen Sicherheitsteams oder für Organisationen empfohlen, die eine strikte Trennung von Schlüsselmaterial und Anwendungsumgebungen erfordern.
Im zentralisierten Modell werden Ihre CMEK-Schlüssel und andere Schlüssel in dedizierten Schlüsselprojekten gespeichert, die von den Ressourcen getrennt sind, die sie schützen. In der Regel bedeutet das, dass jeder Ordner ein eigenes Schlüsselprojekt hat, das Schlüssel enthält, mit denen Ressourcen im gesamten Ordner geschützt werden. Dieses dedizierte Schlüsselprojekt wird von einem zentralen Sicherheitsteam verwaltet, das über Schlüsselverwaltungsberechtigungen im Schlüsselprojekt verfügt, aber keinen Zugriff auf Projekte hat, die die durch diese Schlüssel geschützten Ressourcen enthalten.
Sie können Autokey für einen Ordner aktivieren, um die automatische Schlüsselerstellung mit dem zentralen Schlüsselverwaltungsmodell zu ermöglichen. Weitere Informationen finden Sie unter Autokey für die zentrale Schlüsselverwaltung einrichten.
Compliance automatisieren und überwachen
Google Cloud bietet die folgenden Tools zum Automatisieren und Überwachen Ihrer Sicherheitsgrenzen:
- Cloud KMS Autokey: Autokey unterstützt sowohl zentralisierte als auch delegierte (Vorschau) Modelle der Schlüsselverwaltung. In beiden Fällen wird die Aufgabentrennung automatisiert, indem die Rolle für die Schlüsselnutzung automatisch dem erforderlichen Dienst-Agenten zugewiesen wird, nicht der Person, die den Schlüssel anfordert. Autokey wurde für die Unterstützung von Infrastructure-as-Code-Pipelines entwickelt, für die keine erhöhten Berechtigungen für die Schlüsselerstellung erforderlich sind.
- Security Command Center: Überwachen Sie die Ergebnisse der KMS-Rollentrennung, um alle Principals zu erkennen, einschließlich eines Projektinhaber oder eines Google-Dienstkontos, die sowohl administrative als auch kryptografische Berechtigungen für einen einzelnen Schlüssel haben.
Messwerte für die CMEK-Verschlüsselung: Mit dem Dashboard können Sie die Einhaltung der Grundsätze der Aufgabentrennung in der gesamten Organisation prüfen.