Kelola kewajiban kepatuhan

Dokumen dalam Framework Arsitektur Google Cloud ini menyediakan praktik terbaik untuk mengelola kewajiban kepatuhan.

Persyaratan peraturan cloud Anda bergantung pada kombinasi berbagai faktor, termasuk hal berikut:

• Hukum dan peraturan yang berlaku di lokasi fisik organisasi Anda.
• Hukum dan peraturan yang berlaku di lokasi fisik pelanggan.
• Persyaratan peraturan industri Anda.

Persyaratan ini memengaruhi banyak keputusan yang perlu Anda buat tentang kontrol keamanan mana yang perlu diaktifkan untuk workload Anda di Google Cloud.

Perjalanan kepatuhan biasanya melewati tiga tahap: penilaian, perbaikan kesenjangan, dan pemantauan berkelanjutan. Bagian ini membahas praktik terbaik yang dapat Anda gunakan selama setiap tahap.

Menilai kebutuhan kepatuhan Anda

Penilaian kepatuhan dimulai dengan peninjauan menyeluruh atas semua kewajiban peraturan Anda dan cara bisnis Anda menerapkannya. Untuk membantu Anda menilai layanan Google Cloud, gunakan Pusat referensi kepatuhan. Situs ini menyediakan detail tentang hal berikut:

• Dukungan layanan untuk berbagai peraturan
• Sertifikasi dan pengesahan Google Cloud

Anda dapat meminta interaksi dengan pakar kepatuhan Google untuk lebih memahami siklus proses kepatuhan di Google dan bagaimana persyaratan Anda dapat dipenuhi.

Untuk informasi selengkapnya, lihat Memastikan kepatuhan di cloud (PDF).

Men-deploy Assured Workloads

Assured Workloads adalah alat Google Cloud yang dibangun pada kontrol di dalam Google Cloud untuk membantu memenuhi kewajiban kepatuhan Anda. Assured Workloads memungkinkan Anda melakukan hal berikut:

• Memilih rezim kepatuhan Anda. Alat ini kemudian akan otomatis menetapkan kontrol akses personel dasar pengukuran.
• Menetapkan lokasi untuk data Anda menggunakan kebijakan organisasi sehingga data dalam penyimpanan dan resource Anda tetap berada di region tersebut.
• Memilih opsi pengelolaan kunci (seperti periode rotasi kunci) yang paling sesuai dengan persyaratan keamanan dan kepatuhan Anda.
• Untuk persyaratan peraturan tertentu seperti FedRAMP Moderate, memilih kriteria akses oleh staf dukungan Google (misalnya, apakah mereka telah menyelesaikan pemeriksaan latar belakang dengan tepat).
• Memastikan kunci enkripsi yang dikelola Google mematuhi FIPS-140-2 dan mendukung kepatuhan FedRAMP Moderate. Untuk memberi lapisan kontrol tambahan dan memisahkan tugas, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk informasi selengkapnya tentang kunci, lihat Mengenkripsi data Anda.

Tinjau blueprint untuk template dan praktik terbaik yang berlaku untuk rezim kepatuhan Anda

Google telah memublikasikan panduan blueprint dan solusi yang menjelaskan tentang praktik terbaik serta menyediakan modul Terraform agar Anda dapat meluncurkan lingkungan yang membantu Anda mencapai kepatuhan. Tabel berikut mencantumkan pilihan blueprint yang membahas keamanan dan keselarasan dengan persyaratan kepatuhan.

Standar	Deskripsi
PCI	Blueprint keamanan: PCI di GKE Kepatuhan Standar Keamanan Data PCI Membatasi cakupan kepatuhan untuk lingkungan PCI di Google Cloud Kepatuhan PCI DSS di GKE
FedRAMP	Panduan penerapan FedRAMP Google Cloud (PDF) Menyiapkan Workload Tiga Tingkat yang Selaras dengan FedRAMP di Google Cloud
HIPAA	Melindungi data layanan kesehatan di Google Cloud (PDF) Menyiapkan workload yang selaras dengan HIPAA menggunakan Toolkit Perlindungan Data (PDF)

Pantau kepatuhan Anda

Sebagian besar peraturan mengharuskan Anda untuk memantau aktivitas tertentu, termasuk kontrol akses. Untuk membantu Anda memantau, Anda dapat menggunakan hal berikut:

• Transparansi Akses, yang menyediakan log mendekati real-time saat admin Google Cloud mengakses konten Anda.
• Firewall Rules Logging untuk merekam koneksi TCP dan UDP di dalam jaringan VPC untuk setiap aturan yang Anda buat sendiri. Log ini dapat berguna untuk mengaudit akses jaringan atau memberikan peringatan awal bahwa jaringan sedang digunakan dengan cara yang tidak disetujui.
• Log Aliran VPC untuk mencatat alur traffic jaringan yang dikirim atau diterima oleh instance VM.
• Security Command Center Premium untuk memantau kepatuhan terhadap berbagai standar.
• OSSEC (atau alat open source lainnya) untuk mencatat aktivitas individu yang memiliki akses admin ke lingkungan Anda.
• Key Access Justifications untuk melihat alasan permintaan akses kunci.

Membuat kepatuhan Anda otomatis

Untuk membantu Anda tetap mematuhi peraturan yang terus berubah, tentukan apakah ada cara untuk mengotomatiskan kebijakan keamanan Anda dengan menyertakannya ke dalam infrastruktur Anda sebagai deployment kode. Misalnya, pertimbangkan hal berikut:

• Gunakan blueprint keamanan untuk menyertakan kebijakan keamanan Anda ke dalam deployment infrastruktur Anda.

• Konfigurasikan Security Command Center untuk memberi tahu ketika masalah ketidakpatuhan terjadi. Misalnya, pantau masalah seperti pengguna yang menonaktifkan verifikasi dua langkah atau akun layanan dengan hak istimewa berlebih. Untuk informasi selengkapnya, lihat Menyiapkan notifikasi temuan.

• Menyiapkan perbaikan otomatis untuk notifikasi tertentu. Untuk informasi selengkapnya, lihat Kode Cloud Functions.

Untuk informasi selengkapnya tentang otomatisasi kepatuhan, lihat Solusi Risiko dan Kepatuhan sebagai Kode (RCaC).

Langkah selanjutnya

Pelajari kepatuhan lebih lanjut dengan resource berikut:

• Mengimplementasikan persyaratan residensi dan kedaulatan data (dokumen berikutnya dalam seri ini)
• Pusat Referensi Kepatuhan
• Laporan resmi keamanan Google (PDF)
• Assured Workloads