La séparation des tâches est un principe d'organisation permettant de s'assurer qu'un compte principal ne sera pas en mesure d'obtenir toutes les autorisations nécessaires à la réalisation d'une action malveillante. Dans Cloud Key Management Service, il peut s'agir d'une action telle que l'utilisation d'une clé pour accéder et déchiffrer des données auxquelles l'utilisateur n'a aucune raison légitime d'accéder.
La séparation des tâches est une solution de contrôle d'entreprise généralement utilisée dans les grandes organisations, dans l'optique d'éviter les incidents et les erreurs compromettant la sécurité ou la confidentialité des données. Cette approche est considérée comme une bonne pratique.
Dans Cloud KMS, la séparation des tâches nécessite une distinction stricte entre les rôles suivants :
- Administrateurs de clés : principaux autorisés à gérer le cycle de vie des clés, y compris leur création, leur suppression, leur rotation et les changements d'état (par exemple, les utilisateurs disposant du rôle Administrateur Cloud KMS).
- Utilisateur clé : principaux autorisés à utiliser des clés, y compris pour le chiffrement, le déchiffrement, la signature ou la validation de signature. Par exemple, les utilisateurs disposant du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS.
Lorsque vous utilisez des clés Cloud KMS pour les clés de chiffrement gérées par le client, nous vous recommandons que le compte de service soit le seul principal autorisé à utiliser la clé pour le chiffrement et le déchiffrement. Pour en savoir plus sur la façon dont les intégrations CMEK gèrent l'accès aux ressources, consultez Gestion de l'accès aux ressources par les services intégrés à CMEK.
Pour éviter tout contournement de la séparation des tâches, n'accordez pas aux comptes principaux des rôles de base étendus tels que Propriétaire (roles/owner), qui contiennent à la fois des autorisations administratives et cryptographiques. Le tableau de bord Métriques de chiffrement (Aperçu) peut vous aider à identifier les clés qui ne respectent pas les recommandations concernant la séparation des tâches. Pour en savoir plus, consultez Afficher les métriques de chiffrement.
Pour savoir comment utiliser les rôles IAM de manière sécurisée, consultez Utiliser IAM en toute sécurité.
Modèles de gestion des clés
Cloud KMS est compatible avec deux modèles principaux pour appliquer la séparation des tâches : la gestion centralisée des clés et la gestion déléguée des clés. Ces modèles de gestion des clés peuvent être utilisés séparément ou ensemble. Par exemple, une organisation peut choisir d'utiliser un modèle de gestion des clés centralisé pour les environnements de production et un modèle de gestion des clés dédié pour les environnements de niveau inférieur utilisés pour le développement et les tests.
Le tableau suivant compare les modèles de gestion des clés centralisée et déléguée, et vous aide à choisir celui qui répond le mieux à vos besoins.
| Zone | Centralisée (au niveau du dossier) | Délégué (au niveau du projet) |
|---|---|---|
| Emplacement de la clé | Stockées dans un projet de clés dédié, généralement par dossier. | stockée dans le même projet que la ressource protégée par la clé ; |
| Méthode de séparation | Limites du projet : les clés et les ressources qu'elles protègent se trouvent dans des projets différents. | Rôles distincts : séparation stricte des rôles IAM afin qu'aucun compte principal ne puisse à la fois gérer et utiliser une clé. |
| Culture d'entreprise | Idéal pour les organisations fortement réglementées disposant d'équipes centrales dédiées à la sécurité ou aux cryptomonnaies. | Idéal pour les organisations qui privilégient l'agilité des développeurs et l'autorité décentralisée. |
| Facteurs principaux | Isolation élevée et supervision centralisée. | Gestion des quotas simplifiée et réduction de la charge opérationnelle. |
Gestion déléguée des clés
Le modèle de gestion des clés déléguée ou "dans le même projet" est recommandé pour les organisations qui privilégient l'agilité des développeurs et qui souhaitent réduire la "boucle" entre les équipes de sécurité centrales et les développeurs.
Dans le modèle délégué, vos CMEK et autres clés sont stockées dans le même projet que les ressources qu'elles protègent. Pour appliquer la séparation des tâches dans la gestion des clés déléguée, vous devez séparer strictement les rôles IAM.
Vous pouvez activer la clé automatique pour les projets (aperçu) sur un projet ou un dossier afin d'autoriser la création automatique de clés à l'aide du modèle de gestion de clés déléguée. Pour en savoir plus, consultez Activer la clé automatique pour la gestion déléguée des clés.
Gestion centralisée des clés
Le modèle de gestion des clés centralisé ou "projet dédié" est recommandé pour les organisations disposant d'équipes de sécurité centralisées ou qui nécessitent une isolation stricte du matériel clé des environnements d'application.
Dans le modèle centralisé, vos clés CMEK et autres clés sont stockées dans des projets de clés dédiés, distincts des ressources qu'elles protègent. En général, cela signifie que chaque dossier possède son propre projet de clés dédié, qui contient les clés protégeant les ressources de l'ensemble du dossier. Ce projet de clés dédié est géré par une équipe de sécurité centrale, qui dispose d'autorisations d'administration des clés dans le projet de clés, mais qui n'a pas accès aux projets contenant les ressources protégées par ces clés.
Vous pouvez activer Autokey sur un dossier pour autoriser la création automatique de clés à l'aide du modèle de gestion centralisée des clés. Pour en savoir plus, consultez Configurer Autokey pour la gestion centralisée des clés.
Automatiser et surveiller la conformité
Google Cloud fournit les outils suivants pour automatiser et surveiller vos limites de sécurité :
- Clé automatique Cloud KMS : la clé automatique est compatible avec les modèles de gestion des clés centralisés et délégués (aperçu). Dans les deux cas, il automatise la séparation des tâches en attribuant automatiquement le rôle d'utilisation des clés à l'agent de service requis, et non à la personne qui demande la clé. Autokey est conçu pour prendre en charge les pipelines Infrastructure as Code qui n'ont pas besoin de privilèges élevés pour la création de clés.
- Security Command Center : surveillez les résultats de la séparation des rôles KMS pour détecter tout principal, y compris un Propriétaire du projet ou un compte de service Google, qui possède à la fois des autorisations administratives et cryptographiques sur une même clé.
Métriques de chiffrement CMEK : utilisez le tableau de bord pour vérifier l'alignement sur les pratiques de séparation des tâches dans l'ensemble de l'organisation.