遵循金鑰管理的法規要求
本頁面提供資訊,說明如何使用 Assured Workloads 的加密功能,支援金鑰管理法規遵循。
總覽
加密金鑰管理是支援 Google Cloud 資源法規遵循的重要基礎。Assured Workloads 可透過以下方式,透過加密機制支援法規遵循。
CJIS、ITAR 和 IL5:強制執行客戶自行管理的金鑰和職責劃分:
- CMEK:Assurance Workloads 規定必須使用客戶自行管理的加密金鑰 (CMEK) 才能支援這些控制項套件。
- 金鑰管理專案:Assurance Workloads 會建立金鑰管理專案,以符合 NIST 800-53 安全性控管機制。金鑰管理專案與資源資料夾分開,可確立安全性管理員和開發人員之間的職責分工。
金鑰環:Assured Workloads 也會建立金鑰環來儲存金鑰。CMEK 專案會限制金鑰環的建立作業,僅限於您選取的符合規範位置。建立鑰匙圈後,您就能管理建立或匯入加密金鑰的作業。強大的加密機制、金鑰管理和職務分離,都能協助您在 Google Cloud上取得正面的安全性和法規遵循成果。
其他控制項套件 (包括 IL4): Google-owned and Google-managed encryption keys 和其他加密選項:
- Google-owned and Google-managed encryption keys 預設會為所有 Google Cloud 服務提供傳輸中和靜態資料的 FIPS 140-2 驗證加密機制。
- Cloud Key Management Service (Cloud KMS): Assured Workloads 支援 Cloud KMS。Cloud KMS 預設涵蓋所有 Google Cloud 產品和服務,提供通過 FIPS 140-2 驗證的傳輸中加密和靜態加密。
- 客戶自行管理的加密金鑰 (CMEK):Assured Workloads 支援 IL4 等控管套件的 CMEK,但 CMEK 為選用項目。
- Cloud External Key Manager (Cloud EKM) Assured Workloads 支援 Cloud EKM。
- 金鑰匯入
加密策略
本節說明 Assured Workloads 的加密策略。
Assured Workloads CMEK 建立
透過 CMEK,您可以管理從建立到刪除的完整金鑰生命週期,進而進一步掌控資料和金鑰管理作業。這項功能對於支援 雲端運算 SRG 中的加密編譯刪除要求至關重要。
服務
已整合 CMEK 的服務
CMEK 涵蓋下列服務,這些服務會儲存 CJIS 的客戶資料。
其他服務:自訂金鑰管理
如果服務未與 CMEK 整合,或是控制套件不需要 CMEK,Assurance Workloads 客戶可以選擇使用 Google 代管的 Cloud Key Management Service 金鑰。我們提供這個選項,是為了讓客戶根據機構需求,選擇其他金鑰管理選項。目前,CMEK 整合功能僅限於範圍內的服務,這些服務支援 CMEK 功能。Google 管理的 KMS 是可接受的加密方法,因為預設會涵蓋所有 Google Cloud 產品和服務,提供FIPS 140-2 驗證的傳輸中和靜態資料加密功能。
如要瞭解 Assured Workloads 支援的其他產品,請參閱「依控制項套件區分的支援產品」。
金鑰管理角色
管理員和開發人員通常會透過金鑰管理和職責區隔,實踐法規遵循和安全性最佳做法。舉例來說,開發人員可能可以存取 Assured Workloads 資源資料夾,而管理員則可以存取 CMEK 金鑰管理專案。
管理員
管理員通常會控管加密專案和其中的重要資源的存取權。管理員負責將重要資源 ID 分配給開發人員,以便加密資源。這項做法可將金鑰管理作業與開發程序分開,並讓安全性管理員在 CMEK 專案中集中管理加密金鑰。
安全性管理員可以使用下列加密金鑰策略搭配 Assured Workloads:
開發人員
開發期間,如果您要佈建及設定需要 CMEK 加密金鑰的範圍內 Google Cloud資源,請向管理員索取金鑰的資源 ID。如果您未使用 CMEK,建議您使用Google-owned and Google-managed encryption keys 確保資料已加密。
貴機構會在安全性程序和程序記錄中決定要求方法。
後續步驟
- 瞭解如何建立 Assured Workloads 資料夾。
- 瞭解每個控制項套件支援哪些產品。