Die Aufgabentrennung ist ein Konzept, mit dem verhindert werden soll, dass ein Hauptkonto allein über alle Berechtigungen verfügt, die notwendig sind, um bösartige Aktionen auszuführen. Im Cloud Key Management Service könnte eine solche Aktion z. B. darin bestehen, dass ein Nutzer mit einem Schlüssel auf Daten zugreift und sie entschlüsselt, obwohl er keinen gültigen Grund für den Zugriff hat.
Die Aufgabentrennung ist eine Form der Unternehmenssteuerung, die in der Regel in größeren Organisationen umgesetzt wird. Sie dient dazu, Sicherheits- und Datenschutzvorfälle sowie Fehler zu vermeiden und gilt als Best Practice.
In Cloud KMS erfordert die Aufgabentrennung eine strikte Unterscheidung zwischen den folgenden Rollen:
- Schlüsseladministratoren: Hauptkonten, die berechtigt sind, den Lebenszyklus von Schlüsseln zu verwalten, einschließlich Erstellung, Löschung, Rotation und Statusänderungen. Dazu gehören beispielsweise Nutzer mit der Rolle Cloud KMS-Administrator.
- Schlüsselnutzer: Hauptkonten, die berechtigt sind, Schlüssel zu verwenden, einschließlich Verschlüsselung, Entschlüsselung, Signierung oder Signaturprüfung. Dazu gehören beispielsweise Nutzer mit der Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler.
Wenn Sie Cloud KMS-Schlüssel für vom Kunden verwaltete Verschlüsselungsschlüssel verwenden, empfehlen wir, dass das Dienstkonto das einzige Hauptkonto ist, das berechtigt ist, den Schlüssel für die Ver- und Entschlüsselung zu verwenden. Weitere Informationen zur Verarbeitung des Ressourcenzugriffs durch CMEK Integrationen finden Sie unter Ressourcenzugriff durch CMEK-integrierte Dienste.
Um die Aufgabentrennung aufrechtzuerhalten, gewähren Sie Prinzipalen keine weit gefassten einfachen Rollen wie Owner (roles/owner), die sowohl administrative als auch kryptografische Berechtigungen enthalten. Mit dem Dashboard Verschlüsselungsmesswerte können Sie Schlüssel identifizieren, die nicht den Empfehlungen zur Aufgabentrennung entsprechen. Weitere
Informationen finden Sie unter Verschlüsselungsmesswerte ansehen.
Weitere Informationen zur sicheren Verwendung von IAM-Rollen finden Sie unter Use IAM sicher verwenden.
Schlüsselverwaltungsmodelle
Cloud KMS unterstützt zwei primäre Modelle zur Durchsetzung der Aufgabentrennung: die zentrale Schlüsselverwaltung und die delegierte Schlüsselverwaltung. Diese Schlüsselverwaltungsmodelle können separat oder in Kombination verwendet werden. Eine Organisation kann beispielsweise ein zentrales Schlüsselverwaltungsmodell für Produktionsumgebungen und ein dediziertes Schlüsselverwaltungsmodell für niedrigere Umgebungen verwenden, die für Entwicklung und Tests verwendet werden.
In der folgenden Tabelle werden die zentralen und delegierten Schlüsselverwaltungsmodelle verglichen, damit Sie entscheiden können, welches Modell am besten zu Ihren Anforderungen passt.
| Gebiet | Zentralisiert (auf Ordnerebene) | Delegiert (auf Projektebene) |
|---|---|---|
| Speicherort des Schlüssels | In einem dedizierten Schlüsselprojekt gespeichert, in der Regel pro Ordner. | Im selben Projekt wie die Ressource gespeichert, die durch den Schlüssel geschützt wird. |
| Methode zur Aufgabentrennung | Projektgrenzen: Schlüssel und die Ressourcen, die sie schützen, befinden sich in verschiedenen Projekten. | Separate Rollen: Strikte Trennung der IAM-Rollen, sodass kein Hauptkonto einen Schlüssel verwalten und verwenden kann. |
| Unternehmenskultur | Ideal für stark regulierte Organisationen mit dedizierten zentralen Sicherheits- oder Kryptoteams. | Ideal für Organisationen, die Wert auf die Agilität von Entwicklern und dezentrale Autorität legen. |
| Primäre Treiber | Hohe Isolation und zentrale Aufsicht. | Vereinfachte Kontingentverwaltung und weniger Betriebsaufwand. |
Delegierte Schlüsselverwaltung
Das delegierte oder „Same-Project“-Schlüsselverwaltungsmodell wird für Organisationen empfohlen, die Wert auf die Agilität von Entwicklern legen und die „Schleife“ zwischen zentralen Sicherheitsteams und Entwicklern reduzieren möchten.
Im delegierten Modell werden Ihre CMEKs und andere Schlüssel im selben Projekt wie die Ressourcen gespeichert, die sie schützen. Um die Aufgabentrennung bei der delegierten Schlüsselverwaltung durchzusetzen, müssen die IAM-Rollen strikt getrennt werden.
Sie können Autokey für Projekte (Vorschau) in einem Projekt oder Ordner aktivieren, um die automatisierte Schlüsselerstellung mit dem delegierten Schlüsselverwaltungsmodell zu ermöglichen. Weitere Informationen finden Sie unter Autokey für die delegierte Schlüsselverwaltung aktivieren.
Zentrale Schlüsselverwaltung
Das zentrale oder „Dedicated-Project“-Schlüsselverwaltungsmodell wird für Organisationen mit zentralen Sicherheitsteams oder für Organisationen empfohlen, die eine strikte Isolation von Schlüsselmaterial von Anwendungsumgebungen erfordern.
Im zentralen Modell werden Ihre CMEKs und andere Schlüssel in dedizierten Schlüsselprojekten gespeichert, die von den Ressourcen getrennt sind, die sie schützen. In der Regel hat jeder Ordner ein eigenes dediziertes Schlüsselprojekt, das Schlüssel enthält, die Ressourcen im gesamten Ordner schützen. Dieses dedizierte Schlüsselprojekt wird von einem zentralen Sicherheitsteam verwaltet, das über Berechtigungen zur Schlüsselverwaltung im Schlüsselprojekt verfügt, aber keinen Zugriff auf Projekte hat, die die Ressourcen enthalten, die durch diese Schlüssel geschützt werden.
Sie können Autokey in einem Ordner aktivieren, um die automatisierte Schlüsselerstellung mit dem zentralen Schlüsselverwaltungsmodell zu ermöglichen. Weitere Informationen finden Sie unter Autokey für die zentrale Schlüssel verwaltung einrichten.
Compliance automatisieren und überwachen
Google Cloud bietet die folgenden Tools zum Automatisieren und Überwachen Ihrer Sicherheitsgrenzen:
- Cloud KMS Autokey: Autokey unterstützt sowohl zentrale als auch delegierte (Vorschau) Modelle der Schlüsselverwaltung. In beiden Fällen wird die Aufgabentrennung automatisiert, indem die Rolle zur Schlüsselnutzung automatisch dem erforderlichen Dienst-Agent zugewiesen wird, nicht der Person, die den Schlüssel anfordert. Autokey wurde entwickelt, um Infrastructure-as-Code-Pipelines zu unterstützen, für die keine erhöhten Berechtigungen für die Schlüsselerstellung erforderlich sind.
- Security Command Center: Suchen Sie nach Ergebnissen zu KMS-Rollentrennung , um Hauptkonten zu erkennen, einschließlich eines Projektinhaber oder eines Google-Dienstkontos, die sowohl administrative als auch kryptografische Berechtigungen für einen einzelnen Schlüssel haben.
CMEK-Verschlüsselungsmesswerte: Mit dem Dashboard können Sie die Übereinstimmung mit den Praktiken zur Aufgabentrennung in der gesamten Organisation prüfen.