Google Cloud 架构框架中的本文档提供了管理合规性义务的最佳实践。
您的云监管要求取决于多种因素,包括:
- 适用于组织实际位置的法律法规。
- 适用于客户实际位置的法律法规。
- 您所在行业的监管要求。
这些要求会影响许多决策,您需要针对 Google Cloud 中的工作负载启用哪些安全控制措施来做出这些决策。
典型的合规流程分为三个阶段:评估、差距补救和持续监控。本部分介绍了您在每个阶段可以使用的最佳做法。
评估您的合规性需求
在合规性评估中,首先需要全面查看所有监管义务以及您的企业如何履行这些义务。为帮助您评估 Google Cloud 服务,请使用合规性资源中心。此网站为您提供以下方面的详细信息:
- 适用于各种法规的服务支持
- Google Cloud 认证和证明
您可以要求与 Google 合规专家互动,以更好地了解 Google 的合规性生命周期以及如何满足您的要求。
如需了解详情,请参阅确保云中的合规性 (PDF)。
部署 Assured Workloads
Assured Workloads 是一款 Google Cloud 工具,它基于 Google Cloud 中的控制措施构建,可帮助您履行合规性义务。借助 Assured Workloads,您可以执行以下操作:
- 选择您的合规制度。然后,该工具会自动设置基准人员访问权限控制。
- 使用组织政策设置数据的位置,以确保静态数据和资源仅保留在该区域中。
- 选择最适合您的安全和合规性要求的密钥管理选项(例如密钥轮替周期)。
- 对于某些监管要求(例如 FedRAMP Moderate),请选择 Google 支持人员的访问条件(例如,他们是否完成了适当的背景调查)。
- 确保 Google 管理的加密密钥符合 FIPS-140-2 要求,并支持 FedRAMP 中等风险级别合规性。为了增强控制层和职责分离,您可以使用客户管理的加密密钥 (CMEK)。 如需详细了解密钥,请参阅加密数据。
查看蓝图,了解适用于您的合规性制度的模板和最佳实践
Google 发布了蓝图和解决方案指南,其中介绍了最佳做法并提供了 Terraform 模块,帮助您发布有助于实现合规性的环境。下表列出了满足安全性和合规性要求的一些蓝图。
| 标准 | 说明 |
|---|---|
| PCI | |
| FedRAMP | |
| HIPAA |
监控合规性
大多数法规要求您监控特定活动,包括访问权限控制。为帮助您进行监控,您可以使用以下方法:
- Access Transparency,它可在 Google Cloud 管理员访问您的内容时提供近乎实时的日志。
- 防火墙规则日志记录,以针对您自己创建的任何规则记录 VPC 网络内的 TCP 和 UDP 连接。这些日志可用于审核网络访问权限,或者针对以未经批准的方式使用网络提供早期警告。
- VPC 流日志,以记录虚拟机实例发送或接收的网络流量流。
- Security Command Center Premium,以监控是否符合各种标准。
- OSSEC(或其他开源工具),以记录对您的环境具有管理员访问权限的个人的活动。
- Key Access Justifications,以查看密钥访问请求的原因。
自动实现合规性
为了帮助您遵守不断变化的法规,请确定您是否可以通过将安全政策作为代码部署整合到基础架构中来自动执行安全政策。例如,应该考虑以下事项:
使用安全蓝图将安全政策构建到基础架构部署中。
配置 Security Command Center 以在出现不合规问题时发出提醒消息。例如,监控是否存在用户停用两步验证或拥有权限过高的服务账号等问题。如需了解详情,请参阅设置发现结果通知。
设置对特定通知的自动纠正功能。如需了解详情,请参阅 Cloud Functions 代码。
如需详细了解合规性自动化,请参阅风险和合规即代码 (RCaC) 解决方案。
后续步骤
通过以下资源详细了解合规性:
- 实施数据驻留和主权要求(本系列的下一个文档)
- 合规性资源中心
- Google 安全性白皮书 (PDF)
- Assured Workloads