本頁面由 Cloud Translation API 翻譯而成。

Google Cloud FedRAMP 實作指南

Last reviewed 2024-02-27 UTC

本指南適用對象為負責實作聯邦風險與授權管理計畫 (FedRAMP) 和 Google Cloud 法規遵循的資安主管、法規遵循主管、IT 管理員和其他員工。這份指南可協助您瞭解 Google 如何支援 FedRAMP 法規遵循，以及您可透過設定哪些 Google Cloud 工具、產品和服務來符合 FedRAMP 規範的責任。

總覽

Google Cloud 支援 FedRAMP 法規遵循，並在 Google 安全性白皮書和 Google 基礎架構安全性設計總覽中，提供安全性與資料保護措施的相關詳細資訊。雖然 Google 提供安全且符合法規的雲端基礎架構，但您最終仍須負責評估自身的 FedRAMP 法規遵循情況。您也有責任確保在 Google Cloud 上建構的環境和應用程式，一律已按照 FedRAMP 規定妥善設定並獲得安全保護。

本文件將從高層次的角度，說明 FedRAMP 營運授權 (ATO) 階段，解釋 Google Cloud 共同責任模式，強調客戶專屬責任，並建議如何在 Google Cloud上滿足這些需求和指南。

FedRAMP

聯邦風險與授權管理計畫 (FedRAMP) 適用於整個政府機構，用途為標準化美國聯邦資訊安全現代化法案 (FISMA) 對雲端造成的影響。這套反覆做法可供相關人員對雲端式服務進行安全性評估、授權和持續監控。

採用 FedRAMP 的標準與指引，可確保雲端中的機密、任務必備和任務重要資料受到保護，並快速偵測網路安全性和安全漏洞。

FedRAMP 的目標大致如下：

確保政府機關使用的雲端服務和系統具備足夠的防護措施。
減少重複作業，降低風險管理成本。
協助政府機構以經濟實惠的方式快速採購資訊系統和服務。

為遵守 FedRAMP 規定，聯邦政府機構必須採取下列行動：

確保所有處理、傳輸及儲存政府資料的雲端系統，都使用 FedRAMP 安全性控制基準。
根據 FISMA 授予安全授權時，請使用安全評估計畫。
透過與雲端服務供應商 (CSP) 簽訂的合約，強制執行 FedRAMP 規定。

執行授權 (ATO)

透過成功導入並執行 FedRAMP 認序，在雲端完成執行授權。FedRAMP 執行授權有兩種路徑：P-ATO 和 Agency ATO。

暫時性執行授權 (P-ATO) 由 FedRAMP 聯合授權委員會 (JAB) 核發。JAB 由國土安全部 (DHS)、總務署 (GSA) 和國防部 (DoD) 的 CIO 組成。委員會負責定義 FedRAMP 安全性控制項基準，並為第三方評估機構 (3PAO) 制定 FedRAMP 認證標準。機構和代理機構會要求 JAB 處理資訊系統安全套件，然後 JAB 會核發 P-ATO，允許使用雲端服務。

採用 Agency ATO 時，內部機構或代理機構會指定授權主管機關 (AO) 針對資訊系統安全性套件進行風險審查。AO 可以協同 3PAO 或未經認證的獨立評估機構 (IAA) 審查資訊系統安全性套件。AO 以及後續的代理機構或機構會授權資訊系統使用雲端服務。系統也會將安全性套件傳送給 FedRAMP 計畫管理辦公室 (PMO) 進行審查；FedRAMP 的 PMO 為 GSA。經審查之後，PMO 會發布其他代理機構和機構專用的安全性套件。

安全評估計畫

機構和組織的授權官員 (AO) 必須將 FedRAMP 安全性評估計畫 (SAP) 納入內部授權程序，確保符合雲端服務使用的 FedRAMP 規定。SAF 的實作分為四個階段：

安全評估計畫的四個階段。

您或 AO 應根據機密性、完整性和可用性的安全性目標，按照 FIPS PUB 199 將資訊系統分類為低、中或高影響系統。

根據系統的 FIPS 分類，選擇與 FIPS 199 分類程度低、中、高度相關的 FedRAMP 安全性控制基準。您就必須導入在個別控制基準中擷取的安全性控管機制。我們也提供替代做法及理由，說明可接受無法達成或導入控管的原因。

在系統安全計畫 (SSP) 中，擷取安全控管措施實作的詳細資料。建議您根據 FedRAMP 法規遵循等級 (低、中或高) 選取 SSP 範本。

SSP 會執行下列作業：

說明安全授權範圍。
說明系統實作如何處理各項 FedRAMP 安全性控制措施。
列出系統角色和職責。
定義預期的系統使用者行為。
展示系統架構和支援基礎架構的樣貌。

您可以使用 FedRAMP 授權審查範本追蹤 ATO 進度。

如要進一步瞭解導入階段，請參閱 FedRAMP 的代理機構授權程序。

雲端責任模式

傳統的基礎架構技術 (IT) 需要機構和代理機構購買、實體資料中心或主機代管空間、實體伺服器、網路設備、軟體、授權和其他用於建置系統與服務的服務。雲端服務供應商可透過雲端運算，投資實體硬體、資料中心和全球網路，同時提供虛擬設備、工具和服務給客戶使用。

目前有三種雲端運算模型：基礎架構即服務 (IaaS)、平台即服務 (PaaS) 和軟體即服務 (SaaS)：

在 IaaS 模式中，CSP 基本上會在雲端提供虛擬資料中心，並提供虛擬化運算基礎架構，例如伺服器、網路和儲存空間。雖然 CSP 會管理這些資源的實體設備和資料中心，但您必須負責設定及保護在虛擬化基礎架構上執行的任何平台或應用程式資源。
在平台即服務 (PaaS) 模型中，CSP 不僅提供及管理基礎架構和虛擬化層，也為客戶提供預先開發及設定的平台，方便他們建立軟體、應用程式和網路服務。開發人員可透過 PaaS 輕鬆建立應用程式和中介軟體，不必擔心基礎硬體的安全性和設定。
在軟體即服務 (SaaS) 模型中，CSP 負責管理實體和虛擬基礎架構以及平台層，同時也為客戶提供雲端式應用程式和服務。直接從網路瀏覽器或網站執行的網路應用程式，即為 SaaS 應用程式。透過這種模式，機構和代理機構就不必擔心應用程式安裝、更新或支援問題，因此只需要管理系統和資料存取權政策即可。

下圖說明 CSP 責任和您的責任，包括內部部署和雲端運算模型：

CSP 和客戶的責任。

FedRAMP 責任

您可以從四個層面查看雲端 IT 堆疊：實體基礎架構層、雲端基礎架構層、雲端平台層和雲端軟體層。下圖顯示這些層。

雲端 IT 堆疊中的層。

圖中編號的圖層對應至下列項目：

軟體即服務。Google Workspace 也通過 FedRAMP 中等影響等級認證。如要沿用這些 SaaS 安全性控管措施，請向 JAB 索取 Google 的 ATO 套件副本，並將 Google 的認證函副本納入您的套件。
平台即服務。除了通過 FedRAMP 認證的實體基礎架構之外，Google Cloud 的其他 PaaS 產品和服務也符合 FedRAMP 規範，包括 App Engine、Cloud Storage 和資料庫服務。 Google Cloud請盡可能使用這些預先認證的產品和服務。
基礎架構即服務：除了通過 FedRAMP 認證的實體基礎架構，Google Kubernetes Engine (GKE) 和 Compute Engine 等其他 IaaS 產品和服務也符合 FedRAMP 規範。 Google Cloud請盡可能使用這些預先認證的產品和服務。
實體基礎架構 Google Cloud 已通過 JAB 認證，符合 FedRAMP 中等風險等級。如要沿用這些實體安全控管措施，您可以要求 Google 的 ATO 套件副本，並在套件中加入 Google 的認證函。

就 FedRAMP 的 ATO 而言，雲端 IT 堆疊的每個層級都會被視為獨立控制界線，且每個控制界線需要獨立的 ATO。也就是說，即使 Google Cloud已符合 FedRAMP 規範，且有數十項服務涵蓋在 FedRAMP 範圍內，您仍須實作 FedRAMP 安全性基準控管機制和 SAF 程序，才能讓雲端系統和工作負載符合 FedRAMP 規範。 Google Cloud

在低、中、高三種 FedRAMP 法規遵循基準中，有兩種 FedRAMP 安全控管措施：資訊系統實作的控管措施，以及機構實作的控管措施。當貴機構或代理商在 Google Cloud上建構符合 FedRAMP 規範的系統時，您會沿用 Google FedRAMP 認證所符合的實體基礎架構安全控管措施。此外，您也會沿用Google FedRAMP 規範產品和服務內建的實體基礎架構、IaaS 和 PaaS 安全控管措施，以及使用 Google Workspace 時的所有 SaaS 控管措施。不過，您必須在 IaaS、PaaS 和 SaaS 層級實作所有其他安全控管和設定，如 FedRAMP 安全控管基準所定義。

FedRAMP 導入建議

如前文所述，您會繼承 CSP 的部分安全性控制項。如要符合其他控管措施，您必須進行特定設定，並建立機構定義的政策、規定和法規。

本節將提供建議，協助您在雲端透過機構定義的政策，搭配Google Cloud 工具、服務和最佳做法，實作 NIST 800-53 安全性控管措施。

存取權控管

如要在 Google Cloud中管理存取權控管，請定義組織管理員，這些管理員將管理雲端中的資訊系統帳戶。使用 Cloud Identity、管理控制台或其他識別資訊提供者 (例如 Active Directory 或 LDAP)，將這些管理員加入存取控制群組，並確保第三方識別資訊提供者已與Google Cloud連結。使用身分與存取權管理 (IAM) 為管理群組指派角色和權限，實作最低權限和職責分離原則。

為雲端資訊系統帳戶制定全機構適用的存取權控管政策。定義貴機構建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。

帳戶管理、職責區隔和最低權限

存取控制政策：定義機構建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。定義資訊系統帳戶的使用條件。

此外，識別使用者必須登出系統的閒置時間 (例如 *x* 分鐘、小時或天)。使用 Cloud Identity、管理控制台或應用程式設定，強制使用者在指定時間範圍內登出或重新驗證。

定義當使用者不再適合擔任貴機構的特殊權限角色時，應採取的動作。Google 的政策智慧* 具有 IAM 推薦功能，可利用機器學習技術提供智慧型存取權控管建議，協助您移除不必要的Google Cloud 資源存取權。

定義適合群組帳戶的條件。使用 Cloud Identity 或管理控制台建立群組或服務帳戶。使用 IAM 將角色和權限指派給共用群組和服務帳戶。盡可能使用服務帳戶。請為貴機構指定資訊系統帳戶的異常使用情形。偵測到異常使用情形時，請使用 Google Cloud Observability 或 *Security Command Center 等工具，向資訊系統管理員發出警報。

請遵循下列準則，協助實作這些安全控管措施：AC-02、AC-02 (04)、AC-02 (05)、AC-02 (07)、AC-02 (09)、AC-02 (11)、AC-02 (12)、AC-05、AC-06 (01)、AC-06 (03)、AC-06 (05)、AU-2、AU-3、AU-6、AU-12、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)。

強制執行資訊流程和遠端存取

在全機構適用的存取權控管政策中，為貴機構定義資訊流控管政策。找出禁止或受限的通訊埠、通訊協定和服務。定義與內部和外部系統互連的規定和限制。使用虛擬私有雲等工具建立防火牆、邏輯上隔離的網路和子網路。導入 Cloud Load Balancing、Cloud Service Mesh 和 VPC Service Controls，控管資訊流向。

設定資訊流控管政策時，請找出貴機構受控的網路存取點。使用 Identity-Aware Proxy 等工具，為遠端和現場使用者提供雲端資源的情境式存取權。使用 Cloud VPN 或 Cloud Interconnect，直接安全地存取虛擬私有雲。

設定全機構適用的政策，透過遠端存取執行具備特殊權限的指令，以及存取安全資料。使用 IAM 和 VPC Service Controls 限制機密資料和工作負載的存取權。

請按照這些指南，協助實作下列安全控管措施：AC-04、AC-04 (08)、AC-04 (21)、AC-17 (03)、AC-17 (04)、CA-03 (03)、CA-03 (05)、CM-07、CM-07(01)、CM-07(02)。

登入嘗試、系統使用通知和工作階段終止

在存取控制政策中，指定使用者在 15 分鐘內嘗試登入失敗 3 次後，應延遲多久才能存取登入提示。定義終止或中斷使用者工作階段的條件和觸發條件。

使用 Cloud Identity 進階版或管理控制台，管理連線至網路的行動裝置，包括自攜裝置。建立適用於行動裝置的機構全域安全性政策。列出連續登入失敗後，清除及抹除行動裝置資料的要求和程序。

為全機構開發語言和系統使用通知，向存取資訊系統的使用者提供隱私權政策、使用條款和安全注意事項。定義顯示全機構通知的條件，再授予使用者存取權。Pub/Sub 是一種全域訊息傳遞和事件擷取系統，可用於將通知推送至應用程式和使用者。您也可以使用 *Chrome Enterprise 套件，包括 *Chrome 瀏覽器和 *ChromeOS，搭配 *Push API 和 *Notifications API 向使用者傳送通知和最新消息。

請遵循下列準則，協助實作這些安全控管措施：AC-07、AC-07 (02)、AC-08、AC-12、AC-12 (01)。

允許的動作、行動裝置、資訊共用

在存取權控管政策中，定義使用者可對資訊系統執行的動作，無須識別和驗證。使用 IAM 控管使用者存取權，以查看、建立、刪除及修改特定資源。

制定全機構適用的資訊分享政策。判斷在哪些情況下可以分享資訊，以及何時需要使用者自行斟酌是否分享資訊。採用相關程序，協助使用者分享資訊，並在整個機構中協作。Google Workspace 提供豐富的功能，可控管團隊的協作和參與度。

請遵循以下指南，協助實作這些安全控制項：AC-14、AC-19 (05)、AC-21。

宣導與訓練

建立安全性政策和相關訓練教材，每年至少向機構內的使用者和安全性群組發布一次。Google 提供專業服務選項，協助使用者瞭解雲端安全，包括但不限於雲端探索安全參與和 Google Workspace 安全評估。

至少每年更新一次安全性政策和訓練內容。

請遵循這些指南，協助實作安全控管 AT-01。

稽核與問責

建立全機構稽核政策和權責控管機制，針對與雲端資訊系統相關的稽核人員、事件和動作制定程序和實作規範。

在全機構稽核政策中，列出貴機構資訊系統應稽核的事件，以及稽核頻率。記錄的事件包括帳戶登入成功和失敗事件、帳戶管理事件、物件存取、政策變更、權限功能、程序追蹤和系統事件。以網頁應用程式為例，這類記錄包括管理員活動、驗證檢查、授權檢查、資料刪除、資料存取、資料變更和權限變更。為貴機構定義其他感興趣的事件。

此外，我們也建議您在稽核政策中，為貴機構指定不當或異常活動的指標。定期 (至少每週一次) 監控、記錄及標記這些活動。

使用 Google Cloud Observability 管理 Google Cloud、地端部署或其他雲端環境的記錄、監控和快訊。使用 Google Cloud Observability 設定及追蹤機構中的安全性事件。您也可以使用 Cloud Monitoring 設定自訂指標，監控稽核記錄中貴機構定義的事件。

啟用資訊系統，在稽核處理失敗時通知管理員。您可以使用 Pub/Sub 和快訊等工具實作這些快訊。

設定在系統或功能發生故障時，於特定時間內 (例如 15 分鐘內) 通知管理員的標準，包括稽核記錄達到設定的門檻或容量上限時。決定全機構的時間測量精細程度，稽核記錄應依此加上時間戳記並記錄。定義資訊系統稽核追蹤記錄中時間戳記記錄的容許程度 (例如近乎即時或 20 分鐘內)。

調整 VPC 配額，建立稽核記錄儲存空間的容量門檻。設定預算快訊，在達到或超過資源限制的百分比時通知管理員。

定義稽核資料和記錄的機構儲存空間需求，包括稽核記錄的可用性和保留規定。使用 Cloud Storage 儲存及封存稽核記錄，並使用 BigQuery 進一步分析記錄。

請遵循下列準則，協助實作這些安全控管措施：AU-01、AU-02、AU-04、AU-05、AU-05 (01)、AU-06、AU-07 (01)、AU-08、AU-08 (01)、AU-09 (04)、AU-09 (04)、AU-12、AU-12 (01)、AU-12 (03)、CA-07。

安全性評估與授權

制定全機構適用的安全評估和授權政策，定義機構安全評估、安全控管和授權控管的程序和實作規定。

在安全評估和授權政策中，定義安全評估團隊的獨立性等級，確保團隊能公正評估雲端資訊系統。找出需要由獨立評估人員評估的資訊系統。

安全性評估至少應涵蓋下列項目：

深入監控
安全漏洞掃描
惡意使用者測試
內部威脅評估
效能和負載測試

貴機構應定義額外的安全評估要求和形式。

請確認您的安全評估和授權政策已指定安全系統分類和需求，包括未分類和非國家安全系統的需求。

在貴機構的資訊流控管政策�中，列出內部和外部系統互連的規定和限制。設定虛擬私有雲防火牆規則，允許及拒絕資訊系統的流量，並使用 VPC Service Controls 透過安全防護參數保護機密資料。

設定全機構適用的稽核和責任政策，強制執行持續監控規定 (CA-07)。

請遵循下列指南，協助實作這些安全控管措施：CA-01、CA-02、CA-02 (01)、CA-02 (02)、CA-02 (03)、CA-03 (03)、CA-03 (05)、CA-07、CA-07 (01)、CA-08、CA-09。

設定管理

建立全機構適用的設定管理政策，定義全機構設定管理控管機制、角色、責任、範圍和法規遵循的程序和實作規範。

為機構擁有的資訊系統和系統元件，制定標準化的設定要求。提供資訊系統的設定作業需求和程序。明確指出系統管理員必須保留多少個基準設定的舊版，才能支援資訊系統復原。使用 Google 的一系列設定管理工具，以程式碼形式控管 IT 系統設定，並透過 *Policy Intelligence 或 *Security Command Center 監控設定變更。

為貴機構的每種資訊系統指定設定需求 (例如雲端、內部部署、混合式、未分類、受控管的未分類資訊 (CUI) 或機密)。此外，您也可以為機構擁有的裝置和自攜裝置 (BYOD) 定義安全防護措施要求，包括識別安全和不安全的地理位置。使用 Identity-Aware Proxy，對機構擁有的資料強制執行情境式存取權控管，包括依地理位置控管存取權。使用 Cloud Identity 進階版或管理控制台，在連線至公司網路的行動裝置上強制執行安全性設定。

在設定管理政策中，定義全機構的設定變更控制元素，例如變更控制委員會或董事會。記錄委員會的會議頻率和召開條件。建立正式機構，負責審查及核准設定變更。

找出貴機構的設定管理核准授權單位。這些管理員負責審查資訊系統的變更要求。定義主管機關核准或拒絕變更要求的時間範圍。為變更實施者提供指引，在資訊系統變更完成時通知核准授權單位。

為貴機構設定開放原始碼軟體的使用限制，包括指定核准和未核准使用的軟體。使用 Cloud Identity 或管理控制台，為貴機構強制執行核准的應用程式和軟體。使用 Cloud Identity 進階版，您可以為第三方應用程式啟用單一登入和多重驗證。

使用快訊等工具，在系統記錄設定變更時，向安全管理員傳送通知。授予管理員存取權，讓他們使用 Security Command Center 等工具，近乎即時地監控設定變更。您可以使用 *Policy Intelligence 透過機器學習技術研究機構定義的設定，瞭解設定何時會與基準有所不同。

使用資訊流控制政策，在整個機構中強制執行最少功能。

請按照下列規範，協助實作這些安全控管措施：CM-01、CM-02 (03)、CM-02 (07)、CM-03、CM-03 (01)、CM-05 (02)、CM-05 (03)、CM-06、CM-06 (01)、CM-06 (02)、CM-07、CM-07 (01)、CM-07 (02)、CM-07 (05)、CM-08、CM-08 (03)、CM-10 (01)、CM-11、CM-11 (01)、SA-10。

應變計畫

為機構制定應變計畫，定義機構內應變計畫控制項的程序和實作規定。找出各機構單位的重要應變人員、角色和職責。

醒目顯示貴機構內任務和業務不可或缺的資訊系統運作。在啟動應變措施後，列出恢復重要作業的復原時間目標 (RTO) 和復原點目標 (RPO)。

記錄重要資訊系統和相關軟體。找出任何其他安全性相關資訊，並提供儲存重要系統元件和資料備份副本的指引和規定。部署全球、區域和可用區資源，以及全球各地位置，確保高可用性。使用 Cloud Storage 類別，取得多區域、單一區域、備份和封存選項。使用 Cloud Load Balancing 實作全球網路自動調度資源與負載平衡功能。

請按照這些準則實作下列安全控管機制：CP-01、CP-02、CP-02 (03)、CP-07、CP-08、CP-09 (03)。

識別與驗證

為貴機構建立身分識別和驗證政策，其中應指定身分識別和驗證程序、範圍、角色、責任、管理、實體和法規遵循。指定貴機構要求的識別和驗證控制項。使用 Cloud Identity 進階版或管理控制台，找出可連線至貴機構資源的企業和個人裝置。使用 Identity-Aware Proxy 對資源強制執行情境感知存取權。

包括貴機構的驗證器內容相關指引、驗證器重複使用條件、驗證器保護標準，以及驗證器變更或重新整理標準。此外，也請擷取使用快取驗證器的相關規定。指定使用快取驗證器的時間限制，並建立快取驗證器的到期時間定義。定義貴機構資訊系統應強制執行的最低和最高生命週期需求，以及重新整理時間週期。

使用 Cloud Identity 或管理控制台強制執行密碼政策，包括密碼的敏感度、字元使用方式、新密碼的建立或重複使用、密碼有效期限、儲存方式和傳輸規定。

為貴機構的驗證作業 (包括但不限於 PIV 卡和 PKI 需求) 制定硬體和軟體權杖驗證需求。您可以透過 *Titan 安全金鑰，對管理員和具備特殊權限的人員強制執行額外的驗證規定。

在身分識別和驗證政策中，列出可接受機構內第三方的聯邦身分、憑證和存取權管理 (FICAM) 資訊系統元件。Google 的 Identity Platform 是客戶身分與存取權管理 (CIAM) 平台，可協助機構在外部實體存取的應用程式中，加入身分與存取權管理功能。

請按照這些指南，協助實作下列安全控管措施：IA-01、IA-03、IA-04、IA-05、IA-05 (01)、IA-05 (03)、IA-05 (04)、IA-05 (11)、IA-05 (13)、IA-08 (03)。

事件應變

為貴機構制定事件回應政策，包括協助及實施事件回應控制措施的程序。為貴機構的事件回應團隊和主管機關建立安全群組。使用 Google Cloud Observability 或 *Security Command Center 等工具，分享事件事件、記錄和詳細資料。

制定事件應變測試計畫、程序和檢查清單，以及成功所需的條件和基準。指定貴機構應辨識的事件類別，並列出因應這類事件應採取的相關行動。定義授權人員在發生事件時應採取的行動。這些動作可能包括管理資訊外洩、網路安全漏洞和攻擊的步驟。善用 Google Workspace 的功能，掃描及隔離電子郵件內容、封鎖網路釣魚嘗試，以及限制附件。使用 Sensitive Data Protection 檢查、分類及去識別化機密資料，以限制曝光。

指定機構全體適用的事件應變訓練需求，包括一般使用者和具備特殊權限角色的訓練需求與責任。強制規定訓練課程的修習時間 (例如加入後 30 天內、每季或每年)。

請按照這些指南實作下列安全控管措施：IR-01、IR-02、IR-03、IR-04 (03)、IR-04 (08)、IR-06、IR-08、IR-09、IR-09 (01)、IR-09 (03)、IR-09 (04)。

系統維護

為貴機構建立系統維護政策，記錄系統維護控管機制、角色、責任、管理、協調需求和法規遵循情形。定義受控維護的參數，包括執行異地維護和維修的核准程序，以及更換故障裝置和零件的全機構週轉時間。貴機構將享有以下優勢：資料刪除 Google Cloud、資料和設備清除，以及 Google 資料中心安全性和創新技術，可進行異地維護和維修。

請遵循以下指南，協助實作這些安全控管措施：MA-01、MA-02、MA-06。

媒體保護

根據 Google Cloud的 FedRAMP ATO，我們符合實體基礎架構的媒體保護需求。請參閱 Google 的基礎架構安全性設計和安全性總覽。您隨後有責任滿足虛擬基礎架構安全需求。

為貴機構制定媒體保護政策，記錄媒體控管、保護政策和程序、法規遵循規定，以及管理角色和責任。記錄程序，以利在整個機構中推動及實施媒體保護措施。建立安全性群組，識別管理媒體及其保護措施的人員和角色。

為貴機構指定核准的媒體類型和存取權，包括數位和非數位媒體限制。設定媒體標記和媒體處理例外狀況，並在整個機構中實施，包括控管存取區域內外的安全標記要求。使用 *資料目錄管理雲端資源中繼資料，簡化資料探索作業。透過*服務目錄，控管機構的雲端資源法規遵循情形，並規範雲端資源的發布和探索。

找出貴機構管理媒體的清除、丟棄或重複使用方式。列出需要或可接受清除、丟棄或重複使用媒體和裝置的用途和情況。定義貴機構認為可接受的媒體安全防護方法和機制。

Google 會刪除資料並清除資料和設備，還提供資料中心安全性和創新技術，讓您享有諸多優勢。 Google Cloud 此外，Cloud KMS 和 Cloud HSM 提供符合 FIPS 標準的加密保護，您也可以使用 Titan 安全金鑰，為管理員和具備權限的人員強制執行額外的實體驗證規定。

請遵循下列準則，協助實作這些安全控制項：MP-01、MP-02、MP-03、MP-04、MP-06、MP-06 (03)、MP-07。

實體和環境保護

Google Cloud 的 FedRAMP ATO 涵蓋實體基礎架構的實體和環境保護要求。請參閱 Google 的基礎架構安全性設計和安全性總覽。您隨後有責任滿足虛擬基礎架構安全需求。

為貴機構制定實體和環境保護政策，列出保護控管措施、保護實體、法規遵循標準、角色、職責和管理規定。說明如何在機構中實施實體和環境保護措施。

建立安全性群組，識別管理實體和環境保護的人員和角色。要求存取機密運算資源的管理員使用 *Titan 安全金鑰或其他形式的多重驗證，確認存取完整性。

在實體和環境保護政策中，為貴機構定義實體存取控制規定。找出資訊系統地點的設施出入口、這類設施的存取權控管防護措施，以及庫存需求。善用 Google 地圖平台等工具，以視覺化方式顯示及追蹤設施，以及位置對應的進出點。使用 Resource Manager 和 Service Catalog 控制雲端資源的存取權，讓資源井然有序且容易探索。

使用 Cloud Monitoring 設定可記錄的事件、存取和事件。定義應在 Cloud Logging 中記錄的機構全體實體存取事件。

使用實體和環境保護政策，因應緊急狀況，例如資訊系統緊急關機、緊急供電、滅火和緊急應變。找出緊急應變聯絡人，包括貴機構的當地緊急應變人員和實體安全人員。列出替代工作地點的規定和位置。為主要和替代工作地點指定安全控管措施和人員。部署 Google 的全球、區域和可用區資源，以及全球各地位置，確保高可用性。使用 Cloud Storage 類別，取得多區域、單一區域、備份和封存選項。使用 Cloud Load Balancing 實作全球網路自動調度資源與負載平衡功能。建立宣告式部署範本，建立可重複執行的範本導向部署程序。

請按照這些準則，協助實作下列安全控管措施：PE-01、PE-03、PE-03 (01)、PE-04、PE-06、PE-06 (04)、PE-10、PE-13 (02)、PE-17。

系統安全規劃

為貴機構制定安全規劃政策，列出安全規劃控管機制、角色、責任、管理、貴機構的安全規劃實體，以及法規遵循要求。說明您預期如何在整個機構中落實安全規劃。

建立群組，據此定義安全規劃人員。為貴機構的安全評估、稽核、軟硬體維護、修補程式管理和應變計畫指定安全群組。使用 Google Cloud Observability 或 *Security Command Center 等工具，監控貴機構的安全性、法規遵循和存取權控管。

請按照這些準則，協助實作下列安全控制項：PL-01、PL-02、PL-02 (03)。

員工安全性

制定人員安全政策，明確指出安全人員、其角色和職責、您期望如何落實人員安全，以及要在整個機構中強制執行的安全控管措施。擷取需要個人接受機構安全審查、重新審查和調查的條件。列出貴機構的安全許可要求。

提供有關處理人員離職和調職的指引。定義離職面談的需求和參數，以及面談期間應討論的安全主題。指定預計通知貴機構安全和管理實體人事終止、調職或重新指派的時間 (例如 24 小時內)。指定您預期人事人員和機構完成的轉移、重新指派或終止作業。此外，也請涵蓋執行正式員工處分的要求。說明您預計何時通知安全人員和管理員員工處分，並說明處分程序。

使用 IAM 指派角色和權限給人員。在 Cloud Identity 或管理控制台中新增、移除、停用及啟用人員設定檔和存取權。強制管理員和具備權限的人員使用 *Titan 安全金鑰，以符合額外的實體驗證規定。

請按照這些指南，協助實作下列安全控管措施：PS-01、PS-03、PS-04、PS-05、PS-07、PS-08。

風險評估

實施風險評估政策，找出風險評估人員、您希望在整個機構中強制執行的風險評估控制措施，以及在機構中執行風險評估的程序。定義風險評估的記錄和報告方式。使用 Security Command Center 等工具，自動通知安全人員貴機構的安全性風險和整體安全防護機制。

善用 Google 的風險評估工具套件，例如 Web Security Scanner、Artifact Analysis、Google Cloud Armor 和 Google Workspace 網路釣魚和惡意軟體防護，掃描並回報貴機構資訊系統的安全性弱點。提供這些工具給風險評估人員和管理員，協助找出並消除安全漏洞。

按照這些準則設定實作時採用的基礎安全機制：RA-01、RA-03、RA-05。

系統和服務採購

制定系統和服務採購政策，列出重要人員的角色和責任、採購和服務管理、法規遵循和實體。為貴機構制定系統和服務採購程序，以及實作指南。為資訊系統和資訊安全定義貴機構的系統開發生命週期。列出資訊安全角色和責任、人員，以及您預期機構的風險評估政策如何推動及影響系統開發生命週期活動。

如果資訊系統文件無法使用或未定義，請強調您預期在機構內執行的程序。視需要與貴機構的資訊系統管理員和系統服務人員合作。為貴機構中實作或存取資訊系統的管理員和使用者，定義任何必要訓練。

使用 *Security Command Center 等工具，追蹤貴機構的安全性法規遵循情形、發現項目和安全性控管政策。Google 列出所有安全標準、法規和認證，協助客戶瞭解如何遵守Google Cloud的法規要求和法律。此外，Google 也提供一系列安全產品，協助客戶持續監控雲端和地端資訊系統、通訊和資料。

指定機構資料、服務和資訊處理的任何位置限制，以及資料可在其他位置儲存的條件。Google 提供全球、區域和可用區選項，供您在 Google Cloud中儲存及處理資料，並使用服務。

運用設定管理政策，控管開發人員的系統和服務取得設定管理，並使用安全評估和授權政策，強制執行開發人員安全測試和評估要求。

請按照這些指南，協助實作下列安全控管措施：SA-01、SA-03、SA-05、SA-09、SA-09 (01)、SA-09 (04)、SA-09 (05)、SA-10、SA-11、SA-16。

系統和通訊防護

建立系統和通訊保護政策，當中應列出重要人員的角色和責任、系統通訊保護政策的實作規定，以及貴機構所需的保護控管措施。找出貴機構可辨識及監控的阻斷服務攻擊類型，並列出貴機構的 DoS 防護需求。

使用 Google Cloud Observability 為機構記錄預先定義的安全性攻擊，並接收相關快訊和快訊。導入 Cloud Load Balancing 和 Cloud Armor 等工具，保護雲端邊界，並運用防火牆和網路安全控管等虛擬私有雲服務，保護內部雲端網路。

找出貴機構的資源可用性需求；定義您希望在貴機構中分配雲端資源的方式，以及為限制過度使用而要實作的限制。使用 Resource Manager 等工具，控管機構、資料夾、專案和個別資源層級的資源存取權。調整配額，在 Google Cloud中管理 API 要求和資源用量。

為資訊系統和系統通訊建立邊界防護需求。定義內部通訊流量的需求，以及您預期內部流量與外部網路互動的方式。指定 Proxy 伺服器和其他網路轉送與驗證元件的需求。

善用 *Cloud Service Mesh 管理貴機構的網路流量和通訊流程。使用 Identity-Aware Proxy 依據驗證、授權和情境 (包括地理位置或裝置指紋) 控管雲端資源的存取權。實作*私人 Google 存取權、*Cloud VPN 或 *Cloud Interconnect，確保內部和外部資源之間的網路流量和通訊安全無虞。使用虛擬私有雲定義及保護貴機構的雲端網路；建立子網路，進一步隔離雲端資源和網路安全範圍。

Google 提供全球軟體定義網路，並提供多區域、區域和可用區選項，確保高可用性和容錯移轉。為貴機構定義失敗需求，確保資訊系統會失敗並進入已知狀態。擷取保留資訊系統狀態資訊的相關規定。使用代管執行個體群組和 Deployment Manager 範本，重新例項化失敗或健康狀態不良的資源。授予管理員存取權，讓他們使用 Security Command Center 主動監控貴機構的機密性、完整性和可用性狀態。

政策應列出貴機構管理加密編譯金鑰的規定，包括金鑰產生、發布、儲存、存取和銷毀的規定。使用 Cloud KMS 和 Cloud HSM，在雲端管理、產生、使用、輪替、儲存及銷毀符合 FIPS 標準的安全金鑰。

Google 預設會加密靜態資料，但您可以搭配使用 Cloud KMS 與 Compute Engine 和 Cloud Storage，透過加密編譯金鑰進一步加密資料。您也可以部署受防護的 VM，在 Compute Engine 上強制執行核心層級的完整性控制項

請遵循下列指南，協助實作這些安全控管措施：SC-01、SC-05、SC-06、SC-07 (08)、SC-07 (12)、SC-07 (13)、SC-07 (20)、SC-07 (21)、SC-12、SC-24、SC-28、SC-28 (01)。

系統和資訊完整性

實作系統和資訊完整性政策，當中應列出貴機構重要人員的角色和責任、完整性實作程序和規定、法規遵循標準，以及安全控管措施。為貴機構中負責系統和資訊完整性的人員建立安全群組。為貴機構制定瑕疵補救措施要求，包括監控、評估、授權、實作、規劃、基準化及補救貴機構和資訊系統安全瑕疵的指南。

善用 Google 的全套安全工具，包括但不限於：

Chrome 瀏覽器
Web Security Scanner
Artifact Analysis
Google Workspace 網路釣魚和惡意軟體防護功能
Google Workspace 安全中心
Cloud Armor

使用這些工具可以：

防範惡意程式碼、網路攻擊和常見安全漏洞。
隔離垃圾郵件，並設定垃圾郵件和惡意軟體政策。
向管理員發送快訊，通知安全漏洞。
取得整個機構的洞察資訊，以便集中管理。

使用 Google Cloud Observability 或 *Security Command Center 等工具，集中管理、監控及監控貴機構的安全性控管項目和發現項目。具體來說，您可以使用 Google Cloud Observability 記錄貴機構中，具備權限的使用者和人員所發起的管理動作、資料存取和系統事件。通知管理員錯誤訊息和資訊系統錯誤處理。

根據貴機構的軟體、韌體和資訊定義安全性相關事件 (例如零時差漏洞、未經授權刪除資料、安裝新硬體、軟體或韌體)。說明發生這類安全性相關異動時應採取的步驟。為管理員指定監控目標和攻擊指標，方便他們特別留意，包括貴機構資訊系統中應監控的重要資訊。定義系統和資訊監控的角色與職責，以及監控和回報頻率 (例如即時、每 15 分鐘、每小時或每季)。

擷取需求，以分析貴機構資訊系統的通訊流量。指定異常狀況的探索需求，包括要監控的系統點。*Google 的 Network Intelligence Center 服務可進行深入的網路效能和安全監控。Google 也與第三方合作夥伴建立強大的合作關係，整合Google Cloud ，掃描及保護雲端端點和主機，例如 +Aqua Security 和 +Crowdstrike。受防護的 VM 可強化裝置、驗證驗證，並確保安全啟動程序。

定義貴機構檢查及防範安全性異常和完整性違規行為的方式。使用 *Security Command Center 或 *Policy Intelligence 等工具，監控及偵測設定變更。使用設定管理工具或 Deployment Manager 範本重新例項化，或停止變更雲端資源。

在系統資訊和完整性政策中，指定授權和核准貴機構網路服務的要求。網路服務的核准和授權程序。VPC 可定義雲端網路和子網路，並使用防火牆保護網路邊界，因此是不可或缺的工具。VPC Service Controls 可為雲端中的機密資料強制執行額外的網路安全範圍。

此外，您還會自動沿用 Google 的安全啟動堆疊，以及值得信賴的縱深防禦基礎架構。

請遵循下列準則，協助實作這些安全控管措施：SI-01、SI-02 (01)、SI-02 (03)、SI-03 (01)、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)、SI-05、SI-06、SI-07、SI-07 (01)、SI-07 (05)、SI-07 (07)、SI-08 (01)、SI-10、SI-11、SI-16。

結論

雲端安全與法規遵循是您和 CSP 共同的責任。Google 會確保實體基礎架構和相應服務符合數十種第三方標準、法規和認證，但您必須確保在雲端中建構的任何項目都符合規定。

Google Cloud 提供與 Google 用於保護基礎架構的安全產品和功能，協助您達成法規遵循目標。

後續步驟

探索 Google Cloud 的參考架構、圖表和最佳做法。歡迎瀏覽我們的雲端架構中心。