Google Cloud 架构框架中的本文档介绍了在 Google Cloud 上运行安全且合规的服务需遵循的一些核心原则。您所熟悉的适用于本地环境的许多安全原则同样也适用于云环境。
构建分层安全方法
通过应用深度防御方法,在应用和基础架构的每个层级实施安全措施。使用每个产品中的功能来限制访问并在适当的情况下配置加密。
针对安全的分离系统进行设计
尽可能简化系统设计以适应灵活性,并记录每个组件的安全要求。纳入强大的安全机制以兼顾弹性和恢复能力。
自动部署敏感任务
通过自动执行部署和其他管理任务,免除人工对工作流的处理。
自动执行安全监控
使用自动化工具监控您的应用和基础架构。如需扫描基础架构中的漏洞并检测安全突发事件,请在持续集成和持续部署 (CI/CD) 流水线中使用自动扫描。
满足区域的合规性要求
请注意,您可能需要模糊或隐去个人身份信息 (PII),以满足您的监管要求。尽可能自动执行合规性工作。例如,使用 Sensitive Data Protection 和 Dataflow 自动执行个人身份信息隐去作业,然后再将新数据存储在系统中。
遵守数据驻留和主权要求
可能会存在内部或外部的要求,需要您控制数据存储和处理的位置。这些要求会因系统设计目标、行业监管问题、国家法律、税务影响和文化而异。数据驻留描述数据的存储位置。为遵守数据驻留要求,Google Cloud 允许您控制数据的存储位置、访问方式和处理方式。
优先确保安全
DevOps 和部署自动化使您的组织可以提高交付产品的速度。为了帮助确保您的产品安全无虞,请从开发流程最初便纳入安全流程。例如,您可以执行以下操作:
- 在部署流水线的早期阶段测试代码中的安全问题。
- 持续扫描容器映像和云基础架构。
- 自动检测配置错误和安全性相关的各种错误模式。例如,使用自动化功能查找在应用或配置中硬编码的 Secret。
后续步骤
使用以下资源详细了解核心安全原则: