Google Cloud 良好架构框架中的“安全性、隐私权和合规性”支柱提供了一些建议，可帮助您设计、部署和运营符合安全性、隐私权和合规性要求的云工作负载。

本文档旨在提供有价值的分析洞见，满足各种安全专业人员和工程师的需求。下表介绍了本文档的目标受众群体：

受众	本文档提供的内容
首席信息安全官 (CISO)、业务部门领导和 IT 经理	这是一个通用框架，旨在建立和维护云端卓越的安全性，确保全面了解安全领域，从而就安全投资做出明智的决策。
安全架构师和工程师	设计和运营阶段的关键安全实践，有助于确保解决方案的设计注重安全性、效率和可扩展性。
DevSecOps 团队	有关如何纳入总体安全控制措施来规划自动化功能，以实现安全可靠的基础架构的指南。
合规官和风险管理人员	关键安全建议：采用结构化的方法进行风险管理，并采取有助于履行合规义务的保护措施。

为了确保您的工作负载满足安全、隐私和合规性要求，组织中的所有利益相关方都必须采用协作方法。 Google Cloud 此外，您必须认识到，保障云安全是您和 Google 共同的责任。如需了解详情，请参阅 Google Cloud上的共担责任和共享命运。

本支柱中的建议分为核心安全原则。 每项基于原则的建议都与一个或多个可能对贵组织至关重要的部署云安全重点领域相关联。每条建议都会重点介绍有关使用和配置Google Cloud 产品和功能的指导，以帮助您改善组织的安全状况。

核心原则

本支柱中的建议分为以下安全核心原则。此支柱中的每条原则都很重要。根据贵组织和工作负载的要求，您可以选择优先考虑某些原则。

• 从设计上保证安全：从应用和基础架构的初始设计阶段开始，集成云安全和网络安全注意事项。Google Cloud 提供了架构蓝图和建议，可帮助您应用此原则。
• 实现零信任：采用绝不信任，一律验证方法，即根据持续验证信任情况授予对资源的访问权限。 Google Cloud通过 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等产品支持此原则。
• 实现左移型安全：在软件开发生命周期的早期实施安全控制措施。在进行系统更改之前，避免出现安全缺陷。在系统更改提交后，快速可靠地尽早检测和修复安全 bug。 Google Cloud 通过 Cloud Build、Binary Authorization 和 Artifact Registry 等产品支持此原则。
• 实施预防性网络防御：通过实施威胁情报等强大的基本措施，采用主动式安全方法。这种方法有助于您打下基础，更有效地检测和响应威胁。Google Cloud的分层安全控制方法与此原则相符。
• 安全且负责任地使用 AI：以负责任且安全的方式开发和部署 AI 系统。针对此原则的建议与良好架构框架的AI 和机器学习视角以及 Google 的安全 AI 框架 (SAIF) 中的指南保持一致。
• 利用 AI 进行安全防护：通过 Gemini in Security 和整体平台安全功能，使用 AI 功能改进现有安全系统和流程。将 AI 用作工具，提高补救工作的自动化程度，确保安全卫生，从而提高其他系统的安全性。
• 满足法规、合规性和隐私权需求：遵守特定行业的法规、合规性标准和隐私权要求。 Google Cloud 通过 Assured Workloads、组织政策服务等产品以及我们的合规性资源中心，帮助您履行这些义务。

组织安全思维

以安全为中心的组织思维对于成功采用和运营云至关重要。这种思维应深深植根于贵组织的文化中，并体现在其实践中，这些实践应遵循前面所述的核心安全原则。

组织安全思维强调，您应在系统设计期间考虑安全性，假定零信任，并在整个开发流程中集成安全功能。在此思维模式下，您还会主动考虑网络防御措施，安全地使用 AI 技术，并考虑法规、隐私和合规性要求。通过遵循这些原则，贵组织可以培养以安全为先的文化，主动应对威胁、保护宝贵资产，并帮助确保负责任地使用技术。

云安全的重点领域

本部分介绍了在规划、实施和管理应用、系统和数据的安全性时需要重点关注的方面。此支柱的每项原则中的建议都与其中一个或多个重点领域相关。在本文档的其余部分中，建议会指定相应的安全重点领域，以进一步阐明和说明。

焦点区域	activity 和组件	相关 Google Cloud 产品、功能和解决方案
基础架构安全	保护网络基础架构。 对传输中的数据和静态数据进行加密。 控制流量。 保护 IaaS 和 PaaS 服务。 防范未经授权的访问。	防火墙政策 VPC Service Controls Google Cloud Armor Cloud 新一代防火墙 安全 Web 代理
身份和访问权限管理	使用身份验证、授权和访问权限控制。 管理云身份。 管理身份和访问权限管理政策。	Cloud Identity Google 的 Identity and Access Management (IAM) 服务 员工身份联合 工作负载身份联合
数据安全	安全地存储数据。 Google Cloud 控制对数据的访问权限。 发现和分类数据。 设计必要的控制措施，例如加密、访问权限控制和数据泄露防护。 保护静态数据、传输中的数据和使用中的数据。	Google 的 IAM 服务 Sensitive Data Protection VPC Service Controls Cloud KMS 机密计算
AI 和机器学习安全	在 AI 和机器学习基础架构和流水线的不同层级应用安全控制措施。 确保模型安全。	Google 的 SAIF Model Armor
安全运维 (SecOps)	采用现代化的 SecOps 平台和一组实践，以便高效地管理突发事件、检测威胁和响应。 持续监控系统和应用，以防范安全事件。	Google Security Operations
应用安全	保护应用免受软件漏洞和攻击。	Artifact Registry Artifact Analysis Binary Authorization 有保障的开源软件 Google Cloud Armor Web Security Scanner
云治理、风险和合规性	制定政策、流程和控制措施，以便有效且安全地管理云资源。	组织政策服务 Cloud Asset Inventory Security Command Center Enterprise Resource Manager
日志记录、审核和监控	分析日志以识别潜在威胁。 跟踪和记录系统活动，以进行合规性和安全分析。	Cloud Logging Cloud Monitoring Cloud Audit Logs VPC 流日志

贡献者

作者：

• Wade Holmes | 全球解决方案总监
• Hector Diaz | 云安全架构师
• Carlos Leonardo Rosario | Google Cloud 安全专家
• John Bacon | 合作伙伴解决方案架构师
• Sachin Kalra | 全球安全解决方案经理

其他贡献者：

• Anton Chuvakin | 首席信息安全官办公室安全顾问
• Daniel Lees | 云安全架构师
• Filipe Gracio，博士 | 客户工程师
• Gary Harmson | 客户工程师
• Gino Pelliccia | 首席架构师
• Jose Andrade | 企业基础架构客户工程师
• Kumar Dhanagopal | 跨产品解决方案开发者
• Laura Hyatt | 企业云架构师
• Marwan Al Shawi | 合作伙伴客户工程师
• Nicolas Pintaux | 客户工程师，应用现代化改造专家
• Noah McDonald | 云安全顾问
• Osvaldo Costa | 网络专家客户工程师
• Radhika Kanakam | Cloud GTM 高级项目经理
• Susan Wu | 对外产品经理

从设计上保证安全

Google Cloud 良好架构框架的安全支柱中的这一原则提供了建议，以便将强大的安全功能、控制措施和实践纳入到云应用、服务和平台的设计中。从构思到运营，如果将安全性作为设计流程每个阶段不可或缺的一部分，安全性会更有效。

原则概览

如Google 对“从设计上实现安全”的承诺概览中所述，默认安全和从设计上实现安全通常可以互换使用，但它们代表了构建安全系统的不同方法。这两种方法都旨在最大限度地减少漏洞并增强安全性，但在范围和实现方式上有所不同：

• 默认安全：侧重于确保系统的默认设置设为安全模式，最大限度地减少用户或管理员为确保系统安全而采取的操作。此方法旨在为所有用户提供基本安全级别。
• 从设计上实现安全：强调在系统的整个开发生命周期中主动纳入安全考虑因素。这种方法旨在尽早预测潜在威胁和漏洞，并做出可降低风险的设计决策。这种方法包括使用安全编码做法、进行安全审核，以及在整个设计流程中嵌入安全性。从设计上保证安全的方法是一种指导开发过程的总体理念，有助于确保安全性不是事后考虑的问题，而是系统设计中不可或缺的一部分。

建议

如需为云工作负载实现“从设计上实现安全”原则，请考虑以下部分中的建议：

• 选择有助于保护工作负载的系统组件
• 构建分层安全方法
• 使用经过增强和证明的基础架构和服务
• 对静态数据和传输中的数据进行加密

选择有助于保护工作负载的系统组件

此建议与所有重点领域都相关。

要想实现有效的安全保障，一个基本决策是选择构成平台、解决方案或服务的强大系统组件（包括硬件和软件组件）。为了缩小安全攻击面并限制潜在损害，您还必须仔细考虑这些组件的部署模式及其配置。

在应用代码中，我们建议您使用简单、安全且可靠的库、抽象和应用框架，以消除各种漏洞。如需扫描软件库中的漏洞，您可以使用第三方工具。您还可以使用 Assured Open Source Software，该服务通过使用 Google 使用的并已保护的开源软件 (OSS) 软件包，有助于降低软件供应链的风险。

您的基础架构必须使用支持安全运行且符合您的安全要求和风险接受程度的网络、存储和计算选项。基础架构安全对面向互联网的工作负载和内部工作负载都至关重要。

如需了解支持此建议的其他 Google 解决方案，请参阅实现提前测试安全性。

构建分层安全方法

此建议与以下重点领域相关：

• AI 和机器学习安全
• 基础架构安全
• 身份和访问权限管理
• 数据安全

我们建议您通过应用深度防御方法，在应用和基础架构堆栈的每个层级实施安全措施。

使用平台各个组件中的安全功能。如需在发生安全事件时限制访问权限并确定潜在影响的边界（即爆炸半径），请执行以下操作：

• 尽可能简化系统设计以适应灵活性。
• 记录每个组件的安全要求。
• 纳入强大的安全机制以满足弹性和恢复要求。

在设计安全层时，请执行风险评估，以确定您需要哪些安全功能才能满足内部安全要求以及外部监管要求。我们建议您使用适用于云环境且与您的监管要求相关的行业标准风险评估框架。例如，云安全联盟 (CSA) 提供了 Cloud Controls Matrix (CCM)。风险评估为您提供了一系列风险和相应的安全控制措施来降低风险。

执行风险评估时，请注意您与云提供商之间存在共担责任安排。因此，云环境中的风险与本地环境中的风险有所不同。例如，在本地环境中，您需要减少硬件堆栈的漏洞。相反，在云环境中，这些风险由云提供商承担。此外，请注意，每家云服务提供商的 IaaS、PaaS 和 SaaS 服务的共享责任边界各不相同。

确定潜在风险后，您必须设计并制定缓解措施计划，其中应使用技术、管理和运营控制措施，以及合同保护措施和第三方证明。此外，威胁建模方法（例如 OWASP 应用威胁建模方法）可帮助您识别潜在漏洞，并建议采取措施来解决这些漏洞。

使用经过增强和证明的基础架构和服务

此建议与所有重点领域都相关。

成熟的安全计划可减少新漏洞，如安全公告中所述。安全计划还应提供补救措施，以修复现有部署中的漏洞，并保护您的虚拟机和容器映像。您可以使用特定于映像操作系统和应用的强化指南，以及互联网安全中心 (CIS) 提供的基准等。

如果您为 Compute Engine 虚拟机使用自定义映像，则需要自行修补映像。或者，您也可以使用 Google 提供的精选操作系统映像，这些映像会定期修补。如需在 Compute Engine 虚拟机上运行容器，请使用 Google 精选的容器优化型操作系统映像。Google 会定期修补和更新这些映像。

如果您使用的是 GKE，我们建议您启用节点自动升级功能，让 Google 使用最新的补丁程序更新您的集群节点。Google 负责管理 GKE 控制平面，这些控制平面会自动进行更新和修补。如需进一步缩小容器的攻击面，您可以使用 distroless 映像。Distrosless 映像非常适合对安全性敏感的应用、微服务，以及尽可能缩减映像大小和攻击面的场景。

对于敏感工作负载，请使用安全强化型虚拟机，以防止在虚拟机启动周期中加载恶意代码。安全强化型虚拟机实例可提供启动安全性，监控完整性并使用虚拟可信平台模块 (vTPM)。

为了帮助确保 SSH 访问安全，OS Login 可让您的员工使用 Identity and Access Management (IAM) 权限作为可靠来源，而不是依赖 SSH 密钥来连接虚拟机。因此，您无需管理整个组织的 SSH 密钥。OS Login 将管理员的访问权限与其员工生命周期相关联，因此当员工更改角色或离开贵组织时，系统会撤消其账号的访问权限。OS Login 还支持 Google 双重身份验证，从而增加一层额外的安全保障以防范账号盗用攻击。

在 GKE 中，应用实例在 Docker 容器中运行。如需启用已定义的风险概况并限制员工更改容器，请确保您的容器为无状态且不可变。不变性原则意味着您的员工不会修改容器或以互动方式访问容器。如果必须更改容器，则需要构建新映像并重新部署该映像。仅在特定调试场景中启用对底层容器的 SSH 访问。

为了帮助在整个环境中全局保护配置，您可以使用组织政策对影响云资产行为的资源设置限制或护栏。例如，您可以定义以下组织政策，并将其全局应用于整个组织 Google Cloud ，也可以选择性地在文件夹或项目一级应用这些政策：

• 停用向虚拟机分配外部 IP 地址。
• 将资源创建限制在特定地理位置。
• 停用服务账号或其密钥的创建功能。

对静态数据和传输中的数据进行加密

此建议与以下重点领域相关：

• 基础架构安全
• 数据安全

数据加密是保护敏感信息的基础控制措施，也是数据治理的重要组成部分。有效的数据保护策略包括访问权限控制、数据分段和地理位置驻留、审核，以及基于仔细评估要求的加密实现。

默认情况下， Google Cloud会加密静态存储的客户数据，您无需执行任何操作。除了默认加密之外，Google Cloud 还提供信封加密和加密密钥管理选项。无论您选择的是用于存储、计算还是大数据工作负载的密钥，都必须确定最适合密钥生成、存储和轮替要求的解决方案。例如，您可以在 Cloud Key Management Service (Cloud KMS) 中创建客户管理的加密密钥 (CMEK)。CMEK 可以是基于软件的，也可以是受 HSM 保护的，以满足您的监管或合规性要求，例如需要定期轮替加密密钥。借助 Cloud KMS Autokey，您可以自动预配和分配 CMEK。此外，您还可以使用 Cloud External Key Manager (Cloud EKM) 导入从第三方密钥管理系统获取的自己的密钥。

我们强烈建议对传输中的数据进行加密。如果数据将移出物理边界，脱离 Google 或 Google 授权代理方的控制范围，Google 会在一个或多个网络层对传输中的数据进行加密和身份验证。系统会对 VPC 网络中的所有虚拟机之间的流量以及对等互连的 VPC 网络之间的流量进行加密。您可以使用 MACsec 加密通过 Cloud Interconnect 连接的流量。IPsec 可为通过 Cloud VPN 连接传输的流量提供加密。您可以使用 Apigee 中的 TLS 和 mTLS 配置以及适用于容器化应用的 Cloud Service Mesh 等安全功能，保护云端的应用到应用流量。

默认情况下， Google Cloud 会对静态数据和网络传输中的数据进行加密。不过，默认情况下，系统不会在内存中加密使用中的数据。如果贵组织要处理机密数据，则您需要减少任何会破坏应用或系统内存中数据的机密性和完整性的威胁。为了缓解这些威胁，您可以使用机密计算，它可为计算工作负载提供可信执行环境。如需了解详情，请参阅机密虚拟机概览。

实现零信任

Google Cloud 良好架构框架安全支柱中的这一原则有助于您确保云工作负载的全面安全。零信任原则强调以下做法：

• 消除隐式信任
• 将最小权限原则应用于访问控制
• 强制对所有访问请求进行显式验证
• 采用假定数据泄露的思维方式，实现持续验证和安全状况监控

原则概览

零信任模型将安全重点从基于边界的安全措施转移到了一种方法，即不认为任何用户或设备天生可信。相反，无论访问请求的来源如何，都必须进行验证。此方法涉及对每位用户和设备进行身份验证和授权、验证其上下文（位置信息和设备状态），并仅授予对必要资源的最小权限访问权限。

通过实施零信任模型，您的组织可以最大限度地降低潜在数据泄露的影响，并保护敏感数据和应用免遭未经授权的访问，从而改善安全状况。零信任模型可帮助您确保云端数据和资源的机密性、完整性和可用性。

建议

如需为云工作负载实现零信任模型，请考虑以下部分中的建议：

• 保护您的网络
• 明确验证每次访问尝试
• 监控和维护网络

保护您的网络

此建议与以下重点领域相关：基础架构安全。

从传统的基于边界的安全措施过渡到零信任模型需要完成多个步骤。贵组织可能已经将某些零信任控制措施集成到其安全状况中。不过，零信任模型并非单一的产品或解决方案。而是多种安全层和最佳实践的全面集成。本部分介绍了为网络安全实现零信任的建议和方法。

• 访问控制：使用 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等解决方案，根据用户身份和情境强制执行访问控制。这样一来，您就可以将安全性从网络边界转移到各个用户和设备。这种方法支持精细的访问权限控制，并缩小了攻击面。
• 网络安全：保护本地环境、 Google Cloud环境和多云环境之间的网络连接。
  • 使用 Cloud Interconnect 和 IPsec VPN 中的专用连接方法。
  • 为帮助确保对 Google Cloud 服务和 API 的安全访问，请使用 Private Service Connect。
  • 为帮助保护来自部署在 GKE Enterprise 上的工作负载的传出访问，请使用 Cloud Service Mesh 出站流量网关。
• 网络设计：通过删除现有项目中的默认网络并禁止在新项目中创建默认网络，防止潜在的安全风险。
  • 为避免冲突，请仔细规划网络和 IP 地址分配。
  • 为强制执行有效的访问权限控制，请限制每个项目的虚拟私有云 (VPC) 网络数量。
• 分段：隔离工作负载，但保持集中式网络管理。
  • 如需对网络进行细分，请使用共享 VPC。
  • 在组织、文件夹和 VPC 网络级别定义防火墙政策和规则。
  • 如需防止数据渗漏，请使用 VPC Service Controls 在敏感数据和服务周围建立安全边界。
• 边界安全：防范 DDoS 攻击和 Web 应用威胁。
  • 如需防范威胁，请使用 Google Cloud Armor。
  • 配置安全政策，以允许、拒绝或重定向Google Cloud 边缘的流量。
• 自动化：通过采用基础架构即代码 (IaC) 原则并使用 Terraform、Jenkins 和 Cloud Build 等工具，实现基础架构预配自动化。IaC 有助于确保安全配置一致、简化部署，并在出现问题时快速回滚。
• 安全基础：使用企业基础蓝图建立安全的应用环境。此蓝图提供了规范性指导和自动化脚本，可帮助您实现安全最佳实践并安全地配置Google Cloud 资源。

明确验证每次访问尝试

此建议与以下重点领域相关：

• 身份和访问权限管理
• 安全运维 (SecOps)
• 日志记录、审核和监控

针对尝试访问您的云资源的任何用户、设备或服务，实施强大的身份验证和授权机制。请勿依赖位置或网络边界作为安全控制措施。不要自动信任任何用户、设备或服务，即使它们已位于网络内也是如此。相反，系统必须对每次尝试访问资源的操作进行严格的身份验证和授权。您必须实施强大的身份验证措施，例如多重身份验证 (MFA)。您还必须确保访问权限决策基于考虑用户角色、设备折叠状态和位置等各种情境因素的精细政策。

如需实施此建议，请使用以下方法、工具和技术：

• 统一身份管理：使用单个身份提供方 (IdP) 确保在整个组织中实现一致的身份管理。
  • Google Cloud 支持与大多数 IdP（包括本地 Active Directory）联合。借助联合，您可以将现有的身份管理基础架构扩展到 Google Cloud ，并为用户启用单点登录 (SSO)。
  • 如果您没有现有的 IdP，不妨考虑使用 Cloud Identity 专业版或 Google Workspace。
• 服务账号权限受限：谨慎使用服务账号，并遵循最小权限原则。
  • 仅向每个服务账号授予执行其指定任务所需的必要权限。
  • 针对在 Google Kubernetes Engine (GKE) 上运行或在Google Cloud 之外运行的应用使用 Workload Identity Federation，以安全地访问资源。
• 健全的流程：更新您的身份流程，使其符合云安全最佳实践。
  • 为帮助确保遵守法规要求，请实施身份治理，以跟踪访问权限、风险和违反政策的行为。
  • 查看并更新您现有的授予和审核访问权限控制角色和权限的流程。
• 强制身份验证：为用户身份验证实现 SSO，并为特权账号实现 MFA。
  • Google Cloud 支持多种多重身份验证 (MFA) 方法，包括 Titan 安全密钥，以增强安全性。
  • 对于工作负载身份验证，请使用 OAuth 2.0 或已签名的 JSON Web 令牌 (JWT)。
• 最小权限：通过强制执行最小权限和职责分离原则，最大限度地降低未经授权的访问和数据泄露风险。
  • 避免过度配置用户访问权限。
  • 考虑为敏感操作实现即时特权访问权限。
• Logging：为管理员活动和数据访问活动启用审核日志记录。
  • 如需进行分析和威胁检测，请使用 Security Command Center Enterprise 或 Google Security Operations 扫描日志。
  • 配置适当的日志保留政策，以便在安全需求和存储费用之间取得平衡。

监控和维护网络

此建议与以下重点领域相关：

• 日志记录、审核和监控
• 应用安全
• 安全运维 (SecOps)
• 基础架构安全

在规划和实施安全措施时，请假设攻击者已进入您的环境。这种主动方法涉及使用以下多种工具和技术来了解网络：

• 集中式日志记录和监控：通过集中式日志记录和监控功能，收集和分析来自所有云资源的安全日志。

  • 为正常网络行为建立基准、检测异常情况并识别潜在威胁。
  • 持续分析网络流量，以识别可疑模式和潜在攻击。

• 深入了解网络性能和安全性：使用 Network Analyzer 等工具。监控流量，检查是否存在异常协议、意外连接或数据传输突然激增的情况，这可能表明存在恶意活动。

• 漏洞扫描和修复：定期扫描您的网络和应用是否存在漏洞。

  • 使用 Web Security Scanner，该工具可自动识别 Compute Engine 实例、容器和 GKE 集群中的漏洞。
  • 根据漏洞的严重程度及其对系统的潜在影响确定补救优先级。

• 入侵检测：使用 Cloud IDS 和 Cloud NGFW 入侵防御服务监控网络流量是否存在恶意活动，并自动屏蔽可疑事件或针对可疑事件发出提醒。

• 安全分析：考虑实施 Google SecOps，以关联来自不同来源的安全事件、对安全提醒进行实时分析，并简化突发事件响应。

• 配置一致：使用配置管理工具确保整个网络具有一致的安全配置。

实现提前加强安全性

Google Cloud 良好架构框架安全支柱中的这一原则可帮助您确定可在软件开发生命周期的早期实施的实用控制措施，以改善安全状况。它会提供建议，帮助您实施预防性安全防护措施和部署后的安全控制措施。

原则概览

提前实现安全是指在软件开发生命周期的早期采用安全做法。此原则的目标如下：

• 在进行系统更改之前，避免出现安全缺陷。实现预防性安全防护措施，并在 CI/CD 流水线中采用基础架构即代码 (IaC)、政策即代码和安全检查等做法。您还可以在 Google Cloud中使用其他平台专用功能，例如组织政策服务和增强型 GKE 集群。
• 在提交任何系统更改后，快速可靠地尽早检测和修复安全 bug。采用代码审核、部署后漏洞扫描和安全测试等做法。

从设计上实现安全和左移安全原则相关，但在范围上有所不同。安全性设计原则有助于您避免需要重新设计整个系统的基本设计缺陷。例如，威胁建模练习表明，当前设计不包含授权政策，如果没有该政策，所有用户都会拥有相同的访问权限级别。左移安全性有助于您在应用更改之前避免实现缺陷（错误和配置错误），并在部署后快速可靠地进行修复。

建议

如需为云工作负载实现向左转移的安全原则，请考虑以下部分中的建议：

• 采用预防性安全控制措施
• 自动预配和管理云资源
• 自动发布安全的应用版本
• 确保应用部署遵循批准的流程
• 在应用部署之前扫描已知漏洞
• 监控应用代码是否存在已知漏洞

采用预防性安全控制措施

此建议与以下重点领域相关：

• 身份和访问权限管理
• 云治理、风险和合规性

预防性安全控制对于在云端维持强大的安全状况至关重要。这些控制措施可帮助您主动降低风险。您可以防止错误配置和未经授权的资源访问，让开发者高效工作，并帮助确保遵守行业标准和内部政策。

使用基础架构即代码 (IaC) 实现预防性安全控制措施会更有效。借助 IaC，预防性安全控制措施可以在部署更改之前对基础架构代码进行更多自定义检查。与自动化技术结合使用时，预防性安全控制措施可在 CI/CD 流水线的自动检查中运行。

以下产品和 Google Cloud 功能可帮助您在环境中实施预防性控制措施：

• 组织政策服务限制条件：通过集中控制配置预定义限制条件和自定义限制条件。
• VPC Service Controls：为您的 Google Cloud 服务创建边界。
• Identity and Access Management (IAM)、Privileged Access Manager 和主账号访问边界政策：限制对资源的访问权限。
• Policy Controller 和 Open Policy Agent (OPA)：在 CI/CD 流水线中强制执行 IaC 限制条件，并避免云端配置错误。

借助 IAM，您可以授权用户根据权限对特定资源执行操作。如需了解详情，请参阅使用 IAM 对组织资源进行访问权限控制。

借助组织政策服务，您可以设置对资源的限制，以指定资源的配置方式。例如，您可以使用组织政策执行以下操作：

• 根据网域限制资源共享。
• 限制服务账号的使用。
• 限制新创建的资源的实际位置。

除了使用组织政策之外，您还可以使用以下方法限制对资源的访问：

• 结合使用标记和 IAM：为一系列资源分配标记，然后为标记本身设置访问权限定义，而不是为每个资源定义访问权限。
• IAM Conditions：为资源定义基于属性的条件访问权限控制。
• 深度防御：使用 VPC Service Controls 进一步限制对资源的访问。

如需详细了解资源管理，请参阅确定 Google Cloud 着陆区的资源层次结构。

自动预配和管理云资源

此建议与以下重点领域相关：

• 应用安全
• 云治理、风险和合规性

如果您还采用了声明式 IaC（而不是命令式脚本），则自动预配和管理云资源和工作负载会更高效。IaC 本身并不是一款安全工具或做法，但有助于您提高平台的安全性。通过采用 IaC，您可以创建可重复的基础架构，并为运维团队提供已知良好状态。IaC 还可以提高回滚、审核更改和问题排查的效率。

将 IaC 与 CI/CD 流水线和自动化技术相结合，您还可以使用 OPA 等工具采用将政策作为代码等做法。您可以审核一段时间内的基础架构更改，并在更改部署之前对基础架构代码运行自动检查。

如需自动部署基础架构，您可以使用 Config Controller、Terraform、Jenkins 和 Cloud Build 等工具。为了帮助您使用 IaC 和自动化功能构建安全的应用环境，Google Cloud 提供了企业基础蓝图。此蓝图是 Google 的专业设计，遵循我们推荐的所有实践和配置。该蓝图提供了有关使用 Terraform 和 Cloud Build 配置和部署 Google Cloud 拓扑的分步说明。

您可以修改企业基础架构蓝图的脚本，以配置符合 Google 建议且满足您自己的安全要求的环境。您可以基于该蓝图和其他蓝图构建自动化功能，也可以设计自己的自动化功能。Google Cloud Architecture Center 提供了可在企业基础蓝图之上实现的其他蓝图。以下是这些蓝图的一些示例：

• 在 Google Cloud上部署企业开发者平台
• 使用 Cloud Run 部署安全的无服务器架构
• 在企业中构建和部署生成式 AI 和机器学习模型
• 将 Google Cloud 中的数据导入安全的 BigQuery 数据仓库
• 在 Google Cloud中部署网络监控和遥测功能

自动发布安全的应用版本

此建议与以下重点领域相关：应用安全性。

如果没有自动化工具，可能很难在部署、更新和修补复杂的应用环境时，确保满足一致的安全要求。我们建议您为软件开发生命周期 (SDLC) 构建自动化 CI/CD 流水线。自动化 CI/CD 流水线可帮助您消除手动错误、提供标准化开发反馈环并实现高效的产品迭代。持续交付是 DORA 框架推荐的最佳实践之一。

通过使用 CI/CD 流水线自动发布应用，有助于您更早、更快、更可靠地检测和修复安全 bug。例如，您可以在创建工件时自动扫描安全漏洞、缩小安全审核范围，以及回滚到已知的安全版本。此外，您还可以为不同的环境（例如开发、测试或生产环境）定义相应的政策，以便仅部署经过验证的工件。

为帮助您自动发布应用并在 CI/CD 流水线中嵌入安全检查， Google Cloud 提供了多种工具，包括 Cloud Build、Cloud Deploy、Web 安全扫描器和 二进制授权。

如需建立用于验证 SDLC 中多项安全要求的流程，请使用 Google 定义的软件工件的供应链等级 (SLSA) 框架。SLSA 要求对源代码、构建流程和代码出处进行安全检查。其中许多要求都可以纳入自动化 CI/CD 流水线中。如需了解 Google 如何在内部应用这些做法，请参阅 Google Cloud的变革方法。

确保应用部署遵循批准的流程

此建议与以下重点领域相关：应用安全性。

如果攻击者破解了 CI/CD 流水线，则整个应用堆栈可能会受到影响。为了帮助保护流水线，您应在将代码部署到生产环境之前实施已确定的批准流程。

如果您使用 Google Kubernetes Engine (GKE)、GKE Enterprise 或 Cloud Run，则可以使用 Binary Authorization 来建立审批流程。Binary Authorization 会将可配置的签名关联到容器映像。这些签名（也称为证明）有助于验证映像。在部署时，Binary Authorization 会使用这些证明来确定相应流程是否已完成。例如，您可以使用 Binary Authorization 执行以下操作：

• 验证特定构建系统或 CI 流水线是否已创建容器映像。
• 验证容器映像是否符合漏洞签名政策。
• 验证容器映像是否将提升标准传递到下一个部署环境，例如从开发环境到质量检查环境。

通过使用 Binary Authorization，您可以强制要求仅在目标平台上运行受信任的代码。

在应用部署之前扫描已知漏洞

此建议与以下重点领域相关：应用安全性。

建议您在应用工件部署到生产环境之前使用自动化工具，以便持续对应用工件执行漏洞扫描。

对于容器化应用，请使用 Artifact Analysis 自动为容器映像运行漏洞扫描。Artifact Analysis 会在新映像上传到 Artifact Registry 时扫描这些映像。此扫描可提取有关容器中系统软件包的信息。初始扫描后，Artifact Analysis 会持续监控 Artifact Registry 中所扫描映像的元数据以查找新漏洞。当 Artifact Analysis 从漏洞来源收到新的和更新后的漏洞信息时，它会执行以下操作：

• 更新已扫描映像的元数据，使其保持最新。
• 为新的版本说明创建新的漏洞发生实例。
• 删除不再有效的漏洞发生实例。

监控应用代码是否存在已知漏洞

此建议与以下重点领域相关：应用安全性。

使用自动化工具持续监控应用代码是否存在已知漏洞（例如 OWASP 十大风险）。如需详细了解 Google Cloud 支持 OWASP 十大风险缓解技术的产品和功能，请参阅 Google Cloud上的 OWASP 十大风险缓解选项。

使用 Web Security Scanner 可帮助识别 App Engine、Compute Engine 和 GKE Web 应用中的安全漏洞。此扫描程序会抓取您的应用，跟踪起始网址范围内的所有链接，并尝试执行尽可能多的用户输入和事件处理脚本。它可自动扫描和检测常见漏洞，包括跨站脚本攻击、代码注入、混合内容以及过时或不安全的库。Web Security Scanner 可让您尽早识别这些类型的漏洞，而不会因误报而分心。

此外，如果您使用 GKE Enterprise 管理 Kubernetes 集群的舰队，安全状况信息中心会显示切实可行的建议，帮助您改善舰队的安全状况。

实施预防性网络安全防御

Google Cloud 良好架构框架的安全支柱中包含这一原则，其中提供了建议，以便您在整体安全策略中构建强大的网络防御计划。

此原则强调使用威胁情报主动指导您在核心网络防御功能方面的工作，如《The Defender's Advantage：网络防御体系建立指南》中所定义。

原则概览

当您为系统防范网络攻击时，您会获得一个对抗攻击者的巨大优势，但这个优势却被严重忽视。正如 Mandiant 的创始人所说，“您肯定比任何攻击者都更了解自己的业务、系统、拓扑和基础设施。这是一项不可多得的优势。”为帮助您利用这一固有优势，本文档提供了有关与《The Defender's Advantage》（防御者优势）框架对应的主动和战略性网络防御实践的建议。

建议

如需为云工作负载实现预防性网络防御，请考虑以下部分中的建议：

• 集成网络防御功能
• 在网络防御的各个方面使用情报功能
• 了解并利用自身作为防御者的优势
• 不断验证和改进您的防御措施
• 管理和协调网络防御工作

集成网络防御功能

此建议与所有重点领域都相关。

《Defender’s Advantage》框架确定了网络防御的六项关键功能：情报、检测、响应、验证、搜寻和任务控制。每项功能都侧重于网络防御任务的独特部分，但这些功能必须协调一致并协同工作，才能提供有效的防御。专注于构建一个强大且集成的系统，其中每个功能都支持其他功能。如果您需要分阶段采用，请考虑以下建议顺序。根据您当前的云成熟度、资源拓扑和具体威胁形势，您可能需要优先考虑某些功能。

1. 智能：智能功能可指导所有其他功能。了解威胁形势（包括最有可能的攻击者、他们的策略、技术和流程 [TTP] 以及潜在影响）对于确定整个计划中的行动优先级至关重要。情报功能负责确定利益相关方、定义情报要求、数据收集、分析和传播、自动化以及创建网络威胁概况。
2. 检测和响应：这些功能构成了主动防御的核心，其中包括识别和解决恶意活动。这些函数对于根据智能函数收集的情报采取行动至关重要。检测函数需要采用系统的方法，使检测与攻击者的 TTP 保持一致，并确保强大的日志记录。“响应”功能必须侧重于初始分类、数据收集和突发事件修复。
3. 验证：验证功能是一项持续性流程，可确保您的安全控制生态系统处于最新状态并按预期运行。此功能可确保贵组织了解攻击面、知道存在漏洞的位置，并衡量控制措施的有效性。安全验证也是检测工程生命周期的重要组成部分，必须用于识别检测缺口并创建新的检测。
4. Hunt：Hunt 功能涉及主动搜索环境中的活跃威胁。当贵组织在检测和响应功能方面达到基准成熟度时，必须实现此功能。Hunt 函数可扩展检测功能，并有助于发现控制缺口和薄弱环节。搜索功能必须基于特定威胁。此高级功能得益于强大的情报、检测和响应功能。
5. 任务控制：任务控制功能充当连接所有其他功能的中央枢纽。此职能负责制定网络防御计划的策略、进行沟通和采取果断行动。这可确保所有功能协同运作，并与贵组织的业务目标保持一致。在使用任务控制功能连接其他功能之前，您必须先着重明确任务控制功能的用途。

在网络防御的所有方面使用情报功能

此建议与所有重点领域都相关。

此建议强调了情报功能是强大网络防御计划的核心部分。威胁情报可提供有关威胁行为者、其 TTP 和失陷指标 (IOC) 的知识。这些知识应为所有网络防御职能部门提供决策依据，并确定行动优先级。以情报为依据的方法可帮助您调整防御措施，以应对最有可能影响贵组织的威胁。这种方法还有助于高效分配和确定资源优先级。

以下 Google Cloud 产品和功能可帮助您利用威胁情报来指导安全运维。使用这些功能可识别潜在威胁、漏洞和风险并确定其优先级，然后规划和实施适当的措施。

• Google Security Operations (Google SecOps) 可帮助您集中存储和分析安全数据。使用 Google SecOps 将日志映射到通用模型中，丰富日志，并将日志关联到时间轴，以便全面了解攻击。您还可以创建检测规则，设置 IoC 匹配，以及执行威胁搜寻活动。该平台还提供精选检测规则，这些规则是预定义的代管式规则，可帮助识别威胁。Google SecOps 还可以与 Mandiant 一线情报集成。Google SecOps 独特地集成了业界领先的 AI 技术，以及 Mandiant 提供的威胁情报和 Google VirusTotal。这项集成对于评估威胁、了解谁在针对贵组织以及潜在影响至关重要。

• Security Command Center Enterprise 由 Google AI 提供支持，可帮助安全专业人员高效评估、调查和响应多个云环境中的安全问题。可以从 Security Command Center 中受益的安全专业人士包括安全运营中心 (SOC) 分析师、漏洞和状况分析师以及合规性管理员。Security Command Center 企业版可丰富安全数据、评估风险并确定漏洞的优先级。此解决方案可为团队提供解决高风险漏洞和补救当前威胁所需的信息。

• Chrome Enterprise 进阶版提供威胁防范和数据保护功能，可帮助用户避免渗漏风险，并防止恶意软件进入企业管理的设备。Chrome Enterprise 进阶版还可让您了解浏览器中可能发生的不安全或潜在不安全活动。

• 通过 Network Intelligence Center 等工具进行网络监控，可让您了解网络性能。网络监控还可以帮助您检测异常的流量模式，或检测可能表明攻击或数据泄露尝试的数据传输量。

了解并利用防御者的优势

此建议与所有重点领域都相关。

如前所述，如果您对自己的业务、系统、拓扑和基础架构有深入的了解，就比攻击者更具优势。为了充分利用这种知识优势，请在制定网络防御计划时利用这些有关环境的数据。

Google Cloud 提供以下功能，可帮助您主动了解情况，以识别威胁、了解风险并及时做出响应，从而减少潜在损害：

• Chrome Enterprise 进阶版可保护用户免受渗漏风险，从而帮助您增强企业设备的安全性。它可将 Sensitive Data Protection 服务扩展到浏览器，并防范恶意软件。它还提供防范恶意软件和钓鱼式攻击等功能，有助于防止用户接触到不安全的内容。此外，您还可以控制扩展程序的安装，以防止安装不安全或未经审核的扩展程序。这些功能可帮助您为运营奠定安全基础。

• Security Command Center Enterprise 提供持续的风险引擎，可提供全面且持续的风险分析和管理。风险引擎功能可丰富安全数据、评估风险并确定漏洞的优先级，以帮助您快速解决问题。借助 Security Command Center，贵组织可以主动发现弱点并实施缓解措施。

• Google SecOps 可集中管理安全数据，并提供包含时间轴的丰富日志。这样，防御者就可以主动识别正在进行的入侵行为，并根据攻击者的行为调整防御措施。

• 网络监控有助于识别可能表明攻击的异常网络活动，并提供可用于采取行动的早期指标。为了帮助您主动保护数据免遭盗窃，请持续监控数据渗漏情况，并使用提供的工具。

持续验证和改进防御措施

此建议与所有重点领域都相关。

此建议强调了有针对性地测试控制措施并持续验证其重要性，以了解整个攻击面的优势和劣势。这包括通过以下方法验证控制措施、操作和人员的有效性：

• 渗透测试
• 红蓝团队和紫色团队练习
• 沙盘演练

您还必须主动搜索威胁，并利用搜索结果来提高检测能力和可见度。使用以下工具持续测试和验证您对抗真实威胁的防御能力：

• Security Command Center Enterprise 提供持续风险引擎，可评估漏洞并确定修复优先级，从而持续评估您的整体安全状况。Security Command Center Enterprise 可帮助您确定问题的优先级，从而确保资源得到有效利用。

• Google SecOps 提供威胁搜索和精选检测功能，可让您主动发现控制措施中的弱点。借助此功能，您可以持续测试并改进检测威胁的能力。

• Chrome Enterprise 进阶版提供威胁防范和数据保护功能，可帮助您应对不断变化的新威胁，并不断更新防范渗漏风险和恶意软件的防御措施。

• Cloud 新一代防火墙 (Cloud NGFW) 提供网络监控和数据渗漏监控。这些功能可帮助您验证当前安全状况的有效性，并找出潜在的弱点。数据渗漏监控功能可帮助您验证贵组织的数据保护机制的强度，并在必要时主动进行调整。将 Cloud NGFW 中的威胁发现结果与 Security Command Center 和 Google SecOps 集成后，您可以优化基于网络的威胁检测、优化威胁响应，并自动执行操作手册。如需详细了解此集成，请参阅统一云端防御：Security Command Center 和 Cloud NGFW 企业版。

管理和协调网络防御工作

此建议与所有重点领域都相关。

如集成网络防御功能中所述，任务控制功能可将网络防御计划的其他功能关联起来。此功能可实现整个计划的协调和统一管理。它还可帮助您与不负责网络安全的其他团队协调工作。Mission Control 功能有助于赋予用户权力和问责能力，促进敏捷性和专业性，并推动责任感和透明度。

以下产品和功能可帮助您实现任务控制功能：

• Security Command Center Enterprise 可充当协调和管理网络防御操作的中央枢纽。它可将工具、团队和数据整合到一起，并提供内置的 Google SecOps 响应功能。Security Command Center 可让您清晰了解组织的安全状态，并识别不同资源中的安全配置错误。
• Google SecOps 为团队提供了一个平台，可通过映射日志和创建时间轴来应对威胁。您还可以定义检测规则并搜索威胁。
• Google Workspace 和 Chrome Enterprise 进阶版可帮助您管理和控制最终用户对敏感资源的访问权限。您可以根据用户身份和请求的情境定义精细的访问权限控制。
• 网络监控可深入了解网络资源的性能。您可以将网络监控数据洞见导入 Security Command Center 和 Google SecOps，以便集中监控并与其他基于时间轴的数据点相关联。此集成可帮助您检测和响应由恶意活动导致的潜在网络使用情况变化。
• 数据渗漏监控有助于识别可能的数据丢失事故。借助此功能，您可以高效地调动突发事件响应团队、评估损失并限制进一步的数据渗漏。您还可以改进当前的政策和控制措施，以确保数据保护。

产品摘要

下表列出了本文档中介绍的产品和功能，并将其与相关的建议和安全功能进行了对应。

Google Cloud 产品	适用的建议
Google SecOps	在网络防御的各个方面使用情报功能：启用威胁搜寻和 IoC 匹配，并与 Mandiant 集成以进行全面的威胁评估。 了解并充分利用防御者的优势：提供精选的检测功能，并集中管理安全数据，以便主动识别入侵行为。 持续验证和改进防御措施：支持持续测试和改进威胁检测功能。 通过任务控制功能管理和协调网络防御工作：提供一个用于威胁响应、日志分析和时间轴创建的平台。
Security Command Center Enterprise	在网络防御的各个方面使用情报功能：使用 AI 评估风险、确定漏洞优先级，并提供有助于进行补救的实用数据分析。 了解并充分利用自身作为防御者的优势：提供全面的风险分析、漏洞优先级划分，以及主动识别弱点。 持续验证和改进防御措施：提供持续的安全状况评估和资源优先级设置。 通过任务控制功能管理和协调网络防御工作：充当管理和协调网络防御操作的中央枢纽。
Chrome 企业进阶版	在网络防御的各个方面使用情报功能：帮助用户防范渗漏风险、防止恶意软件，并可让您了解不安全的浏览器活动。 了解并充分利用防护工具的优势：通过数据保护、防恶意软件和对扩展程序的控制，增强企业设备的安全性。 持续验证和改进防御措施：通过不断更新防范渗漏风险和恶意软件的防御措施，应对新出现和不断演变的威胁。 通过任务控制功能管理和协调网络防御工作：管理和控制最终用户对敏感资源的访问权限，包括精细的访问权限控制。
Google Workspace	通过任务控制管理和协调网络防御工作：管理和控制最终用户对敏感资源的访问权限，包括精细的访问权限控制。
Network Intelligence Center	在网络防御的各个方面使用情报功能：提供对网络性能的直观了解，并检测异常流量模式或数据传输。
Cloud NGFW	持续验证和改进防御措施：通过与 Security Command Center 和 Google SecOps 集成，优化基于网络的威胁检测和响应。

安全负责任地使用 AI

Google Cloud 良好架构框架的安全支柱中提供了这一原则，旨在提供有助于保护 AI 系统的建议。这些建议与 Google 的安全 AI 框架 (SAIF) 保持一致，该框架提供了一种切实可行的方法来解决 AI 系统的安全和风险问题。SAIF 是一个概念框架，旨在提供业界标准，以负责任的方式构建和部署 AI。

原则概览

为了帮助确保您的 AI 系统符合安全、隐私和合规性要求，您必须采用从初始设计开始延伸到部署和运营的整体性策略。您可以通过应用 SAIF 的六大核心要素来实现这一整体策略。

Google 使用 AI 来加强安全措施，例如识别威胁、自动执行安全任务和改进检测能力，同时让人工参与关键决策。

Google 强调采用协作方式来提升 AI 安全性。这种方法包括与客户、行业和政府合作，以完善 SAIF 准则并提供实用且切实可行的资源。

有关实现此原则的建议分为以下几部分：

• 关于安全使用 AI 的建议
• AI 治理建议

关于安全使用 AI 技术的建议

若要安全地使用 AI，您需要同时采用基础安全控制措施和 AI 专用安全控制措施。本部分简要介绍了一些建议，可确保您的 AI 和机器学习部署符合贵组织的安全性、隐私性和合规性要求。 如需简要了解 Google Cloud中针对 AI 和机器学习工作负载的架构原则和建议，请参阅“良好架构框架”中的 AI 和机器学习视角。

明确 AI 使用目标和要求

此建议与以下重点领域相关：

• 云治理、风险和合规性
• AI 和机器学习安全

此建议与 SAIF 要素“结合周边业务流程背景评估 AI 系统风险”相符。在设计和改进 AI 系统时，请务必了解您的具体业务目标、风险和合规性要求。

确保数据安全并防止丢失或误处理

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全

此建议符合以下 SAIF 元素：

• 为 AI 生态系统奠定坚实的安全基础。此元素包括数据收集、存储、访问控制和防范数据中毒。
• 结合相关背景评估 AI 系统风险。强调数据安全，以支持业务目标和合规性。

确保 AI 流水线安全可靠，防范篡改

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全

此建议符合以下 SAIF 元素：

• 为 AI 生态系统奠定坚实的安全基础。作为构建安全 AI 系统的关键要素，请保护您的代码和模型工件。
• 调整控制措施以加快反馈环。请跟踪您的资产和流水线运行情况，因为这对缓解措施和突发事件响应至关重要。

使用安全的工具和工件在安全的系统上部署应用

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全

在 AI 应用中使用安全系统以及经过验证的工具和工件符合 SAIF 中关于为 AI 生态系统和供应链奠定坚实的安全基础的要素。您可以通过以下步骤解决此建议：

• 实现用于机器学习训练和部署的安全环境
• 使用经过验证的容器映像
• 应用软件工件的供应链级别 (SLSA) 准则

保护和监控输入

此建议与以下重点领域相关：

• 日志记录、审核和监控
• 安全运维
• AI 和机器学习安全

此建议与 SAIF 元素中有关扩展检测和响应能力，将 AI 引入组织的威胁防控体系的建议一致。为防止出现问题，请务必管理生成式 AI 系统的提示、监控输入内容并控制用户访问权限。

关于 AI 治理的建议

本部分中的所有建议都与以下重点领域相关：云治理、风险和合规性。

Google Cloud 提供了一套强大的工具和服务，可用于构建负责任且合乎道德的 AI 系统。我们还提供了一套政策、程序和伦理考虑框架，可指导 AI 系统的开发、部署和使用。

正如我们的建议所反映的那样，Google 的 AI 治理方法遵循以下原则：

• 公平性
• 透明度
• 问责机制
• 隐私权
• 安全

使用公平性指标

Vertex AI 可以在数据收集期间或训练后评估过程中检测偏差。Vertex AI 提供模型评估指标（例如数据偏差和模型偏差），可帮助您评估模型是否存在偏差。

这些指标与不同类别（例如种族、性别和阶级）的公平性相关。不过，解读统计偏差并非易事，因为不同类别之间的差异可能并非偏差所致，也未必表明存在伤害。

使用 Vertex Explainable AI

如需了解 AI 模型如何做出决策，请使用 Vertex Explainable AI。此功能可帮助您发现模型逻辑中可能隐藏的潜在偏差。

此可解释性功能已与 BigQuery ML 和 Vertex AI 集成，可提供基于特征的解释。您可以在 BigQuery ML 中执行可解释性，也可以在 Vertex AI 中注册模型，然后在 Vertex AI 中执行可解释性。

跟踪数据沿袭

跟踪 AI 系统中所用数据的来源和转换。此跟踪有助于您了解数据的历程，并找出偏差或错误的潜在来源。

数据沿袭是 Dataplex 的一项功能，可让您跟踪数据在系统中的移动方式：数据来自何处、传递到何处以及对其应用了哪些转换。

建立问责机制

明确规定 AI 系统的开发、部署和结果的责任。

使用 Cloud Logging 记录 AI 系统做出的关键事件和决策。日志提供了一个审核轨迹，可帮助您了解系统的运行状况并确定需要改进的方面。

使用 Error Reporting 系统地分析 AI 系统所犯的错误。此分析可以揭示指向潜在偏差或模型需要进一步优化的方面的一些模式。

实现差分隐私

在模型训练期间，向数据添加噪声，以使模型难以识别个别数据点，但仍能有效学习。借助 BigQuery 中的 SQL，您可以使用差分隐私聚合来转换查询结果。

利用 AI 技术保障安全

Google Cloud 良好架构框架的安全支柱中，此原则提供了有关使用 AI 来帮助您提高云工作负载安全性的建议。

由于网络攻击的数量和复杂性不断增加，因此请务必利用 AI 的潜力来帮助提高安全性。AI 可以帮助减少威胁数量，减少安全专业人员所需的手动工作量，并帮助弥补网络安全领域专家的匮乏。

原则概览

利用 AI 功能改进现有的安全系统和流程。 您可以使用 Gemini in Security，以及内置于 Google Cloud 服务中的固有 AI 功能。

这些 AI 功能可在安全生命周期的每个阶段提供帮助，从而彻底改变安全形势。例如，您可以使用 AI 执行以下操作：

• 无需进行逆向工程即可分析和说明潜在恶意代码。
• 减少网络安全从业者的工作量。
• 使用自然语言生成查询并与安全事件数据进行交互。
• 显示情境信息。
• 提供快速回复建议。
• 协助修复事件。
• 汇总针对错误配置和漏洞的高优先级提醒，突出显示潜在影响并建议缓解措施。

安全自主程度

在应对不断变化的网络安全威胁时，AI 和自动化技术可以帮助您取得更理想的安全成效。通过将 AI 用于安全领域，您可以实现更高级别的自主化，以检测和防范威胁，并改善整体安全状况。Google 定义了在将 AI 用于安全方面时，AI 的四个自治等级，这些等级概述了 AI 在协助和最终主导安全任务方面日益增强的作用：

1. 手动：在整个安全生命周期中，由人工执行所有安全任务（预防、检测、确定优先级和响应）。
2. 辅助：Gemini 等 AI 工具可通过总结信息、生成数据洞见和提供建议来提高人工效率。
3. 半自动：AI 负责执行许多安全任务，仅在必要时才将任务委托给人工。
4. 自治：AI 可充当可信助理，根据贵组织的目标和偏好设置推动安全生命周期，最大限度地减少人为干预。

建议

以下部分介绍了有关将 AI 用于安全方面的建议。这些部分还说明了这些建议如何与 Google 的安全 AI 框架 (SAIF) 核心要素保持一致，以及它们与安全自主程度之间的关系。

• 利用 AI 增强威胁检测和响应能力
• 让专家和非专家都能掌握安全技能
• 利用 AI 自动处理耗时的安全任务
• 将 AI 纳入风险管理和治理流程
• 为 AI 系统实施安全开发实践

利用 AI 增强威胁检测和响应能力

此建议与以下重点领域相关：

• 安全运维 (SecOps)
• 日志记录、审核和监控

AI 可以分析大量安全数据，深入了解威胁行为，并自动分析潜在的恶意代码。此建议符合以下 SAIF 元素：

• 扩展检测和响应能力，将 AI 引入组织的威胁防控体系。
• 使防御自动化，紧跟现有威胁和新威胁的步伐。

根据您的实现方式，此建议可能与以下自动化级别相关：

• 辅助：AI 有助于进行威胁分析和检测。
• 半自主：AI 承担更多安全任务。

Google Threat Intelligence 使用 AI 分析威胁行为者行为和恶意代码，可帮助您实现此建议。

专家和非专家都能掌握安全技能

此建议与以下重点领域相关：

• 安全运维 (SecOps)
• 云治理、风险和合规性

依托 AI 技术的工具可以总结提醒并建议缓解措施，这些功能可以让更多人员更轻松地使用安全功能。此建议符合以下 SAIF 元素：

• 使防御自动化，紧跟现有威胁和新威胁的步伐。
• 统一平台级控制措施，确保整个组织的安全措施保持一致。

根据您的实现方式，此建议可能与以下自动化级别相关：

• 辅助：AI 可帮助您更轻松地获取安全信息。
• 半自动：AI 有助于为所有用户提高安全做法的有效性。

Security Command Center 中的 Gemini 可以提供有关错误配置和漏洞的提醒摘要。

利用 AI 自动处理耗时的安全任务

此建议与以下重点领域相关：

• 基础架构安全
• 安全运维 (SecOps)
• 应用安全

AI 可以自动执行分析恶意软件、生成安全规则和识别配置错误等任务。这些功能有助于减轻安全团队的工作量并缩短响应时间。此建议与 SAIF 要素“使防御自动化，紧跟现有威胁和新威胁的步伐”相符。

根据您的实现方式，此建议可能与以下自动化级别相关：

• 辅助：AI 可帮助您自动执行任务。
• 半自动：AI 承担安全任务的主要责任，仅在需要时请求人工协助。

Google SecOps 中的 Gemini 可以协助分析师、检索相关背景信息，并就后续步骤提供建议，从而帮助自动执行费时费力的任务。

将 AI 纳入风险管理和治理流程

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

您可以使用 AI 构建模型目录和风险信号。您还可以使用 AI 来实施数据隐私、网络风险和第三方风险政策。此建议与 SAIF 中关于结合周边业务流程背景评估 AI 系统风险的要素相符。

根据您的实现方式，此建议可能与半自动驾驶级别相关。在此级别，AI 可以协调运行流程的安全代理，以实现您的自定义安全目标。

为 AI 系统实施安全开发实践

此建议与以下重点领域相关：

• 应用安全
• AI 和机器学习安全

您可以使用 AI 进行安全编码、清理训练数据，以及验证工具和工件。此建议与 SAIF 中有关为 AI 生态系统奠定坚实的安全基础的要素相符。

此建议适用于所有级别的安全自主性，因为必须先建立安全的 AI 系统，然后才能有效地将 AI 用于安全用途。此建议最适用于“辅助”级别，此级别的安全做法会由 AI 技术加以增强。

如需实现此建议，请遵循适用于 AI 工件的 软件工件的供应链级别 (SLSA) 准则，并使用经过验证的容器映像。

满足监管、合规性和隐私权需求

Google Cloud 良好架构框架的安全支柱中包含这一原则，可帮助您确定并满足云部署的监管、合规性和隐私要求。这些要求会影响许多决策，您需要针对Google Cloud中必须对工作负载使用的安全控制措施做出这些决策。

原则概览

满足法规、合规性和隐私权需求是所有企业都不可避免的挑战。云监管要求取决于多种因素，包括：

• 适用于贵组织实际位置的法律法规
• 适用于客户实际位置的法律法规
• 您所在行业的监管要求

隐私权法规定义了您可以如何获取、处理、存储和管理用户数据。您的数据归您所有，包括您从用户那里收到的数据。因此，许多隐私控制由您负责，包括 Cookie、会话管理和获取用户权限控制。

有关实现此原则的建议分为以下几部分：

• 有关应对组织风险的建议
• 有关如何履行监管和合规义务的建议
• 关于管理数据主权的建议
• 有关如何满足隐私权要求的建议

有关如何应对组织风险的建议

本部分提供了一些建议，可帮助您识别和解决组织面临的风险。

识别组织的风险

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

在 Google Cloud上创建和部署资源之前，请先完成风险评估。此评估应确定您需要哪些安全功能才能满足内部安全要求以及外部监管要求。

风险评估为您提供了一系列特定于组织的风险，并告知您组织在检测和应对安全威胁方面的能力。您必须在部署后立即进行风险分析，并且在业务需求、监管要求或组织面临的威胁发生变化时也要进行风险分析。

如从设计上实现安全原则中所述，云环境中的安全风险与本地环境中的风险有所不同。之所以存在这种差异，是因为云端采用的是责任共担模型，该模型因服务（IaaS、PaaS 或 SaaS）和使用情况而异。使用适用于云的风险评估框架，例如 Cloud Controls Matrix (CCM)。使用威胁建模（例如 OWASP 应用威胁建模）来识别和解决漏洞。如需有关风险评估方面的专家帮助，请与您的 Google 客户代表联系，或参阅 Google Cloud合作伙伴名录。

为风险编制目录后，您必须确定如何解决这些风险，也就是说，您要接受、避免、转移还是缓解风险。如需了解您可以实施的缓解控制措施，请参阅下一部分，了解如何降低风险。

缓解风险

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

在采用新的公共云服务时，您可以使用技术控制、合同保护以及第三方验证或证明来缓解风险。

技术控制是指您用于保护环境的功能和技术。其中包括内置的云安全控制机制，例如防火墙和日志记录。技术控制还可包括使用第三方工具来加强或支持您的安全策略。技术控制分为两类：

• 您可以实现 Google Cloud的安全控制措施，以帮助您缓解适用于您环境的风险。例如，您可以使用 Cloud VPN 和 Cloud Interconnect 来确保本地网络与云网络之间的连接安全无虞。
• Google 拥有强大的内部控制和审核机制，可防止内部人员访问客户数据。我们的审核日志可向您提供有关 Google 管理员在 Google Cloud上进行访问的日志（近乎实时）。

合同保护是指我们针对Google Cloud 服务作出的法律承诺。Google 致力于维护和扩展我们的合规产品组合。《云端数据处理附录》(CDPA) 说明了我们在处理和保护您的数据方面的承诺。此外，CDPA 还概述了访问权限控制机制，以限制 Google 支持工程师对客户环境的访问权限，并介绍了我们严格的日志记录和审批流程。建议您在查看 Google Cloud的合同控制时咨询法律和法规专家，并验证它们是否满足您的要求。如需了解详情，请与您的技术客户代表联系。

第三方验证或证明是指让第三方供应商审核云服务商，以确保云服务商满足合规性要求。例如，如需了解 Google Cloud 与 ISO/IEC 27017 准则相关的认证，请参阅 ISO/IEC 27017 - 合规性。如需查看当前的 Google Cloud 认证和证明函，请参阅合规性资源中心。

有关如何遵守监管和合规义务的建议

典型的合规流程分为三个阶段：评估、差距补救和持续监控。本部分提供了您在每个阶段可以使用的建议。

评估您的合规性需求

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

在合规性评估中，首先需要全面查看所有监管义务以及您的企业如何履行这些义务。为帮助您评估 Google Cloud 服务，请使用合规性资源中心。此网站提供以下方面的信息：

• 适用于各种法规的服务支持
• Google Cloud 认证和证明

如需更好地了解 Google 的合规性生命周期以及如何满足您的要求，您可以联系销售团队，请求 Google 合规专家提供帮助。或者，您也可以联系自己的Google Cloud 客户经理，申请参加合规性研讨会。

如需详细了解可用于管理 Google Cloud 工作负载安全性和合规性的工具和资源，请参阅确保云中的合规性。

自动实现合规性要求

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

为了帮助您遵守不断变化的法规，请确定您是否可以自动执行合规性要求。您既可以使用 Google Cloud 提供的以合规性为重点的功能，也可以使用针对特定合规性制度使用推荐配置的蓝图。

Assured Workloads 基于 Google Cloud 中的控制措施构建，可帮助您履行合规性义务。借助 Assured Workloads，您可以执行以下操作：

• 选择您的合规制度。然后，该工具会自动为所选政权设置基准人员访问权限控制。
• 使用组织政策设置数据的位置，以确保静态数据和资源仅保留在该区域中。
• 选择最适合您的安全和合规性要求的密钥管理选项（例如密钥轮替周期）。
• 为 Google 支持人员选择访问条件，以满足某些监管要求（例如 FedRAMP Moderate）。例如，您可以选择 Google 支持人员是否已完成适当的背景调查。
• 使用 Google 拥有且 Google-owned and Google-managed encryption key 符合 FIPS-140-2 要求并支持 FedRAMP 中等风险级别合规性的密钥。为了增强控制层和职责分离，您可以使用客户管理的加密密钥 (CMEK)。如需详细了解密钥，请参阅加密静态数据和传输中的数据。

除了 Assured Workloads 之外，您还可以使用与您的合规性制度相关的 Google Cloud蓝图。您可以修改这些蓝图，将安全政策纳入基础架构部署中。

为了帮助您构建符合合规性要求的环境，Google 的蓝图和解决方案指南包含建议的配置并提供了 Terraform 模块。下表列出了满足安全性和合规性要求的蓝图。

要求	蓝图和解决方案指南
FedRAMP	Google Cloud FedRAMP 实施指南 在 Google Cloud上设置符合 FedRAMP 要求的三层工作负载
HIPAA	在 Google Cloud上保护医疗保健数据 使用数据保护工具包设置遵从 HIPAA 法规的工作负载

监控合规性

此建议与以下重点领域相关：

• 云治理、风险和合规性
• 日志记录、监控和审核

大多数法规要求您监控特定活动，包括与访问权限相关的活动。为帮助您进行监控，您可以使用以下方法：

• Access Transparency： Google Cloud 查看管理员访问您内容时的近乎实时日志。
• 防火墙规则日志记录：针对您创建的任何规则记录 VPC 网络内的 TCP 和 UDP 连接。这些日志可用于审核网络访问权限，或者针对以未经批准的方式使用网络提供早期警告。
• VPC 流日志：记录虚拟机实例发送和接收的网络流量流。
• Security Command Center 高级版：监控是否符合各种标准。
• OSSEC（或其他开源工具）：记录对您的环境具有管理员访问权限的个人的活动。
• 密钥访问理由：查看密钥访问请求的原因。
• Security Command Center 通知：在出现不合规问题时接收提醒。例如，在用户停用两步验证或服务账号拥有过多权限时收到提醒。您还可以为特定通知设置自动纠正功能。

关于管理数据主权的建议

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

数据主权提供了一种机制，可阻止 Google 访问您的数据。您只为自己认可的必要提供商行为批准访问请求。例如，您可以通过以下方式管理数据主权：

• 在云之外存储和管理加密密钥。
• 根据详细的访问理由授予对这些密钥的访问权限。
• 使用机密计算保护使用中的数据。

管理运营主权

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

运营主权能够保证 Google 员工无法损害您的工作负载。例如，您可以通过以下方式管理运营主权：

• 将新资源的部署限制到特定提供商区域。
• 基于预定义的特性（例如，公民身份或地理位置）限制 Google 员工访问权限。

管理软件主权

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

软件主权能够保证您可以控制工作负载的可用性并在任何位置运行它们。此外，您无需依赖或受限于单个云提供商，即可实现这种控制。软件主权包括可承受需要您快速更改工作负载部署位置和允许的外部连接级别的事件的功能。

例如，为帮助您管理软件主权， Google Cloud支持混合云和多云部署。此外，GKE Enterprise 还可让您在云环境和本地环境中管理和部署应用。如果您出于数据主权原因选择本地部署，Google Distributed Cloud 可将硬件和软件组合引入您的数据中心。 Google Cloud

有关如何满足隐私权要求的建议

Google Cloud 包括以下保护隐私权的控制措施：

• 默认加密所有静态数据、传输中的数据和处理中的数据。
• 防范内部人员访问。
• 支持众多隐私权法规。

以下建议介绍了您可以实现的其他控件。如需了解详情，请参阅隐私权资源中心。

控制数据驻留

此建议与以下重点领域相关：Cloud 治理、风险和合规性。

数据驻留描述静态存储数据的位置。数据驻留要求会因系统设计目标、行业监管问题、国家法律、税务影响甚至文化而异。

如需控制数据驻留，请从下列操作开始：

• 了解数据类型及数据位置。
• 确定数据存在哪些风险以及适用哪些法律和法规。
• 控制数据的存储位置或流向位置。

为帮助您遵守数据驻留要求， Google Cloud 允许您控制数据的存储位置、访问方式和处理方式。您可以使用资源位置政策来限制资源的创建位置，并限制数据在区域之间的复制位置。您还可以使用资源的位置属性来标识服务的部署位置及其维护者。如需了解详情，请参阅支持资源位置的服务。

对机密数据进行分类

此建议与以下重点领域相关：数据安全。

您必须定义哪些数据是机密数据，然后确保机密数据得到适当的保护。机密数据可能包括信用卡号码、地址、电话号码和其他个人身份信息 (PII)。您可以使用 Sensitive Data Protection 来设置适当的分类。然后，您可以对数据添加标记和进行令牌化，再存储到 Google Cloud。此外，Dataplex 还提供 catalog 服务，可作为存储、管理和访问元数据的平台。如需了解详情以及数据分类和去标识化示例，请参阅使用敏感数据保护对个人身份信息进行去标识化和重标识处理。

锁定对敏感数据的访问

此建议与以下重点领域相关：

• 数据安全
• 身份和访问权限管理

使用 VPC Service Controls 将敏感数据放置在自己的服务边界内。VPC Service Controls 可帮助您降低未经授权从 Google 代管的服务中复制或转移数据（数据渗漏）的风险。借助 VPC Service Controls，您可以为 Google 代管的服务的资源配置安全边界，并控制跨边界的数据移动。为这些数据设置 Google Identity and Access Management (IAM) 访问权限控制。为需要访问敏感数据的所有用户配置多重身份验证 (MFA)。

Google Cloud上的共担责任和命运共同体

本文档介绍了 Google Cloud中共担责任模型和命运共同体之间的差异。文中讨论了共担责任模型的挑战和细微差别。本文档介绍了什么是命运共同体，以及我们如何与客户合作解决云安全挑战。

在确定如何最好地保护 Google Cloud上的数据和工作负载时，了解共担责任模型非常重要。共担责任模型描述了在云端涉及安全性时的任务，以及这些任务对于云提供商的不同之处。

但是，了解共担责任可能具有挑战性。此模型需要深入了解您使用的每项服务、每项服务提供的配置选项，以及 Google Cloud为保护该服务而执行的操作。每项服务都有不同的配置文件，并且可能很难确定最佳安全配置。Google 认为，共担责任模型无法帮助云客户获得更好的安全结果。我们依靠命运共同体，而不是共担责任。

共同命运体包括要我们可帮助您为工作负载构建和运营受信任的云平台。我们提供最佳做法指导和安全的经过证明的基础架构代码，可用于以安全方式部署工作负载。我们发布了各种 Google Cloud 服务解决方案，以解决复杂的安全问题，并提供创新的保险方案，帮助您衡量和缓解必须接受的风险。在您保护Google Cloud上的资源时，命运共同体的关键在于我们能够更密切地与您互动。

共担责任

您非常了解企业的安全和监管要求，也非常了解保护机密数据和资源的要求。在 Google Cloud上运行工作负载时，必须确定您需要在 Google Cloud 中配置的安全控制措施，以帮助保护机密数据和每个工作负载。如需确定要实现的安全控制措施，您必须考虑以下因素：

• 法规遵从义务
• 组织的安全标准和风险管理计划
• 客户和供应商的安全要求

由工作负载定义

传统上，责任是根据您运行的工作负载类型和所需的云服务定义的。云服务包括以下类别：

云服务	说明
基础架构即服务 (IaaS)	IaaS 服务包括 Compute Engine、Cloud Storage 以及 Cloud VPN、Cloud Load Balancing 和 Cloud DNS 等网络服务。 IaaS 以随用随付的价格提供计算、存储和网络服务。如果您计划使用直接原样迁移将现有本地工作负载迁移到云端，或者希望使用特定数据库在特定虚拟机上运行应用，则可以使用 IaaS：网络配置。 在 IaaS 中，大部分安全责任属于您，我们的责任侧重于底层基础架构和物理安全。
平台即服务 (PaaS)	PaaS 服务包括 App Engine、Google Kubernetes Engine (GKE) 和 BigQuery。 PaaS 提供了您可以在其中开发和运行应用的运行时环境。如果您正在构建应用（例如网站），并且希望专注于开发而不是底层基础设施，则可以使用 PaaS。 在 PaaS 中，我们负责比 IaaS 中更多的控制。通常，这会因您使用的服务和功能而异。您与我们共同负责应用级控制和 IAM 管理。您仍需负责您的数据安全和客户端保护。
软件即服务 (SaaS)	SaaS 应用包括 Google Workspace、Google Security Operations 和 Google Cloud Marketplace 中提供的第三方 SaaS 应用。 SaaS 提供在线应用，您可以通过某种方式订阅或付费。如果您的企业对构建应用本身不具备内部专业知识或业务需求，但需要处理工作负载的能力，则可以使用 SaaS 应用。 在 SaaS 中，我们担负大部分安全责任。您仍需负责您的访问权限控制以及您选择存储在应用中的数据。
函数即服务 (FaaS) 或无服务器	FaaS 为开发者提供了运行单一用途的小型代码（称为函数）的平台，用于响应特定事件。如果您希望特定事件发生特定情况，则可以使用 FaaS。例如，您可以创建一个函数，该函数在数据上传到 Cloud Storage 时就会运行以便对其进行分类。 FaaS 具有与 SaaS 类似的共担责任列表。Cloud Run 函数 是一种 FaaS 应用。

下图展示了云服务并定义了云提供商与客户应如何共担责任。

如图所示，云提供商始终负责底层网络和基础架构，并且客户始终负责其访问政策和数据。

由行业和监管框架定义

各个行业都有监管框架，用于定义必须落实的安全控制措施。将工作负载迁移到云端时，您必须了解以下内容：

• 哪些安全控制措施由您负责
• Cloud 产品提供哪些安全控制措施
• 继承的默认安全控制有哪些

继承的安全控制措施（例如我们的默认加密和基础架构控制）是您可以作为安全状况证据的一部分提供给审计员和监管机构的控制措施。例如，支付卡行业数据安全标准 (PCI DSS) 定义了付款处理方的法规。将业务迁移到云端后，这些法规会在您和 CSP 之间共享。如需了解如何在您与Google Cloud之间共担 PCI DSS 责任，请参阅 Google Cloud：PCI DSS 共担责任表。

再举一个例子，在美国，《健康保险流通与责任法案》(HIPAA) 规定了处理电子个人健康信息 (PHI) 的标准。这些责任还会在 CSP 与您之间共担。如需详细了解 Google Cloud 如何 Google Cloud 履行了 HIPAA 规定的责任，请参阅 HIPAA - 合规性。

其他行业（例如金融或制造）也有法规来规定收集、处理和存储数据的方式。如需详细了解与这类事项相关的共担责任以及Google Cloud 如何履行我们的责任，请参阅合规性资源中心。

由位置定义

根据您的业务场景，您可能需要根据公司办公室的位置、客户和数据来考虑您的职责。不同的国家和地区制定了相应的法规，指导您如何处理和存储客户数据。例如，如果您的企业有欧盟境内的客户，则您的企业可能需要遵守一般数据保护条例 (GDPR) 中所述的要求，您可能有义务将客户数据保存在欧盟境内。在这种情况下，您需负责确保您收集的数据会保留在Google Cloud 欧盟区域中。如需详细了解我们如何履行 GDPR 义务，请参阅 GDPR 和 Google Cloud。

如需了解与您的区域相关的要求，请参阅符合的法规和标准。 如果您的场景特别复杂，建议您与我们的销售团队或我们的合作伙伴联系，以帮助您评估安全责任。

共担责任所面临的挑战

虽然共担责任有助于定义您或云提供商具有的安全角色，但依赖共担责任仍然可以产生挑战。以下面几种情况为例：

• 大多数云安全事故都属于配置错误直接导致的结果（在 Cloud Security Alliance 的 Pandemic 11 报告中被列为编号 3），此趋势预计会增加。云产品不断变化，并且新产品也在不断发布。跟上不断变化似乎很困难。客户需要云服务提供商为他们提供可靠的最佳做法，以帮助其适应变化，从默认的最佳做法开始，并具有基准安全配置。
• 虽然按云服务划分内容非常有用，但许多企业的工作负载需要多种云服务类型。在这种情况下，您必须考虑这些服务的各种安全控制措施如何交互，包括它们在服务之间是否重叠。例如，您可能有一个要迁移到 Compute Engine 的本地应用，使用 Google Workspace 处理公司电子邮件，同时运行 BigQuery 来分析数据以改进您的产品。
• 随着法规的改变，当您进入新市场或者是收购其他公司时，您的业务和市场都会不断变化。您的新市场可能有不同的要求，而新的收购可能会将其工作负载托管在另一个云平台上。为了管理不断变化，您必须不断重新评估您的风险概况，并能够快速实施新的控制措施。
• 数据加密密钥的管理方式和位置是与您保护数据职责相关的重要决策。您选择的选项取决于您的监管要求（无论您是运行混合云环境还是仍然具有本地环境），以及您要处理和存储的数据的敏感性。
• 事件管理是一项重要而又经常被忽视的领域，在此您的责任和云服务商责任不易定义。许多事件都需要云提供商密切合作和支持，以帮助调查和缓解它们。其他事件可能由于云资源配置不当或凭据被盗而造成，并且确保您满足保护资源和账号的最佳做法非常困难。
• 高级持续威胁 (APT) 和新漏洞会影响您开始云转换时可能不会考虑的工作负载。确保您及时了解最新的变化情况并负责威胁缓解工作，尤其是在您的企业没有大型安全团队的情况下。

共进退

我们在 Google Cloud 中开发了命运共同体，以开始解决共担责任模型无法解决的难题。命运共同体希望侧重于所有各方可以更好地互动，以持续提高安全性。 命运共同体基于共担责任模型，因为它将云提供商与客户之间的关系视为持续改善的合作伙伴关系。

命运共同体就是要我们负责确保 Google Cloud更加安全。命运共同体包括帮助您从安全的着陆可用区开始，并清晰、明确、公开地介绍推荐的安全控制措施、设置和关联的最佳实践。它包括使用我们的风险防范计划，帮助您更好地量化和管理网络保险的风险。通过命运共同体，我们希望从标准的共担责任框架转变为更好的模型，帮助您保护企业并在 Google Cloud中建立信任。

以下部分介绍了命运共同体的各种组件。

使用入门帮助

命运共同体的一个重要组件是我们提供的资源，可帮助您在 Google Cloud中以安全配置入门。从安全配置开始有助于减少配置错误的问题，而配置错误是大多数安全事故的根本原因。

资源包括以下内容：

• 企业基础蓝图：讨论主要安全问题和我们的主要建议。

• 安全蓝图：可让您使用基础架构即代码 (IaC) 部署和维护安全解决方案。蓝图默认启用我们的安全建议。许多蓝图由 Google 安全团队创建并作为产品进行管理。此支持意味着它们会定期更新，通过严格的测试流程，并获得了第三方测试组的证明。蓝图包括企业基础蓝图和安全数据仓库蓝图。

• Google Cloud 架构良好的框架最佳实践，解决了如何将安全性纳入设计中的热门建议。良好架构框架包括安全部分和可用于与专家和同行联系的社区可用区。

• 着陆可用区导航指南，逐步介绍了为工作负载构建安全基础所需做出的主要决策，包括资源层次结构、身份入门、安全性密钥管理和网络结构。

Risk Protection Program

命运共同体还包括 Risk Protection Program（目前为预览版），可帮助您将 Google Cloud 的强大功能用作管理风险的平台，而不仅仅是将云工作负载视为您需要管理的风险的另一个来源。Risk Protection Program 是 Google Cloud 和两家领先的网络保险公司 Munich Re 和 Allianz Global & Corporate Speciality 的合作项目。 Google Cloud

Risk Protection Program 包含 Risk Manager，它提供数据驱动的数据分析，可用于更好地了解云安全状况。如需寻找网络承保责任范围，您可以直接与我们的保险合作伙伴分享来自 Risk Manager 的数据洞见，以获取报价。如需了解详情，请参阅 Google Cloud Risk Protection Program 现提供预览版。

部署和治理方面的帮助

命运共同体还有助于您持续治理环境。例如，我们专注并致力于如下产品：

• Assured Workloads，可帮助您履行合规性义务。
• Security Command Center Premium，使用威胁情报、威胁检测、网页扫描和其他高级方法监控并检测威胁。它还提供了一种快速自动解决许多此类威胁的方法。
• 组织政策和资源设置，可让您在整个文件夹和项目的层次结构中配置政策。
• Policy Intelligence 工具，可让您深入了解账号和资源的访问权限。
• 机密计算：可用于加密使用中的数据。
• 合作伙伴提供的主权控制，适用于某些国家/地区，有助于强制执行数据驻留要求。

实践共担责任和命运共同体

在规划流程中，请考虑以下操作，以帮助您理解和实施适当的安全控制措施：

• 创建将在Google Cloud中托管的工作负载类型的列表，以及它们是否需要 IaaS、PaaS 和 SaaS 服务。您可以使用共担责任图作为核对清单，以确保您了解需要考虑的安全控制措施。
• 创建您必须遵守的监管要求列表，并访问合规性资源中心中与这些要求相关的资源。
• 查看架构中心的可用蓝图和架构列表，了解特定工作负载所需的安全控制措施。蓝图提供推荐控制措施的列表以及部署该架构所需的 IaC 代码。
• 使用着陆区文档和企业基础指南中的建议来设计符合您需求的资源层次结构和网络架构。您可以使用专用的工作负载蓝图（如安全数据仓库）来加快开发过程。
• 部署工作负载后，请使用 Risk Manager、Assured Workloads、Policy Intelligence 工具和 Security Command Center Premium 等服务验证您是否履行了安全责任。

如需了解详情，请参阅 CISO 的云转型指南论文。

后续步骤

• 查看核心安全原则。
• 及时了解命运共同体资源方面的最新动态。
• 熟悉可用的蓝图，包括安全基础蓝图和安全数据仓库等工作负载示例。
• 详细了解命运共同体。
• 阅读 Google 基础架构安全设计概览，了解我们的底层安全基础架构。
• 了解如何在 Google Cloud 中实施 NIST Cybersecurity Framework 最佳实践(PDF)。