Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Cumplimiento con la gestión de claves

En esta página se proporciona información sobre cómo cumplir los requisitos de gestión de claves mediante el cifrado de Assured Workloads.

Información general

La gestión de claves de cifrado es fundamental para cumplir las normativas de los recursos de Google Cloud . Assured Workloads admite el cumplimiento mediante el cifrado de las siguientes formas.

CJIS, ITAR e IL5: claves gestionadas por el cliente y separación de obligaciones obligatorias:

CMEK Assured Workloads exige el uso de claves de cifrado gestionadas por el cliente (CMEK) para admitir estos paquetes de controles.
Proyecto de gestión de claves: Assured Workloads crea un proyecto de gestión de claves para cumplir los controles de seguridad de NIST 800-53. El proyecto de gestión de claves se separa de las carpetas de recursos para establecer la separación de funciones entre los administradores de seguridad y los desarrolladores.
Conjunto de claves: Assured Workloads también crea un conjunto de claves para almacenar tus claves. El proyecto de CMEK restringe la creación de conjuntos de claves a las ubicaciones que selecciones y que cumplan los requisitos. Después de crear el conjunto de claves, puedes crear o importar claves de cifrado. El cifrado reforzado, la gestión de claves y la separación de tareas contribuyen a obtener resultados positivos en materia de seguridad y cumplimiento en Google Cloud.

Nota: Después de que Assured Workloads cree el conjunto de claves, debes crear tu clave CMEK. A menos que tu paquete de control exija una estrategia de claves de cifrado concreta, puedes usar cualquier servicio de gestión de claves de Google, como Cloud Key Management Service, Cloud External Key Manager o CMEK. También puedes usar los valores predeterminados Google-owned and Google-managed encryption keys, que están validados por FIPS.

Otros paquetes de control (incluido IL4): Google-owned and Google-managed encryption keys y otras opciones de cifrado:

Google-owned and Google-managed encryption keys proporciona cifrado en tránsito y en reposo validado por FIPS 140-2 de forma predeterminada a todos los Google Cloud servicios.
Cloud Key Management Service (Cloud KMS): Assured Workloads admite Cloud KMS. Cloud KMS cubre todos los Google Cloud productos y servicios de forma predeterminada, lo que proporciona encriptado en tránsito y en reposo validado por el estándar FIPS 140-2.
Claves de cifrado gestionadas por el cliente (CMEK): Assured Workloads admite CMEK para paquetes de control como IL4, en los que CMEK es opcional.
Cloud External Key Manager (Cloud EKM) Assured Workloads es compatible con Cloud EKM.
Importación de claves

Estrategias de cifrado

En esta sección se describen las estrategias de cifrado de Assured Workloads.

Creación de CMEK de Assured Workloads

La CMEK te permite tener controles avanzados sobre tus datos y la gestión de claves, ya que puedes gestionar todo el ciclo de vida de las claves, desde su creación hasta su eliminación. Esta función es fundamental para cumplir los requisitos de borrado criptográfico del SRG de cloud computing.

Servicios

Servicios integrados con CMEK

Las CMEK cubren los siguientes servicios, que almacenan datos de clientes para CJIS.

Otros servicios: gestión de claves personalizada

En el caso de los servicios que no están integrados con CMEK o de los clientes cuyos paquetes de control no requieren CMEK, los clientes de Assured Workloads tienen la opción de usar claves de Cloud Key Management Service gestionadas por Google. Esta opción se ofrece para proporcionar a los clientes opciones adicionales de gestión de claves que se adapten a las necesidades de su organización. Actualmente, la integración de CMEK se limita a los servicios incluidos en el ámbito que admiten las funciones de CMEK. El KMS gestionado por Google es un método de encriptado aceptable, ya que cubre todos los Google Cloud productos y servicios de forma predeterminada y proporciona un encriptado validado por el estándar FIPS 140-2 en tránsito y en reposo.

Para ver otros productos compatibles con Assured Workloads, consulta Productos admitidos por paquete de control.

Roles de gestión de claves

Los administradores y los desarrolladores suelen cumplir las prácticas recomendadas de cumplimiento y seguridad mediante la gestión de claves y la separación de obligaciones. Por ejemplo, aunque los desarrolladores pueden tener acceso a la carpeta de recursos de Assured Workloads, los administradores tienen acceso al proyecto de gestión de claves CMEK.

Administradores

Los administradores suelen controlar el acceso al proyecto de cifrado y a los recursos de claves que contiene. Los administradores son los responsables de asignar los IDs de recursos clave a los desarrolladores para cifrar los recursos. De esta forma, se separa la gestión de las claves del proceso de desarrollo y se ofrece a los administradores de seguridad la posibilidad de gestionar las claves de encriptado de forma centralizada en el proyecto de CMEK.

Los administradores de seguridad pueden usar las siguientes estrategias de claves de cifrado con Assured Workloads:

Desarrolladores

Durante el desarrollo, cuando aprovisiones y configures recursos incluidos en el ámbito Google Cloud que requieran una clave de cifrado CMEK, solicita el ID de recurso de la clave a tu administrador. Si no usas CMEK, te recomendamos que uses Google-owned and Google-managed encryption keys para asegurarte de que los datos estén cifrados.

Tu organización determina el método de solicitud como parte de los procesos y procedimientos de seguridad documentados.

Siguientes pasos

Consulta cómo crear una carpeta de Assured Workloads.
Consulta qué productos son compatibles con cada paquete de controles.