Pemisahan tugas adalah konsep untuk memastikan bahwa satu kepala sekolah tidak memiliki semua izin yang diperlukan untuk menyelesaikan tindakan berbahaya. Di Cloud Key Management Service, hal ini dapat berupa tindakan seperti menggunakan kunci untuk mengakses dan mendekripsi data yang tidak memiliki alasan valid untuk diakses oleh pengguna tersebut.
Pemisahan tugas adalah kontrol bisnis yang biasanya digunakan di organisasi yang lebih besar, yang dimaksudkan untuk membantu menghindari insiden dan kesalahan keamanan atau privasi. Hal ini dianggap sebagai praktik terbaik.
Di Cloud KMS, pemisahan tugas memerlukan perbedaan yang jelas antara peran berikut:
- Administrator kunci: Principal yang diberi otorisasi untuk mengelola siklus proses kunci, termasuk pembuatan, penghapusan, rotasi, dan perubahan status—misalnya, pengguna dengan peran Cloud KMS Admin.
- Pengguna kunci: Principal yang diberi otorisasi untuk menggunakan kunci, termasuk enkripsi, dekripsi, penandatanganan, atau verifikasi tanda tangan—misalnya, pengguna dengan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS.
Saat Anda menggunakan kunci Cloud KMS untuk kunci enkripsi yang dikelola pelanggan, sebaiknya akun layanan menjadi satu-satunya prinsipal yang diberi otorisasi untuk menggunakan kunci tersebut dalam proses enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang cara integrasi CMEK menangani akses resource, lihat Layanan yang terintegrasi dengan CMEK menangani akses resource.
Untuk mencegah pengabaian pemisahan tugas, jangan berikan peran dasar yang luas seperti Pemilik (roles/owner) kepada akun utama, yang berisi izin administratif dan kriptografi. Anda dapat menggunakan dasbor Metrik enkripsi
(Pratinjau) untuk membantu mengidentifikasi kunci yang tidak mematuhi
rekomendasi untuk pemisahan tugas. Untuk mengetahui informasi selengkapnya, lihat Melihat
metrik enkripsi.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan peran IAM dengan aman, lihat Menggunakan IAM dengan aman.
Model pengelolaan kunci
Cloud KMS mendukung dua model utama untuk menerapkan pemisahan tugas: pengelolaan kunci terpusat dan pengelolaan kunci yang didelegasikan. Model pengelolaan kunci ini dapat digunakan secara terpisah atau bersama-sama. Misalnya, organisasi dapat memilih untuk menggunakan model pengelolaan kunci terpusat untuk lingkungan produksi dan menggunakan model pengelolaan kunci khusus untuk lingkungan yang lebih rendah yang digunakan untuk pengembangan dan pengujian.
Tabel berikut membandingkan model pengelolaan kunci terpusat dan didelegasikan serta membantu Anda memutuskan mana yang paling sesuai dengan kebutuhan Anda.
| Area | Terpusat (tingkat folder) | Didelegasikan (tingkat project) |
|---|---|---|
| Lokasi kunci | Disimpan dalam project kunci khusus, biasanya per folder. | Disimpan dalam project yang sama dengan resource yang dilindungi oleh kunci. |
| Metode pemisahan | Batas project: Kunci dan resource yang dilindunginya berada di project yang berbeda. | Peran terpisah: Pemisahan peran IAM yang ketat sehingga tidak ada akun utama yang dapat mengelola dan menggunakan kunci. |
| Budaya bisnis | Ideal untuk organisasi yang sangat diatur dengan tim kripto atau keamanan pusat khusus. | Ideal untuk organisasi yang memprioritaskan ketangkasan developer dan otoritas yang terdesentralisasi. |
| Pendorong utama | Isolasi tinggi dan pengawasan terpusat. | Pengelolaan kuota yang disederhanakan dan pengurangan beban operasional. |
Pengelolaan kunci yang didelegasikan
Model pengelolaan kunci yang didelegasikan atau "project yang sama" direkomendasikan untuk organisasi yang memprioritaskan kelincahan developer dan bertujuan untuk mengurangi "loop" antara tim keamanan pusat dan developer.
Dalam model yang didelegasikan, CMEK dan kunci lainnya disimpan dalam project yang sama dengan resource yang dilindunginya. Menerapkan pemisahan tugas dalam pengelolaan kunci yang didelegasikan memerlukan pemisahan peran IAM secara ketat.
Anda dapat mengaktifkan Autokey untuk project (Pratinjau) di project atau folder untuk mengizinkan pembuatan kunci otomatis menggunakan model pengelolaan kunci yang didelegasikan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Autokey untuk pengelolaan kunci yang didelegasikan.
Pengelolaan kunci terpusat
Model pengelolaan kunci terpusat atau "project khusus" direkomendasikan untuk organisasi dengan tim keamanan terpusat atau organisasi yang memerlukan isolasi materi kunci yang ketat dari lingkungan aplikasi.
Dalam model terpusat, CMEK dan kunci lainnya disimpan dalam project kunci khusus, yang dipisahkan dari resource yang dilindunginya. Biasanya, ini berarti bahwa setiap folder memiliki project kunci khusus sendiri untuk menyimpan kunci yang melindungi resource di seluruh folder. Project kunci khusus ini dikelola oleh tim keamanan pusat, yang memiliki izin administrasi kunci di project kunci, tetapi dibatasi untuk mengakses project yang berisi resource yang dilindungi oleh kunci tersebut.
Anda dapat mengaktifkan Autokey di folder untuk mengizinkan pembuatan kunci otomatis menggunakan model pengelolaan kunci terpusat. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Autokey untuk pengelolaan kunci terpusat.
Mengotomatiskan dan memantau kepatuhan
Google Cloud menyediakan alat berikut untuk mengotomatiskan dan memantau batas keamanan Anda:
- Kunci Otomatis Cloud KMS: Kunci Otomatis mendukung model pengelolaan kunci terpusat dan didelegasikan (Pratinjau). Untuk keduanya, tugas ini mengotomatiskan pemisahan tugas dengan memberikan peran penggunaan kunci secara otomatis kepada agen layanan yang diperlukan, bukan kepada orang yang meminta kunci. Autokey dirancang untuk mendukung pipeline infrastruktur sebagai kode yang tidak memerlukan hak istimewa yang ditingkatkan untuk pembuatan kunci.
- Security Command Center: Pantau temuan Pemisahan Peran KMS untuk mendeteksi setiap prinsipal, termasuk Pemilik Project atau akun layanan Google, yang memiliki izin administratif dan kriptografis pada satu kunci.
Metrik enkripsi CMEK: Gunakan dasbor untuk memverifikasi keselarasan dengan praktik pemisahan tugas di seluruh organisasi.