MENU

会員登録（無料）

PCA#5(security)

この問題のディスカッション

PCA#5(security)

FIPS 140-2 Level 3 認定のハードウェアで暗号鍵を生成し、Compute Engine の永続ディスクの暗号化に使用したい要件があります。最も適切な実装はどれですか。

A. Cloud KMS のソフトウェア鍵を Compute Engine に CSEK として渡し、起動スクリプトでローテーションする方式を採用する。
B. Secret Manager に鍵をエクスポートして保管し、起動時に取得して復号化する処理を構成する運用を行う。
C. Cloud HSM で鍵を生成し、Compute Engine の CMEK として指定する。
D. Google 管理の暗号化鍵をデフォルトで利用し、別途自社の HSM 機器でログ署名を行う構成にする。

正解と解説ディスカッション 0

正解：C

正解の根拠

Cloud HSM は FIPS 140-2 Level 3 認定の HSM クラスタで鍵素材を生成・保管し、Cloud KMS と同一のインターフェースで CMEK として Compute Engine の永続ディスク暗号化に利用できます。鍵素材が HSM 外に出ない高保証要件を満たします。

方式	FIPS Level
Software KMS	140-2 L1
Cloud HSM	140-2 L3

不正解の理由

A: ソフトウェア鍵は Level 3 を満たしません。
B: Secret Manager は鍵管理基盤ではありません。
D: Google 管理鍵は CMEK ではなく FIPS L3 要件と切り離せません。

参考：Cloud HSM

コメント

コメント

コメントするコメントをキャンセル