Impor data dari Google Cloud ke data warehouse BigQuery yang aman

Banyak organisasi men-deploy data warehouse yang menyimpan informasi rahasia sehingga mereka dapat menganalisis data untuk berbagai tujuan bisnis. Dokumen ini ditujukan untuk data engineer dan administrator keamanan yang men-deploy dan mengamankan data warehouse menggunakan BigQuery. Ini adalah bagian dari cetak biru keamanan yang terdiri dari hal berikut:

• Sebuah Repositori GitHub yang berisi kumpulan konfigurasi dan skrip Terraform. Konfigurasi Terraform menyiapkan lingkungan di Google Cloud yang mendukung data warehouse yang menyimpan data rahasia.

• Panduan untuk kontrol arsitektur, desain, dan keamanan yang akan Anda terapkan dengan cetak biru ini (dokumen ini).

• Panduan yang men-deploy lingkungan sampel.

Dokumen ini membahas hal-hal berikut:

• Arsitektur dan layanan Google Cloud yang dapat Anda gunakan untuk membantu mengamankan data warehouse di lingkungan produksi.

• Praktik terbaik untuk tatakelola data saat membuat, men-deploy, dan mengoperasikan data warehouse di Google Cloud, termasuk de-identifikasi data, penanganan diferensial data rahasia, dan kontrol akses tingkat kolom.

Dokumen ini mengasumsikan bahwa Anda telah mengonfigurasi serangkaian kontrol keamanan dasar seperti yang dijelaskan dalam blueprint Enterprise Foundation Google Cloud. Layanan ini membantu Anda menambahkan kontrol tambahan ke kontrol keamanan yang ada untuk membantu melindungi data rahasia di data warehouse.

Kasus penggunaan data warehouse

Blueprint mendukung kasus penggunaan berikut:

• Impor data dari Google Cloud ke data warehouse BigQuery yang aman (dokumen ini)

• Mengimpor data dari lingkungan lokal atau cloud lain ke dalam BigQuery warehouse

Ringkasan

Data warehouse seperti BigQuery memungkinkan bisnis menganalisis data bisnis untuk mendapatkan insight. Analis mengakses data bisnis yang disimpan di data warehouse untuk mendapatkan insight, data, laporan, analisis. Jika data warehouse Anda menyertakan data rahasia, Anda harus mengambil langkah untuk menjaga keamanan, kerahasiaan, integritas, dan ketersediaan data bisnis saat disimpan, saat dalam pengiriman, atau saat sedang dianalisis singkat ini. Dalam blueprint ini, Anda akan melakukan hal berikut:

• Konfigurasi kontrol yang membantu mengamankan akses ke data rahasia.
• Konfigurasi kontrol yang membantu mengamankan pipeline data.
• Konfigurasi pemisahan tugas yang sesuai untuk berbagai persona.
• Siapkan template untuk menemukan dan melakukan de-identifikasi data rahasia.
• Siapkan kontrol keamanan dan logging yang sesuai untuk membantu melindungi data rahasia.
• Gunakan klasifikasi data dan tag kebijakan untuk membatasi akses ke kolom tertentu di data warehouse.

Arsitektur

Untuk membuat data warehouse rahasia, Anda harus mengategorikan data sebagai rahasia dan tidak rahasia, lalu menyimpan data tersebut di perimeter yang terpisah. Gambar berikut menunjukkan cara data yang diserap dikategorikan, dide-identifikasi, dan disimpan. Laporan ini juga menunjukkan cara mengidentifikasi ulang data rahasia on demand untuk analisis.

Arsitektur ini menggunakan kombinasi layanan dan fitur Google Cloud berikut:

• Identity and Access Management (IAM) dan Resource Manager membatasi akses dan resource segmen. Kontrol akses dan hierarki resource mengikuti prinsip hak istimewa terendah.

• Kontrol Layanan VPC membuat perimeter keamanan yang mengisolasi layanan dan resource dengan menyiapkan otorisasi, kontrol akses, dan pertukaran data yang aman. Perimeter adalah sebagai berikut:

  • Perimeter penyerapan data yang menerima data yang masuk (dalam batch atau aliran data) dan melakukan de-identifikasi. Zona landing yang terpisah membantu melindungi beban kerja Anda lainnya dari data yang masuk.

  • Perimeter data rahasia yang dapat mengidentifikasi ulang data rahasia dan menyimpannya di area terbatas.

  • Perimeter tata kelola yang menyimpan kunci enkripsi dan menentukan data yang dianggap sebagai data rahasia.

  Perimeter ini dirancang untuk melindungi konten yang masuk, mengisolasi data rahasia dengan menyiapkan kontrol dan pemantauan akses tambahan, serta memisahkan tata kelola Anda dari data aktual di warehouse. Tata kelola Anda mencakup pengelolaan kunci, pengelolaan katalog data, dan logging.

• Cloud Storage dan Pub/Sub menerima data sebagai berikut:

  • Cloud Storage: menerima dan menyimpan data batch sebelum de-identifikasi. Cloud Storage menggunakan TLS untuk mengenkripsi data dalam pengiriman dan mengenkripsi data dalam penyimpanan secara default. Kunci enkripsi adalah kunci enkripsi yang dikelola pelanggan (CMEK). Anda dapat membantu mengamankan akses ke bucket Cloud Storage menggunakan kontrol keamanan seperti Identity and Access Management, daftar kontrol akses (ACL), dan dokumen kebijakan. Untuk mengetahui informasi selengkapnya tentang kontrol akses yang didukung, lihat Ringkasan kontrol akses.

  • Pub/Sub: menerima dan menyimpan data streaming sebelum de-identifikasi. Pub/Sub menggunakan autentikasi, kontrol akses, dan enkripsi tingkat pesan dengan CMEK untuk melindungi data Anda.

• Dua pipeline Dataflow melakukan de-identifikasi dan mengidentifikasi ulang data rahasia sebagai berikut:

  • Pipeline pertama melakukan de-identifikasi data rahasia menggunakan pseudonimisasi.
  • Pipeline kedua mengidentifikasi ulang data rahasia saat pengguna yang diberi otorisasi memerlukan akses.

  Untuk melindungi data, Dataflow menggunakan akun layanan dan kunci enkripsi unik untuk setiap pipeline, serta kontrol akses. Untuk membantu mengamankan eksekusi pipeline dengan memindahkannya ke layanan backend, Dataflow menggunakan Streaming Engine. Untuk mengetahui informasi selengkapnya, lihat Keamanan dan izin Dataflow.

• Perlindungan Data Sensitif melakukan de-identifikasi data rahasia selama proses penyerapan.

  Perlindungan Data Sensitif melakukan de-identifikasi data terstruktur dan tidak terstruktur berdasarkan infoType atau data yang terdeteksi.

• Cloud HSM menghosting kunci enkripsi kunci (KEK). Cloud HSM adalah layanan Hardware Security Module (HSM) berbasis cloud.

• Data Catalog secara otomatis mengategorikan data rahasia dengan metadata, yang juga dikenal sebagai tag kebijakan, selama penyerapan. Data Catalog juga menggunakan metadata untuk mengelola akses ke data rahasia. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Data Catalog. Untuk mengontrol akses ke data dalam data warehouse, Anda menerapkan tag kebijakan ke kolom yang menyertakan data rahasia.

• BigQuery menyimpan data rahasia di perimeter data rahasia.

  BigQuery menggunakan berbagai kontrol keamanan untuk membantu melindungi konten, termasuk kontrol akses, keamanan tingkat kolom untuk data rahasia, dan enkripsi data.

• Security Command Center memantau dan meninjau temuan keamanan dari seluruh lingkungan Google Cloud Anda di satu lokasi terpusat.

Struktur organisasi

Anda mengelompokkan resource organisasi agar dapat dikelola dan memisahkan lingkungan pengujian dari lingkungan produksi. Resource Manager memungkinkan Anda mengelompokkan resource secara logis berdasarkan project, folder, dan organisasi.

Diagram berikut menunjukkan hierarki resource dengan folder yang mewakili berbagai lingkungan seperti bootstrap, umum, produksi, non-produksi (atau staging), dan pengembangan. Anda men-deploy sebagian besar project di cetak biru ke folder produksi, dan project tata kelola data di folder umum yang digunakan untuk tata kelola.

Folder

Anda menggunakan folder untuk mengisolasi lingkungan produksi dan layanan tata kelola dari lingkungan non-produksi dan pengujian Anda. Tabel berikut menjelaskan folder dari blueprint Enterprise Foundation yang digunakan oleh blueprint ini.

Folder	Deskripsi
Produksi	Berisi project yang memiliki resource cloud yang telah diuji dan siap digunakan.
Umum	Berisi layanan terpusat untuk organisasi, seperti proyek tata kelola.

Anda dapat mengubah nama folder ini agar sesuai dengan struktur folder organisasi Anda, tetapi sebaiknya Anda mempertahankan struktur yang serupa. Untuk mengetahui informasi selengkapnya, lihat blueprint enterprise foundation Google Cloud.

Project

Anda mengisolasi bagian lingkungan Anda menggunakan project. Tabel berikut menjelaskan project yang diperlukan dalam organisasi. Anda membuat project ini saat menjalankan kode Terraform. Anda dapat mengubah nama project ini, tetapi sebaiknya pertahankan struktur project yang serupa.

Project	Deskripsi
Penyerapan data	Berisi layanan yang diperlukan untuk menerima data dan melakukan de-identifikasi data rahasia.
Tata kelola	Berisi layanan yang menyediakan kemampuan pengelolaan kunci, logging, dan katalog data.
Data tidak rahasia	Berisi layanan yang diperlukan untuk menyimpan data yang telah dide-identifikasi.
Data rahasia	Berisi layanan yang diperlukan untuk menyimpan dan mengidentifikasi ulang data rahasia.

Selain project tersebut, lingkungan Anda juga harus menyertakan project yang menghosting tugas Template Fleksibel Dataflow. Tugas Template Flex diperlukan untuk pipeline data streaming.

Memetakan peran dan grup ke project

Anda harus memberikan akses ke project yang membentuk data warehouse rahasia kepada berbagai grup pengguna di organisasi Anda. Bagian berikut menjelaskan rekomendasi cetak biru untuk grup pengguna dan penetapan peran dalam project yang Anda buat. Anda dapat menyesuaikan grup agar cocok dengan struktur organisasi yang ada, tetapi sebaiknya Anda mempertahankan pemisahan tugas dan penetapan peran yang serupa.

Grup analis data

Analis data menganalisis data di gudang. Grup ini memerlukan peran dalam berbagai project, sebagaimana dijelaskan dalam tabel berikut.

Pemetaan proyek	Peran
Penyerapan data	roles/dataflow.developer roles/dataflow.viewer roles/logging.viewer Peran tambahan untuk analis data yang memerlukan akses ke data rahasia: roles/datacatalog.categoryFineGrainedReader
Data rahasia	roles/bigquery.dataViewer roles/bigquery.jobUser roles/bigquery.user roles/dataflow.viewer roles/dataflow.developer roles/logging.viewer
Data tidak rahasia	roles/bigquery.dataViewer roles/bigquery.jobUser roles/bigquery.user roles/logging.viewer

Grup data engineer

Data engineer menyiapkan dan memelihara pipeline dan warehouse data. Grup ini memerlukan peran dalam berbagai project, sebagaimana dijelaskan dalam tabel berikut.

Pemetaan proyek	Peran
Penyerapan data	roles/cloudbuild.builds.editor roles/cloudkms.viewer roles/composer.user roles/compute.networkUser roles/dataflow.admin roles/logging.viewer
Data rahasia	roles/bigquery.dataEditor roles/bigquery.jobUser roles/cloudbuild.builds.editor roles/cloudkms.viewer roles/compute.networkUser roles/dataflow.admin roles/logging.viewer
Data tidak rahasia	roles/bigquery.dataEditor roles/bigquery.jobUser roles/cloudkms.viewer roles/logging.viewer

Grup administrator jaringan

Administrator jaringan mengonfigurasi jaringan. Biasanya, mereka adalah anggota tim jaringan.

Administrator jaringan memerlukan peran berikut pada tingkat organisasi:

• roles/compute.networkAdmin

• roles/logging.viewer

Grup administrator keamanan

Administrator keamanan mengelola kontrol keamanan seperti akses, kunci, aturan firewall, Kontrol Layanan VPC, dan Security Command Center.

Administrator keamanan memerlukan peran berikut pada tingkat organisasi:

• roles/accesscontextmanager.policyAdmin

• roles/cloudasset.viewer

• roles/cloudkms.admin

• roles/compute.securityAdmin

• roles/datacatalog.admin

• roles/dlp.admin

• roles/iam.securityAdmin

• roles/logging.admin

• roles/orgpolicy.policyAdmin

Grup analis keamanan

Analis keamanan memantau dan merespons insiden keamanan dan temuan Perlindungan Data Sensitif.

Analis keamanan memerlukan peran berikut di tingkat organisasi:

• roles/accesscontextmanager.policyReader

• roles/datacatalog.viewer

• roles/cloudkms.viewer

• roles/logging.viewer

• roles/orgpolicy.policyViewer

• roles/securitycenter.adminViewer

• roles/securitycenter.findingsEditor

• Salah satu peran Security Command Center berikut:

  • roles/securitycenter.findingsBulkMuteEditor

  • roles/securitycenter.findingsMuteSetter

  • roles/securitycenter.findingsStateSetter

Memahami kontrol keamanan yang Anda perlukan

Bagian ini membahas kontrol keamanan dalam Google Cloud yang Anda gunakan untuk membantu mengamankan data warehouse. Prinsip keamanan utama yang perlu dipertimbangkan adalah sebagai berikut:

• Amankan akses dengan menerapkan prinsip hak istimewa terendah.

• Amankan koneksi jaringan melalui desain dan kebijakan segmentasi.

• Amankan konfigurasi untuk setiap layanan.

• Mengklasifikasikan dan melindungi data berdasarkan tingkat risikonya.

• Memahami persyaratan keamanan untuk lingkungan yang menghosting data warehouse.

• Mengonfigurasi pemantauan dan logging yang memadai untuk deteksi, investigasi, dan respons.

Kontrol keamanan untuk penyerapan data

Untuk membuat data warehouse, Anda harus mentransfer data dari sumber Google Cloud lain (misalnya, data lake). Anda dapat menggunakan salah satu opsi berikut ini untuk mentransfer data ke data warehouse di BigQuery:

• Tugas batch yang menggunakan Cloud Storage.

• Tugas streaming yang menggunakan Pub/Sub. Untuk membantu melindungi data selama penyerapan, Anda dapat menggunakan aturan firewall, kebijakan akses, dan enkripsi.

Aturan jaringan dan firewall

Aturan firewall Virtual Private Cloud (VPC) mengontrol aliran data ke dalam perimeter. Anda membuat aturan firewall yang menolak semua traffic keluar, kecuali untuk koneksi TCP port 443 tertentu dari nama domain khusus restricted.googleapis.com. Domain restricted.googleapis.com memiliki manfaat berikut:

• Fitur ini membantu mengurangi area serangan jaringan Anda dengan menggunakan Akses Google Pribadi saat beban kerja berkomunikasi dengan layanan dan API Google.
• Solusi ini memastikan bahwa Anda hanya menggunakan layanan yang mendukung Kontrol Layanan VPC.

Untuk informasi selengkapnya, lihat Mengonfigurasi Akses Google Pribadi.

Anda harus mengonfigurasi subnet terpisah untuk setiap tugas Dataflow. Subnet terpisah memastikan bahwa data yang sedang dide-identifikasi dipisahkan dengan benar dari data yang sedang diidentifikasi ulang.

Pipeline data mengharuskan Anda untuk membuka port TCP di firewall, seperti yang didefinisikan dalam file dataflow_firewall.tf di repositori modul dwh-networking. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi aturan akses internet dan firewall.

Untuk menolak kemampuan resource untuk menggunakan alamat IP eksternal, kebijakan organisasi compute.vmExternalIpAccess disetel untuk menolak semua.

Kontrol garis keliling

Seperti yang ditunjukkan dalam diagram arsitektur, Anda menempatkan resource untuk data warehouse rahasia ke dalam perimeter yang terpisah. Agar layanan di berbagai perimeter dapat berbagi data, Anda harus membuat perimeter. Jembatan keliling memungkinkan layanan yang dilindungi membuat permintaan untuk resource di luar kelilingnya. Jembatan ini membuat koneksi berikut:

• Solusi tersebut menghubungkan project penyerapan data ke project tata kelola sehingga de-identifikasi dapat terjadi selama penyerapan.

• Project data tersebut menghubungkan project data non-rahasia dengan project data rahasia sehingga data rahasia dapat diidentifikasi ulang saat analis data memintanya.

• Mereka menghubungkan proyek rahasia itu ke proyek tata kelola data sehingga identifikasi ulang dapat dilakukan ketika seorang analis data memintanya.

Selain jembatan perimeter, Anda juga menggunakan aturan keluar untuk memungkinkan resource yang dilindungi oleh perimeter layanan mengakses resource yang berada di luar perimeter. Dalam solusi ini, Anda mengonfigurasi aturan egress untuk mendapatkan tugas Template Dataflow Flex eksternal yang berada di Cloud Storage dalam project eksternal. Untuk informasi selengkapnya, lihat Mengakses resource Google Cloud di luar perimeter.

Kebijakan akses

Untuk membantu memastikan bahwa hanya identitas tertentu (pengguna atau layanan) yang dapat mengakses resource dan data, Anda harus mengaktifkan grup dan peran IAM.

Untuk membantu memastikan bahwa hanya sumber tertentu yang dapat mengakses project Anda, aktifkan kebijakan akses untuk organisasi Google Anda. Sebaiknya Anda membuat kebijakan akses yang menentukan rentang alamat IP yang diizinkan untuk permintaan dan hanya mengizinkan permintaan dari pengguna atau akun layanan tertentu. Untuk mengetahui informasi selengkapnya, lihat Atribut tingkat akses.

Pengelolaan kunci dan enkripsi untuk penyerapan

Kedua opsi penyerapan menggunakan Cloud HSM untuk mengelola CMEK. Anda menggunakan kunci CMEK untuk membantu melindungi data selama penyerapan. Perlindungan Data Sensitif melindungi data Anda lebih lanjut dengan mengenkripsi data rahasia, menggunakan pendeteksi yang Anda konfigurasi.

Untuk menyerap data, gunakan kunci enkripsi berikut:

• Kunci CMEK untuk proses penyerapan yang juga digunakan oleh pipeline Dataflow dan layanan Pub/Sub. Proses penyerapan terkadang disebut sebagai proses ekstrak, transformasi, pemuatan (ETL).

• Kunci kriptografis yang digabungkan oleh Cloud HSM untuk proses de-identifikasi data menggunakan Perlindungan Data Sensitif.

• Dua kunci CMEK, satu untuk warehouse BigQuery di project data yang tidak bersifat rahasia, dan satu lagi untuk warehouse di project data rahasia. Untuk mengetahui informasi selengkapnya, lihat Pengelolaan kunci.

Anda dapat menentukan lokasi CMEK, yang menentukan lokasi geografis tempat kunci disimpan dan tersedia untuk diakses. Anda harus memastikan bahwa CMEK berada di lokasi yang sama dengan resource Anda. Secara default, CMEK dirotasi setiap 30 hari.

Jika kewajiban kepatuhan organisasi mengharuskan Anda mengelola kunci sendiri secara eksternal dari Google Cloud, Anda dapat mengaktifkan Cloud External Key Manager. Jika menggunakan kunci eksternal, Anda bertanggung jawab atas aktivitas pengelolaan kunci, termasuk rotasi kunci.

Akun layanan dan kontrol akses

Akun layanan adalah identitas yang dapat digunakan Google Cloud untuk menjalankan permintaan API atas nama Anda. Akun layanan memastikan identitas pengguna tidak memiliki akses langsung ke layanan. Untuk mengizinkan pemisahan tugas, Anda membuat akun layanan dengan peran yang berbeda untuk tujuan tertentu. Akun layanan ini ditentukan dalam modul data-ingestion dan modul confidential-data. Akun layanan adalah sebagai berikut:

• Akun layanan pengontrol Dataflow untuk pipeline Dataflow yang melakukan de-identifikasi data rahasia.

• Akun layanan pengontrol Dataflow untuk pipeline Dataflow yang mengidentifikasi ulang data rahasia.

• Akun layanan Cloud Storage untuk menyerap data dari file batch.

• Akun layanan Pub/Sub untuk menyerap data dari layanan streaming.

• Akun layanan Cloud Scheduler untuk menjalankan tugas Dataflow batch yang membuat pipeline Dataflow.

Tabel berikut mencantumkan peran yang ditetapkan untuk setiap akun layanan:

Akun Layanan	Nama	Project	Peran
Pengontrol Dataflow Akun ini digunakan untuk de-identifikasi.	sa-dataflow-controller	Penyerapan data	roles/pubsub.subscriber roles/bigquery.admin roles/cloudkms.admin roles/cloudkms.cryptoKeyDecrypter roles/dlp.admin roles/storage.admin roles/dataflow.serviceAgent roles/dataflow.worker roles/compute.viewer
Pengontrol Dataflow Akun ini digunakan untuk identifikasi ulang.	sa-dataflow-controller-reid	Data rahasia	roles/pubsub.subscriber roles/bigquery.admin roles/cloudkms.admin roles/cloudkms.cryptoKeyDecrypter roles/dlp.admin roles/storage.admin roles/dataflow.serviceAgent roles/dataflow.worker roles/compute.viewer
Cloud Storage	sa-storage-writer	Penyerapan data	roles/storage.objectViewer roles/storage.objectCreator Untuk deskripsi peran ini, lihat Peran IAM untuk Cloud Storage.
Pub/Sub	sa-pubsub-writer	Penyerapan data	roles/pubsub.publisher roles/pubsub.subscriber Untuk deskripsi peran ini, lihat Peran IAM untuk Pub/Sub.
Cloud Scheduler	sa-scheduler-controller	Penyerapan data	roles/compute.viewer roles/dataflow.developer

De-identifikasi data

Anda menggunakan Perlindungan Data Sensitif untuk melakukan de-identifikasi data terstruktur dan tidak terstruktur selama fase penyerapan. Untuk data terstruktur, Anda dapat menggunakan transformasi data berdasarkan kolom untuk melakukan de-identifikasi data. Untuk contoh pendekatan ini, lihat folder /examples/de_identification_template/. Contoh ini memeriksa apakah ada nomor kartu kredit dan PIN kartu pada data terstruktur. Untuk data tidak terstruktur, Anda menggunakan jenis informasi untuk melakukan de-identifikasi data.

Untuk melakukan de-identifikasi data yang diberi tag sebagai rahasia, Anda menggunakan Perlindungan Data Sensitif dan pipeline Dataflow untuk membuat token untuk data tersebut. Pipeline ini mengambil data dari Cloud Storage, memprosesnya, lalu mengirimkannya ke data warehouse BigQuery.

Untuk mengetahui informasi selengkapnya tentang proses de-identifikasi data, lihat tata kelola data.

Kontrol keamanan untuk penyimpanan data

Anda mengonfigurasi kontrol keamanan berikut untuk membantu melindungi data di BigQuery warehouse:

• Kontrol akses tingkat kolom

• Akun layanan dengan peran terbatas

• Kebijakan organisasi

• Perimeter Kontrol Layanan VPC antara project rahasia dan project non-rahasia, dengan perimeterperimeter yang sesuai

• Enkripsi dan pengelolaan kunci

Kontrol akses tingkat kolom

Untuk membantu melindungi data rahasia, Anda dapat menggunakan kontrol akses untuk kolom tertentu di BigQuery warehouse. Untuk mengakses data di kolom ini, analis data harus memiliki peran Fine-Grained Reader.

Untuk menentukan akses untuk kolom di BigQuery, buat tag kebijakan. Misalnya, file taxonomy.tf dalam modul contoh bigquery-confidential-data membuat tag berikut:

• Tag kebijakan 3_Confidential untuk kolom yang menyertakan informasi yang sangat sensitif, seperti nomor kartu kredit. Pengguna yang memiliki akses ke tag ini juga memiliki akses ke kolom yang diberi tag dengan tag kebijakan 2_Private atau 1_Sensitive.

• Tag kebijakan 2_Private untuk kolom yang menyertakan informasi identitas pribadi (PII) yang sensitif, seperti nama depan seseorang. Pengguna yang memiliki akses ke tag ini juga memiliki akses ke kolom yang diberi tag dengan tag kebijakan 1_Sensitive. Pengguna tidak memiliki akses ke kolom yang diberi tag dengan tag kebijakan 3_Confidential.

• Tag kebijakan 1_Sensitive untuk kolom yang berisi data yang tidak dapat dipublikasikan, seperti batas kredit. Pengguna yang memiliki akses ke tag ini tidak memiliki akses ke kolom yang diberi tag dengan tag kebijakan 2_Private atau 3_Confidential.

Apa pun yang tidak diberi tag akan tersedia bagi semua pengguna yang memiliki akses ke data warehouse.

Kontrol akses ini memastikan bahwa, bahkan setelah data diidentifikasi ulang, data tetap tidak dapat dibaca hingga akses diberikan secara eksplisit kepada pengguna.

Akun layanan dengan peran terbatas

Anda harus membatasi akses ke project data rahasia sehingga hanya pengguna yang diberi otorisasi yang dapat melihat data rahasia. Untuk melakukannya, buat akun layanan dengan peran roles/iam.serviceAccountUser yang harus ditiru oleh pengguna resmi. Peniruan identitas Akun Layanan membantu pengguna menggunakan akun layanan tanpa mendownload kunci akun layanan, sehingga meningkatkan keamanan project Anda secara keseluruhan. Peniruan identitas membuat token jangka pendek yang mengizinkan pengguna yang memiliki peran roles/iam.serviceAccountTokenCreator untuk didownload.

Kebijakan organisasi

Blueprint ini mencakup batasan kebijakan organisasi yang digunakan blueprint perusahaan dan menambahkan batasan tambahan. Untuk mengetahui informasi selengkapnya tentang batasan yang digunakan blueprint fondasi perusahaan, lihat Batasan kebijakan organisasi.

Tabel berikut menjelaskan batasan kebijakan organisasi tambahan yang ditentukan dalam modul org_policies:

Kebijakan	Nama batasan	Nilai yang direkomendasikan
Batasi deployment resource ke lokasi fisik tertentu. Untuk nilai tambahan, lihat Grup nilai.	gcp.resourceLocations	Salah satu dari kolom berikut: in:us-locations in:eu-locations in:asia-locations
Menonaktifkan pembuatan akun layanan	iam.disableServiceAccountCreation	true
Mengaktifkan Login OS untuk VM yang dibuat di project. Untuk informasi selengkapnya, lihat Mengelola Login OS di organisasi dan Login OS.	compute.requireOsLogin	true
Batasi aturan penerusan baru agar hanya bersifat internal, berdasarkan alamat IP.	compute.restrictProtocolForwardingCreationForTypes	INTERNAL
Tentukan kumpulan subnetwork VPC bersama yang dapat digunakan resource Compute Engine.	compute.restrictSharedVpcSubnetworks	projects/PROJECT_ID/regions/REGION/s ubnetworks/SUBNETWORK-NAME. Ganti SUBNETWORK-NAME dengan ID resource subnet pribadi yang ingin Anda gunakan dengan cetak biru.
Nonaktifkan logging output port serial ke Cloud Logging.	compute.disableSerialPortLogging	true

Pengelolaan kunci dan enkripsi untuk penyimpanan dan identifikasi ulang

Anda mengelola kunci CMEK terpisah untuk data rahasia sehingga Anda dapat mengidentifikasi ulang data tersebut. Anda menggunakan Cloud HSM untuk melindungi kunci. Untuk mengidentifikasi ulang data Anda, gunakan kunci berikut:

• Kunci CMEK yang digunakan pipeline Dataflow untuk proses identifikasi ulang.

• Kunci kriptografis asli yang digunakan Perlindungan Data Sensitif untuk de-identifikasi data Anda.

• Kunci CMEK untuk warehouse BigQuery dalam project data rahasia.

Seperti yang disebutkan sebelumnya dalam Pengelolaan kunci dan enkripsi untuk penyerapan, Anda dapat menentukan lokasi CMEK dan periode rotasi. Anda dapat menggunakan Cloud EKM jika diperlukan oleh organisasi.

Kontrol operasional

Anda dapat mengaktifkan logging dan fitur paket Security Command Center Premium seperti analisis kondisi keamanan dan deteksi ancaman. Kontrol ini membantu Anda melakukan hal berikut:

• Pantau siapa yang mengakses data Anda.

• Pastikan bahwa audit yang tepat diterapkan.

• Dukung kemampuan tim manajemen dan operasi insiden Anda untuk merespons masalah yang mungkin terjadi.

Transparansi Akses

Transparansi Akses memberi Anda notifikasi real-time jika Staf dukungan Google memerlukan akses ke data Anda. Log Transparansi Akses dibuat setiap kali ada orang yang mengakses konten, dan hanya personel Google yang memiliki justifikasi bisnis yang valid (misalnya, kasus dukungan) yang dapat memperoleh akses. Sebaiknya Anda mengaktifkan Transparansi Akses.

Logging

Untuk membantu Anda memenuhi persyaratan audit dan mendapatkan insight tentang project, konfigurasikan Kemampuan Observasi Google Cloud dengan log data untuk layanan yang ingin Anda lacak. Modul centralized-logging mengonfigurasi praktik terbaik berikut:

• Membuat sink log gabungan di semua project.

• Menyimpan log Anda di region yang sesuai.

• Menambahkan kunci CMEK ke sink logging Anda.

Untuk semua layanan dalam project, log Anda harus menyertakan informasi tentang pembacaan dan penulisan data, serta informasi tentang apa yang dibaca administrator. Untuk praktik terbaik logging tambahan, lihat Kontrol detektif.

Peringatan dan pemantauan

Setelah men-deploy cetak biru tersebut, Anda dapat menyiapkan pemberitahuan untuk memberi tahu pusat operasi keamanan (SOC) bahwa terjadi insiden keamanan. Misalnya, Anda dapat menggunakan pemberitahuan untuk memberi tahu analis keamanan ketika izin IAM telah berubah. Untuk informasi selengkapnya tentang mengonfigurasi pemberitahuan Security Command Center, lihat Menyiapkan notifikasi temuan. Untuk pemberitahuan tambahan yang tidak dipublikasikan oleh Security Command Center, Anda dapat menyiapkan pemberitahuan dengan Cloud Monitoring.

Pertimbangan keamanan lainnya

Kontrol keamanan dalam blueprint ini telah ditinjau oleh Google Cybersecurity Action Team dan tim keamanan pihak ketiga. Untuk meminta akses berdasarkan NDA ke model ancaman STRIDE dan laporan penilaian ringkasan, kirim email ke secured-dw-blueprint-support@google.com.

Selain kontrol keamanan yang dijelaskan dalam solusi ini, Anda harus meninjau serta mengelola keamanan dan risiko di area utama yang tumpang-tindih dan berinteraksi dengan penggunaan solusi ini oleh Anda. Hal ini meliputi:

• Kode yang Anda gunakan untuk mengonfigurasi, men-deploy, dan menjalankan tugas Dataflow.

• Taksonomi klasifikasi data yang Anda gunakan dengan solusi ini.

• Konten, kualitas, dan keamanan {i>dataset<i} yang Anda simpan dan analisis di data warehouse.

• Keseluruhan lingkungan tempat Anda men-deploy solusi, termasuk hal berikut:

  • Desain, segmentasi, dan keamanan jaringan yang Anda hubungkan ke solusi ini.
  • Keamanan dan tata kelola kontrol IAM organisasi Anda.
  • Setelan autentikasi dan otorisasi untuk pelaku yang Anda beri akses ke infrastruktur yang merupakan bagian dari solusi ini, dan yang memiliki akses ke data yang disimpan dan dikelola dalam infrastruktur tersebut.

Menyatukan semuanya!

Untuk mengimplementasikan arsitektur yang dijelaskan dalam dokumen ini, lakukan hal berikut:

1. Tentukan apakah Anda akan men-deploy blueprint dengan blueprint Enterprise Foundation atau dengan sendirinya. Jika Anda memilih untuk tidak men-deploy blueprint Enterprise Foundation, pastikan lingkungan Anda memiliki dasar pengukuran keamanan yang serupa.

2. Tinjau Readme untuk mendapatkan cetak biru dan pastikan Anda memenuhi semua prasyarat.

3. Di lingkungan pengujian Anda, deploy panduan untuk melihat cara kerja solusi. Sebagai bagian dari proses pengujian, pertimbangkan hal berikut:

   1. Gunakan Security Command Center untuk memindai project yang baru dibuat berdasarkan persyaratan kepatuhan Anda.

   2. Menambahkan sampel data Anda sendiri ke dalam warehouse BigQuery.

   3. Bekerja samalah dengan analis data di perusahaan Anda untuk menguji akses mereka ke data rahasia, dan apakah mereka dapat berinteraksi dengan data dari BigQuery dengan cara yang diharapkan.

4. Deploy cetak biru tersebut ke lingkungan produksi Anda.

Langkah selanjutnya

• Tinjau blueprint Enterprise Foundation Google Cloud untuk lingkungan dasar yang aman.

• Untuk melihat detail cetak biru, baca readme konfigurasi Terraform.

• Untuk praktik terbaik dan cetak biru lainnya, lihat pusat praktik terbaik keamanan.