La separazione dei compiti è il concetto di garantire che un'entità non disponga di tutte le autorizzazioni necessarie per completare un'azione dannosa. In Cloud Key Management Service, potrebbe trattarsi di un'azione come l'utilizzo di una chiave per accedere e decriptare dati a cui l'utente non ha un motivo valido per accedere.
La separazione dei compiti è un controllo aziendale in genere utilizzato nelle organizzazioni più grandi, volto a evitare incidenti ed errori di sicurezza o privacy. È considerata una best practice.
In Cloud KMS, la separazione dei compiti richiede una distinzione rigorosa tra i seguenti ruoli:
- Amministratori delle chiavi: i principal autorizzati a gestire i cicli di vita delle chiavi, inclusi creazione, eliminazione, rotazione e modifiche dello stato, ad esempio gli utenti con il ruolo Amministratore Cloud KMS.
- Utente chiave: i principal autorizzati a utilizzare le chiavi, inclusi crittografia, decrittografia, firma o verifica della firma, ad esempio gli utenti con il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Quando utilizzi le chiavi Cloud KMS per le chiavi di crittografia gestite dal cliente, ti consigliamo di fare in modo che il account di servizio sia l'unico principal autorizzato a utilizzare la chiave per la crittografia e la decrittografia. Per saperne di più su come le integrazioni CMEK gestiscono l'accesso alle risorse, consulta Servizi integrati con CMEK gestiscono l'accesso alle risorse.
Per evitare un bypass della separazione dei compiti, non concedere alle entità ruoli di base ampi come Proprietario (roles/owner), che contiene autorizzazioni amministrative e crittografiche. Puoi utilizzare la dashboard Metriche di crittografia
(Anteprima) per identificare le chiavi che non rispettano i
consigli per la separazione dei compiti. Per saperne di più, consulta Visualizzare le metriche di crittografia.
Per ulteriori informazioni su come utilizzare i ruoli IAM in modo sicuro, consulta Utilizzare IAM in modo sicuro.
Modelli di gestione delle chiavi
Cloud KMS supporta due modelli principali per l'applicazione della separazione dei compiti: gestione centralizzata delle chiavi e gestione delegata delle chiavi. Questi modelli di gestione delle chiavi possono essere utilizzati separatamente o in combinazione. Ad esempio, un'organizzazione potrebbe scegliere di utilizzare un modello di gestione delle chiavi centralizzato per gli ambienti di produzione e un modello di gestione delle chiavi dedicato per gli ambienti di livello inferiore utilizzati per lo sviluppo e il test.
La tabella seguente confronta i modelli di gestione delle chiavi centralizzata e delegata e ti aiuta a decidere quale è il migliore per le tue esigenze.
| Area | Centralizzata (a livello di cartella) | Delegato (a livello di progetto) |
|---|---|---|
| Località chiave | Archiviate in un progetto di chiavi dedicato, in genere per cartella. | Archiviata nello stesso progetto della risorsa protetta dalla chiave. |
| Metodo di separazione | Confini del progetto: le chiavi e le risorse che proteggono si trovano in progetti diversi. | Ruoli separati: separazione rigorosa dei ruoli IAM in modo che nessuna entità possa gestire e utilizzare una chiave. |
| Cultura aziendale | Ideale per le organizzazioni altamente regolamentate con team di sicurezza o crittografia centralizzati dedicati. | Ideale per le organizzazioni che danno la priorità all'agilità degli sviluppatori e all'autorità decentralizzata. |
| Fattori principali | Isolamento elevato e supervisione centralizzata. | Gestione semplificata delle quote e riduzione del lavoro operativo. |
Gestione delle chiavi delegata
Il modello di gestione delle chiavi delegata o "stesso progetto" è consigliato per le organizzazioni che danno priorità all'agilità degli sviluppatori e mirano a ridurre il "ciclo" tra i team di sicurezza centrali e gli sviluppatori.
Nel modello delegato, le tue chiavi CMEK e altre chiavi vengono archiviate nello stesso progetto delle risorse che proteggono. L'applicazione della separazione dei compiti nella gestione delle chiavi delegate richiede di mantenere i ruoli IAM rigorosamente separati.
Puoi attivare Autokey per i progetti (anteprima) in un progetto o una cartella per consentire la creazione automatica delle chiavi utilizzando il modello di gestione delle chiavi delegata. Per saperne di più, vedi Attivare Autokey per la gestione delegata delle chiavi.
Gestione centralizzata delle chiavi
Il modello di gestione delle chiavi centralizzato o "dedicato al progetto" è consigliato per le organizzazioni con team di sicurezza centralizzati o per quelle che richiedono un rigoroso isolamento del materiale delle chiavi dagli ambienti delle applicazioni.
Nel modello centralizzato, le tue chiavi CMEK e altre chiavi vengono archiviate in progetti di chiavi dedicati, separati dalle risorse che proteggono. In genere, ciò significa che ogni cartella ha un proprio progetto di chiavi dedicato per contenere le chiavi che proteggono le risorse in tutta la cartella. Questo progetto chiave dedicato è gestito da un team di sicurezza centrale, che dispone delle autorizzazioni di amministrazione delle chiavi nel progetto chiave, ma non può accedere ai progetti che contengono le risorse protette da queste chiavi.
Puoi attivare Autokey in una cartella per consentire la creazione automatica delle chiavi utilizzando il modello di gestione centralizzata delle chiavi. Per saperne di più, consulta Configurare Autokey per la gestione centralizzata delle chiavi.
Automatizzare e monitorare la conformità
Google Cloud fornisce i seguenti strumenti per automatizzare e monitorare i tuoi confini di sicurezza:
- Cloud KMS Autokey: Autokey supporta modelli di gestione delle chiavi sia centralizzati che delegati (anteprima). Per entrambi, automatizza la separazione dei compiti concedendo automaticamente il ruolo di utilizzo della chiave all'agente di servizio richiesto, non alla persona che richiede la chiave. Autokey è progettato per supportare le pipeline Infrastructure as Code che non richiedono privilegi elevati per la creazione delle chiavi.
- Security Command Center: monitora i risultati di Separazione dei ruoli KMS per rilevare qualsiasi principal, inclusi un Proprietario progetto o un service account Google, che disponga di autorizzazioni amministrative e crittografiche su una singola chiave.
Metriche di crittografia CMEK: utilizza la dashboard per verificare l'allineamento alle pratiche di separazione dei compiti in tutta l'organizzazione.