Google Cloud 良好架构框架的安全支柱中包含这一原则,可帮助您确定并满足云部署的监管、合规性和隐私要求。这些要求会影响许多决策,您需要针对Google Cloud中必须对工作负载使用的安全控制措施做出这些决策。
原则概览
满足法规、合规性和隐私权需求是所有企业都不可避免的挑战。云监管要求取决于多种因素,包括:
- 适用于贵组织实际位置的法律法规
- 适用于客户实际位置的法律法规
- 您所在行业的监管要求
隐私权法规定义了您可以如何获取、处理、存储和管理用户数据。您的数据归您所有,包括您从用户那里收到的数据。因此,许多隐私控制由您负责,包括 Cookie、会话管理和获取用户权限控制。
有关实现此原则的建议分为以下几部分:
有关如何应对组织风险的建议
本部分提供了一些建议,可帮助您识别和解决组织面临的风险。
识别组织的风险
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
在 Google Cloud上创建和部署资源之前,请先完成风险评估。此评估应确定您需要哪些安全功能才能满足内部安全要求以及外部监管要求。
风险评估为您提供了一系列特定于组织的风险,并告知您组织在检测和应对安全威胁方面的能力。您必须在部署后立即进行风险分析,并且在业务需求、监管要求或组织面临的威胁发生变化时也要进行风险分析。
如从设计上实现安全原则中所述,云环境中的安全风险与本地环境中的风险有所不同。之所以存在这种差异,是因为云端采用的是责任共担模型,该模型因服务(IaaS、PaaS 或 SaaS)和使用情况而异。使用适用于云的风险评估框架,例如 Cloud Controls Matrix (CCM)。使用威胁建模(例如 OWASP 应用威胁建模)来识别和解决漏洞。如需有关风险评估方面的专家帮助,请与您的 Google 客户代表联系,或参阅 Google Cloud合作伙伴名录。
为风险编制目录后,您必须确定如何解决这些风险,也就是说,您要接受、避免、转移还是缓解风险。如需了解您可以实施的缓解控制措施,请参阅下一部分,了解如何降低风险。
缓解风险
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
在采用新的公共云服务时,您可以使用技术控制、合同保护以及第三方验证或证明来缓解风险。
技术控制是指您用于保护环境的功能和技术。其中包括内置的云安全控制机制,例如防火墙和日志记录。技术控制还可包括使用第三方工具来加强或支持您的安全策略。技术控制分为两类:
- 您可以实现 Google Cloud的安全控制措施,以帮助您缓解适用于您环境的风险。例如,您可以使用 Cloud VPN 和 Cloud Interconnect 来确保本地网络与云网络之间的连接安全无虞。
- Google 拥有强大的内部控制和审核机制,可防止内部人员访问客户数据。我们的审核日志可向您提供有关 Google 管理员在 Google Cloud上进行访问的日志(近乎实时)。
合同保护是指我们针对Google Cloud 服务作出的法律承诺。Google 致力于维护和扩展我们的合规产品组合。《云端数据处理附录》(CDPA) 说明了我们在处理和保护您的数据方面的承诺。此外,CDPA 还概述了访问权限控制机制,以限制 Google 支持工程师对客户环境的访问权限,并介绍了我们严格的日志记录和审批流程。建议您在查看 Google Cloud的合同控制时咨询法律和法规专家,并验证它们是否满足您的要求。如需了解详情,请与您的技术客户代表联系。
第三方验证或证明是指让第三方供应商审核云服务商,以确保云服务商满足合规性要求。例如,如需了解 Google Cloud 与 ISO/IEC 27017 准则相关的认证,请参阅 ISO/IEC 27017 - 合规性。如需查看当前的 Google Cloud 认证和证明函,请参阅合规性资源中心。
有关如何遵守监管和合规义务的建议
典型的合规流程分为三个阶段:评估、差距补救和持续监控。本部分提供了您在每个阶段可以使用的建议。
评估您的合规性需求
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
在合规性评估中,首先需要全面查看所有监管义务以及您的企业如何履行这些义务。为帮助您评估 Google Cloud 服务,请使用合规性资源中心。此网站提供以下方面的信息:
- 适用于各种法规的服务支持
- Google Cloud 认证和证明
如需更好地了解 Google 的合规性生命周期以及如何满足您的要求,您可以联系销售团队,请求 Google 合规专家提供帮助。或者,您也可以联系自己的Google Cloud 客户经理,申请参加合规性研讨会。
如需详细了解可用于管理 Google Cloud 工作负载安全性和合规性的工具和资源,请参阅确保云中的合规性。
自动实现合规性要求
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
为了帮助您遵守不断变化的法规,请确定您是否可以自动执行合规性要求。您既可以使用 Google Cloud 提供的以合规性为重点的功能,也可以使用针对特定合规性制度使用推荐配置的蓝图。
Assured Workloads 基于 Google Cloud 中的控制措施构建,可帮助您履行合规性义务。借助 Assured Workloads,您可以执行以下操作:
- 选择您的合规制度。然后,该工具会自动为所选政权设置基准人员访问权限控制。
- 使用组织政策设置数据的位置,以确保静态数据和资源仅保留在该区域中。
- 选择最适合您的安全和合规性要求的密钥管理选项(例如密钥轮替周期)。
- 为 Google 支持人员选择访问条件,以满足某些监管要求(例如 FedRAMP Moderate)。例如,您可以选择 Google 支持人员是否已完成适当的背景调查。
- 使用 Google 拥有且 Google-owned and Google-managed encryption key 符合 FIPS-140-2 要求并支持 FedRAMP 中等风险级别合规性的密钥。为了增强控制层和职责分离,您可以使用客户管理的加密密钥 (CMEK)。如需详细了解密钥,请参阅加密静态数据和传输中的数据。
除了 Assured Workloads 之外,您还可以使用与您的合规性制度相关的 Google Cloud蓝图。您可以修改这些蓝图,将安全政策纳入基础架构部署中。
为了帮助您构建符合合规性要求的环境,Google 的蓝图和解决方案指南包含建议的配置并提供了 Terraform 模块。下表列出了满足安全性和合规性要求的蓝图。
| 要求 | 蓝图和解决方案指南 |
|---|---|
| FedRAMP |
|
| HIPAA |
监控合规性
此建议与以下重点领域相关:
- 云治理、风险和合规性
- 日志记录、监控和审核
大多数法规要求您监控特定活动,包括与访问权限相关的活动。为帮助您进行监控,您可以使用以下方法:
- Access Transparency: Google Cloud 查看管理员访问您内容时的近乎实时日志。
- 防火墙规则日志记录:针对您创建的任何规则记录 VPC 网络内的 TCP 和 UDP 连接。这些日志可用于审核网络访问权限,或者针对以未经批准的方式使用网络提供早期警告。
- VPC 流日志:记录虚拟机实例发送和接收的网络流量流。
- Security Command Center 高级版:监控是否符合各种标准。
- OSSEC(或其他开源工具):记录对您的环境具有管理员访问权限的个人的活动。
- 密钥访问理由:查看密钥访问请求的原因。
- Security Command Center 通知:在出现不合规问题时接收提醒。例如,在用户停用两步验证或服务账号拥有过多权限时收到提醒。您还可以为特定通知设置自动纠正功能。
关于管理数据主权的建议
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
数据主权提供了一种机制,可阻止 Google 访问您的数据。您只为自己认可的必要提供商行为批准访问请求。例如,您可以通过以下方式管理数据主权:
管理运营主权
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
运营主权能够保证 Google 员工无法损害您的工作负载。例如,您可以通过以下方式管理运营主权:
- 将新资源的部署限制到特定提供商区域。
- 基于预定义的特性(例如,公民身份或地理位置)限制 Google 员工访问权限。
管理软件主权
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
软件主权能够保证您可以控制工作负载的可用性并在任何位置运行它们。此外,您无需依赖或受限于单个云提供商,即可实现这种控制。软件主权包括可承受需要您快速更改工作负载部署位置和允许的外部连接级别的事件的功能。
例如,为帮助您管理软件主权, Google Cloud支持混合云和多云部署。此外,GKE Enterprise 还可让您在云环境和本地环境中管理和部署应用。如果您出于数据主权原因选择本地部署,Google Distributed Cloud 可将硬件和软件组合引入您的数据中心。 Google Cloud
有关如何满足隐私权要求的建议
Google Cloud 包括以下保护隐私权的控制措施:
- 默认加密所有静态数据、传输中的数据和处理中的数据。
- 防范内部人员访问。
- 支持众多隐私权法规。
以下建议介绍了您可以实现的其他控件。如需了解详情,请参阅隐私权资源中心。
控制数据驻留
此建议与以下重点领域相关:Cloud 治理、风险和合规性。
数据驻留描述静态存储数据的位置。数据驻留要求会因系统设计目标、行业监管问题、国家法律、税务影响甚至文化而异。
如需控制数据驻留,请从下列操作开始:
- 了解数据类型及数据位置。
- 确定数据存在哪些风险以及适用哪些法律和法规。
- 控制数据的存储位置或流向位置。
为帮助您遵守数据驻留要求, Google Cloud 允许您控制数据的存储位置、访问方式和处理方式。您可以使用资源位置政策来限制资源的创建位置,并限制数据在区域之间的复制位置。您还可以使用资源的位置属性来标识服务的部署位置及其维护者。如需了解详情,请参阅支持资源位置的服务。
对机密数据进行分类
此建议与以下重点领域相关:数据安全。
您必须定义哪些数据是机密数据,然后确保机密数据得到适当的保护。机密数据可能包括信用卡号码、地址、电话号码和其他个人身份信息 (PII)。您可以使用 Sensitive Data Protection 来设置适当的分类。然后,您可以对数据添加标记和进行令牌化,再存储到 Google Cloud。此外,Dataplex 还提供 catalog 服务,可作为存储、管理和访问元数据的平台。如需了解详情以及数据分类和去标识化示例,请参阅使用敏感数据保护对个人身份信息进行去标识化和重标识处理。
锁定对敏感数据的访问
此建议与以下重点领域相关:
- 数据安全
- 身份和访问权限管理
使用 VPC Service Controls 将敏感数据放置在自己的服务边界内。VPC Service Controls 可帮助您降低未经授权从 Google 代管的服务中复制或转移数据(数据渗漏)的风险。借助 VPC Service Controls,您可以为 Google 代管的服务的资源配置安全边界,并控制跨边界的数据移动。为这些数据设置 Google Identity and Access Management (IAM) 访问权限控制。为需要访问敏感数据的所有用户配置多重身份验证 (MFA)。