Access Transparency

借助近乎实时的日志记录和审批控制,让云服务商的访问活动更为透明化并加强对他们的控制。

查看此产品的文档

让云服务商的访问活动更为透明化并加强对他们的控制

让云服务商的访问活动更为透明化并加强对他们的控制

Access Transparency 会为您提供近乎实时的日志,即时记录 Google Cloud Platform 管理员对您内容的访问活动。您早先便可使用 GCP 的 Cloud Audit Logging 审核日志来了解您自己的管理员所执行的操作。但是一旦有云服务商的支持团队或工程团队参与其中,这种审核跟踪通常就无力应对了。例如,在 Access Transparency 日志记录功能推出之前,如果您向 Google 支持团队提交工单,支持团队因此需要访问您的数据,Cloud Audit Logging 审核日志中不会反映此类访问。Access Transparency 功能弥补了这一缺陷,可以近乎实时地记录支持或工程人员有针对性的人工访问活动。

就 Google Cloud 来说,除非确有必要,否则我们不会出于任何原因访问客户数据。根据我们的技术控制要求,支持或工程人员对您内容的任何访问都需提供有效的业务理由。另外,Google 还会定期审核管理员的访问行为,以检查我们的控制措施是否有效。

*注意:某些存储层级的访问日志可能会出现延迟,无法以近乎实时的方式显示。

放心地迁移到云端

无法审核云服务商的访问行为可能会成为迁移到云端的一项阻碍。如果无法查看云服务商管理员的操作,就无法沿用传统的安全流程。Access Transparency 可实现这种访问验证,让您的审核控制力更接近本地所实施控制的预期水平。借助 Access Approval(测试版)功能,您能够要求相关人员在获得明确批准的情况下才能访问您在 GCP 上的数据或配置,以此提高您的控制级别。除非是出于法律要求或为了解决当前中断或安全突发事件,否则任何人都无法进行未经授权的访问。

批准 GCP 支持工程师的访问请求

迁移到云端的一个重要优势就是有专门的专家来管理基础架构,但前提是您必须相信云服务商能够遵守其在数据访问方面的承诺。借助 Access Approval,您可以批准或拒绝要为您提供支持服务的 Google 员工的访问请求。Access Approval 控制机制能让您管控可能为您提供支持服务的所有 Google 员工的访问权限,而不仅限于特定群组。

拓展安全自动化的应用层级

您现有的安全自动化流水线可能已在使用 Stackdriver 日志来自动进行安全检查,并验证您的控制措施是否如预期般有效。您还可通过 Stackdriver 获得 Access Transparency 日志,后者可直接集成到您已设置的任何现有分析流水线或工具导出数据中。

获取所需的数据

无论是出于监管、审核还是归档目的,您都可能需要内容访问日志。Access Transparency 创建的日志可帮助您履行这些义务,这些日志会提供诸如访问者位置、访问理由以及对特定资源执行的操作等详细的信息。

Access Transparency 特性

借助近乎实时的日志记录和审批控制,让云服务商的访问活动更为透明化并加强对他们的控制。

访问权限审批

明确批准相关人员对您在 GCP 上的数据或配置的访问请求。通过将 Access Approval 请求与 Access Transparency 日志相结合,您可以审核整个端到端链,即从支持服务工单、访问请求、审批到最终访问。

访问理由

查看每次访问的原因,包括对特定支持服务工单的引用(若相关)。

资源和方法识别

确定管理员访问的具体资源以及运行的方法。

Stackdriver Logging 集成

可无缝集成到您现有的 Stackdriver Logging 配置中。

访问者位置

查看执行相应操作的管理员所在的国家/地区。

数据保护控制

充分利用 Google 的数据保护控制机制来限制支持人员和工程人员对您数据的访问权限。除非必要,否则不可访问。

近乎实时的发布

以近乎实时的方式检索日志。

Google Cloud

开始使用

学习和构建

刚接触 GCP?您可以领取 $300 赠金,免费开始使用任意 GCP 产品。

需要更多帮助?

我们的专家会根据您的需求,帮助您打造合适的解决方案,或者寻找合适的合作伙伴。