La séparation des tâches est un principe d'organisation permettant de s'assurer qu'un compte principal ne sera pas en mesure d'obtenir toutes les autorisations nécessaires à la réalisation d'une action malveillante. Dans Cloud Key Management Service, il peut s'agir d'une action telle que l'utilisation d'une clé pour accéder et déchiffrer des données auxquelles l'utilisateur n'a aucune raison valable d'accéder.
La séparation des tâches est une solution de contrôle d'entreprise généralement utilisée dans les grandes organisations, dans l'optique d'éviter les incidents et les erreurs compromettant la sécurité ou la confidentialité des données. Cette approche est considérée comme une bonne pratique.
Dans Cloud KMS, la séparation des tâches nécessite une distinction stricte entre les rôles suivants :
- Administrateurs de clés : comptes principaux autorisés à gérer le cycle de vie des clés, y compris la création, la suppression, la rotation et les changements d'état. Par exemple, les utilisateurs disposant du rôle Administrateur Cloud KMS.
- Utilisateur de clés : comptes principaux autorisés à utiliser des clés, y compris pour le chiffrement, le déchiffrement, la signature ou la validation de signature. Par exemple, les utilisateurs disposant du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS.
Lorsque vous utilisez des clés Cloud KMS pour des clés de chiffrement gérées par le client, nous vous recommandons de faire en sorte que le compte de service soit le seul compte principal autorisé à utiliser la clé pour le chiffrement et le déchiffrement. Pour en savoir plus sur la façon dont les intégrations CMEK gèrent l'accès aux ressources, consultez la page Les services intégrés à CMEK gèrent l'accès aux ressources.
Pour maintenir la séparation des tâches, n'accordez pas aux comptes principaux des rôles de base généraux tels que Propriétaire (roles/owner), qui contient à la fois des autorisations administratives et cryptographiques. Vous pouvez utiliser le tableau de bord Métriques de chiffrement pour identifier les clés qui ne respectent pas les recommandations de séparation des tâches. Pour en savoir plus, consultez la page Afficher les métriques de chiffrement.
Pour en savoir plus sur l'utilisation sécurisée des rôles IAM, consultez la page Utiliser Cloud IAM en toute sécurité.
Modèles de gestion des clés
Cloud KMS est compatible avec deux modèles principaux pour appliquer la séparation des tâches : la gestion centralisée des clés et la gestion déléguée des clés. Ces modèles de gestion des clés peuvent être utilisés séparément ou conjointement. Par exemple, une organisation peut choisir d'utiliser un modèle de gestion centralisée des clés pour les environnements de production et un modèle de gestion des clés dédié pour les environnements inférieurs utilisés pour le développement et les tests.
Le tableau suivant compare les modèles de gestion des clés centralisée et déléguée, et vous aide à choisir celui qui répond le mieux à vos besoins.
| Zone | Centralisée (au niveau du dossier) | Déléguée (au niveau du projet) |
|---|---|---|
| Emplacement de la clé | Stockée dans un projet de clés dédié, généralement par dossier. | Stockée dans le même projet que la ressource que la clé protège. |
| Méthode de séparation | Limites du projet : les clés et les ressources qu'elles protègent se trouvent dans différents projets. | Rôles distincts : séparation stricte des rôles IAM afin qu'aucun compte principal ne puisse à la fois gérer et utiliser une clé. |
| Culture d'entreprise | Idéal pour les organisations fortement réglementées disposant d'équipes de sécurité ou de chiffrement centrales dédiées. | Idéal pour les organisations qui privilégient l'agilité des développeurs et l'autorité décentralisée. |
| Principaux facteurs | Isolation élevée et supervision centralisée. | Gestion des quotas simplifiée et réduction des tâches répétitives opérationnelles. |
Gestion déléguée des clés
Le modèle de gestion des clés déléguée ou "dans le même projet" est recommandé pour les organisations qui privilégient l'agilité des développeurs et qui souhaitent réduire la "boucle" entre les équipes de sécurité centrales et les développeurs.
Dans le modèle délégué, vos CMEK et autres clés sont stockées dans le même projet que les ressources qu'elles protègent. Pour appliquer la séparation des tâches dans la gestion déléguée des clés, vous devez séparer strictement les rôles IAM.
Vous pouvez activer Autokey pour les projets (bêta) sur un projet ou un dossier afin d'autoriser la création automatique de clés à l'aide du modèle de gestion déléguée des clés. Pour en savoir plus, consultez la page Activer Autokey pour la gestion déléguée des clés.
Gestion centralisée des clés
Le modèle de gestion des clés centralisée ou "dans un projet dédié" est recommandé pour les organisations disposant d'équipes de sécurité centralisées ou qui nécessitent une isolation stricte du matériel de clé des environnements d'application.
Dans le modèle centralisé, vos CMEK et autres clés sont stockées dans des projets de clés dédiés, séparés des ressources qu'elles protègent. En règle générale, cela signifie que chaque dossier possède son propre projet de clés dédié pour contenir les clés qui protègent les ressources de l'ensemble du dossier. Ce projet de clés dédié est géré par une équipe de sécurité centrale, qui dispose d'autorisations d'administration des clés dans le projet de clés, mais qui n'a pas accès aux projets contenant les ressources protégées par ces clés.
Vous pouvez activer Autokey sur un dossier pour autoriser la création automatique de clés à l'aide du modèle de gestion centralisée des clés. Pour en savoir plus, consultez la page Configurer Autokey pour la gestion centralisée des clés.
Automatiser et surveiller la conformité
Google Cloud fournit les outils suivants pour automatiser et surveiller vos limites de sécurité :
- Cloud KMS Autokey : Autokey est compatible avec les modèles de gestion des clés centralisée et déléguée (Preview). Dans les deux cas, elle automatise la séparation des tâches en accordant automatiquement le rôle d'utilisation de la clé à l'agent de service requis, et non à la personne qui demande la clé. La clé automatique est conçue pour prendre en charge les pipelines d'infrastructure en tant que code qui n'ont pas besoin de privilèges élevés pour la création de clés.
- Security Command Center : surveillez les résultats Séparation des rôles KMS pour détecter tout compte principal, y compris un Propriétaire du projet ou un compte de service Google, qui possède à la fois des autorisations administratives et cryptographiques sur une seule clé.
Métriques de chiffrement CMEK : utilisez le tableau de bord pour vérifier l'alignement sur les pratiques de séparation des tâches dans l'ensemble de l'organisation.