Dokumen ini menjelaskan perbedaan antara model tanggung jawab bersama dan konsekuensi bersama di Google Cloud. Bagian ini membahas tantangan dan nuansa model tanggung jawab bersama. Dokumen ini menjelaskan tentang konsekuensi bersama dan cara kami bermitra dengan pelanggan untuk mengatasi tantangan keamanan cloud.
Memahami model tanggung jawab bersama sangatlah penting saat menentukan cara terbaik untuk melindungi data dan workload Anda di Google Cloud. Model tanggung jawab bersama menjelaskan tugas yang Anda miliki terkait keamanan di cloud dan perbedaan tugas ini untuk penyedia cloud.
Namun, memahami tanggung jawab bersama bisa menjadi tantangan tersendiri. Model ini memerlukan pemahaman mendalam tentang setiap layanan yang Anda gunakan, opsi konfigurasi yang disediakan setiap layanan, dan hal yang dilakukan Google Cloud untuk mengamankan layanan. Setiap layanan memiliki profil konfigurasi yang berbeda, dan sulit untuk menentukan konfigurasi keamanan terbaik. Google yakin bahwa model tanggung jawab bersama tidak akan membantu pelanggan cloud mencapai hasil keamanan yang lebih baik. Kami percaya pada konsekuensi bersama, bukan tanggung jawab bersama.
Konsekuensi bersama memungkinkan kami membangun dan mengoperasikan platform cloud tepercaya untuk workload Anda. Kami memberikan panduan praktik terbaik dan kode infrastruktur yang aman dan tervalidasi yang dapat Anda gunakan untuk men-deploy workload dengan cara yang aman. Kami merilis solusi yang menggabungkan berbagai layanan Google Cloud untuk mengatasi masalah keamanan yang kompleks dan kami menawarkan opsi asuransi yang inovatif untuk membantu Anda mengukur dan mengurangi risiko yang harus Anda terima. Konsekuensi bersama melibatkan kami agar lebih dekat dengan Anda saat Anda mengamankan resource di Google Cloud.
Tanggung jawab bersama
Anda adalah pakar dalam mengetahui persyaratan keamanan dan peraturan untuk bisnis, serta mengetahui persyaratan untuk melindungi data dan resource rahasia. Saat menjalankan workload di Google Cloud, Anda harus mengidentifikasi kontrol keamanan yang perlu dikonfigurasi di Google Cloud untuk membantu melindungi data rahasia dan setiap workload. Untuk menentukan kontrol keamanan yang akan diterapkan, Anda harus mempertimbangkan faktor-faktor berikut:
- Kewajiban kepatuhan terhadap peraturan Anda
- Standar keamanan dan rencana manajemen risiko organisasi Anda
- Persyaratan keamanan pelanggan dan vendor Anda
Ditentukan oleh workload
Secara tradisional, tanggung jawab ditentukan berdasarkan jenis workload yang Anda jalankan dan layanan cloud yang Anda butuhkan. Layanan cloud mencakup kategori berikut:
Layanan cloud | Deskripsi |
---|---|
Infrastructure as a Service (IaaS) | Layanan IaaS mencakup Compute Engine, Cloud Storage, dan layanan jaringan seperti Cloud VPN, Cloud Load Balancing, dan Cloud DNS.
IaaS menyediakan layanan komputasi, penyimpanan, dan jaringan on demand dengan harga bayar sesuai penggunaan. Anda dapat menggunakan IaaS jika berencana memigrasikan lokal yang ada ke cloud menggunakan lift-and-shift, atau jika Anda ingin menjalankan aplikasi pada VM tertentu, menggunakan konfigurasi jaringan. Di IaaS, sebagian besar tanggung jawab keamanan adalah milik Anda, dan tanggung jawab kami difokuskan pada infrastruktur dasar serta keamanan fisik. |
Platform as a Service (PaaS) | Layanan PaaS mencakup App Engine, Google Kubernetes Engine (GKE), dan BigQuery.
PaaS menyediakan lingkungan runtime tempat Anda dapat mengembangkan dan menjalankan aplikasi. Anda dapat menggunakan PaaS saat membangun aplikasi (seperti situs web), dan ingin berfokus pada pengembangan, bukan pada infrastruktur yang mendasarinya. Di PaaS, kami bertanggung jawab atas lebih banyak kontrol daripada di IaaS. Biasanya, hal ini akan bervariasi menurut layanan dan fitur yang Anda gunakan. Anda berbagi tanggung jawab dengan kami terkait kontrol tingkat aplikasi dan pengelolaan IAM. Anda tetap bertanggung jawab atas keamanan data dan perlindungan klien Anda. |
Software as a Service (SaaS) | Aplikasi SaaS mencakup Google Workspace, Google Security Operations, dan aplikasi SaaS pihak ketiga yang tersedia di Google Cloud Marketplace.
SaaS menyediakan aplikasi online yang memungkinkan Anda berlangganan atau membayar dengan cara tertentu. Anda dapat menggunakan aplikasi SaaS saat perusahaan Anda tidak memiliki keahlian internal atau persyaratan bisnis untuk membangun aplikasi itu sendiri tetapi memerlukan kemampuan untuk memproses workload. Di SaaS, kami memiliki sebagian besar tanggung jawab keamanan. Anda tetap bertanggung jawab atas kontrol akses dan data yang Anda pilih untuk disimpan di aplikasi. |
Function as a Service (FaaS) atau serverless | FaaS menyediakan platform bagi developer untuk menjalankan kode kecil dengan satu tujuan (disebut fungsi) yang berjalan sebagai respons terhadap peristiwa tertentu. Anda akan menggunakan FaaS ketika Anda ingin hal-hal tertentu terjadi berdasarkan peristiwa tertentu. Misalnya, Anda dapat membuat fungsi yang berjalan setiap kali data diupload ke Cloud Storage sehingga dapat diklasifikasikan. FaaS memiliki daftar tanggung jawab bersama yang serupa dengan SaaS. Fungsi Cloud Run adalah aplikasi FaaS. |
Diagram berikut menunjukkan layanan cloud dan menentukan cara berbagi tanggung jawab antara penyedia cloud dan pelanggan.
Seperti yang ditunjukkan dalam diagram, penyedia cloud selalu bertanggung jawab atas jaringan dan infrastruktur yang mendasarinya, dan pelanggan selalu bertanggung jawab atas kebijakan akses dan data mereka.
Ditentukan oleh framework peraturan dan industri
Berbagai industri memiliki kerangka peraturan yang menentukan kontrol keamanan yang harus diterapkan. Saat memindahkan workload ke cloud, Anda harus memahami hal-hal berikut:
- Kontrol keamanan mana yang menjadi tanggung jawab Anda
- Kontrol keamanan mana yang tersedia sebagai bagian dari penawaran cloud
- Kontrol keamanan default mana yang diwarisi
Kontrol keamanan yang diwarisi (seperti enkripsi default dan kontrol infrastruktur kami) adalah kontrol yang dapat Anda berikan sebagai bagian dari bukti keamanan Anda kepada auditor dan badan pengatur. Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) menetapkan peraturan untuk pemroses pembayaran. Saat Anda memindahkan bisnis ke cloud, peraturan ini akan berlaku untuk Anda dan CSP. Untuk memahami pembagian tanggung jawab PCI DSS antara Anda dan Google Cloud, lihat Google Cloud: Matriks Tanggung Jawab Bersama PCI DSS.
Sebagai contoh lain, di Amerika Serikat, Health Insurance Portability and Accountability Act (HIPAA) telah menetapkan standar untuk menangani informasi kesehatan pribadi elektronik (PHI). Tanggung jawab ini juga dibagi antara CSP dan Anda. Untuk informasi selengkapnya tentang cara Google Cloud memenuhi tanggung jawab kami berdasarkan HIPAA, lihat HIPAA - Kepatuhan.
Industri lain (seperti, keuangan atau manufaktur) juga memiliki peraturan yang menentukan cara data dikumpulkan, diproses, dan disimpan. Untuk informasi selengkapnya tentang tanggung jawab bersama terkait hal ini, dan bagaimana Google Cloud memenuhi tanggung jawab kami, lihat Pusat referensi kepatuhan.
Ditentukan menurut lokasi
Bergantung pada skenario bisnis, Anda mungkin perlu mempertimbangkan tanggung jawab berdasarkan lokasi kantor bisnis, pelanggan, dan data Anda. Beberapa negara dan wilayah telah membuat peraturan yang menentukan cara Anda dapat memproses dan menyimpan data pelanggan. Misalnya, jika bisnis Anda memiliki pelanggan yang tinggal di Uni Eropa, bisnis Anda mungkin harus mematuhi persyaratan yang dijelaskan dalam General Data Protection Regulation (GDPR), dan Anda mungkin diwajibkan untuk menyimpan data pelanggan di Uni Eropa. Dalam situasi ini, Anda bertanggung jawab untuk memastikan bahwa data yang Anda kumpulkan tetap berada di region Google Cloud di Uni Eropa. Untuk informasi selengkapnya tentang cara kami memenuhi kewajiban GDPR, baca artikel GDPR dan Google Cloud.
Untuk informasi persyaratan terkait region Anda, lihat Penawaran kepatuhan. Jika skenario Anda sangat rumit, sebaiknya hubungi tim penjualan atau salah satu partner kami untuk membantu mengevaluasi tanggung jawab keamanan.
Tantangan dari tanggung jawab bersama
Meskipun tanggung jawab bersama membantu menentukan peran keamanan yang Anda atau penyedia cloud miliki, mengandalkan tanggung jawab bersama tetap dapat menimbulkan tantangan. Perhatikan skenario berikut:
- Sebagian besar pelanggaran keamanan cloud diakibatkan oleh kesalahan konfigurasi (tercantum pada nomor 3 dalam Laporan Pandemic 11 Cloud Security Alliance) dan tren ini diperkirakan akan meningkat. Produk-produk cloud terus berubah, dan produk baru terus diluncurkan. Mengikuti perubahan secara terus-menerus bisa sangat melelahkan. Pelanggan memerlukan penyedia cloud untuk memberikan praktik terbaik opini agar dapat terus mengikuti perubahan, dimulai dengan praktik terbaik secara default dan memiliki konfigurasi dasar yang aman.
- Pembagian item dengan layanan cloud sangat membantu, banyak perusahaan memiliki workload yang memerlukan beberapa jenis layanan cloud. Dalam situasi ini Anda harus mempertimbangkan berbagai cara kontrol keamanan bagi layanan ini berinteraksi, termasuk apakah kontrol tersebut tumpang-tindih antar layanan. Misalnya, Anda mungkin memiliki aplikasi lokal yang dimigrasikan ke Compute Engine, menggunakan Google Workspace untuk email perusahaan, dan juga menjalankan BigQuery untuk menganalisis data guna meningkatkan kualitas produk Anda.
- Bisnis dan pasar Anda akan terus berubah; ketika peraturan berubah, saat Anda memasuki pasar baru, atau saat Anda mengakuisisi perusahaan lain. Pasar baru Anda mungkin memiliki persyaratan yang berbeda, dan akuisisi Anda yang baru mungkin menghosting workload di cloud lain. Untuk mengelola perubahan yang konstan, Anda harus terus menilai ulang profil risiko dan dapat menerapkan kontrol baru dengan cepat.
- Bagaimana dan dimana mengelola kunci enkripsi data adalah keputusan penting yang terikat dengan tanggung jawab untuk melindungi data Anda. Opsi yang Anda pilih bergantung pada persyaratan peraturan, apakah Anda menjalankan lingkungan hybrid cloud atau masih memiliki lingkungan lokal, serta sensitivitas data yang Anda proses dan penyimpanan.
- Manajemen insiden adalah area penting dan sering diabaikan, dimana tanggung jawab Anda dan tanggung jawab penyedia cloud sulit ditentukan. Banyak insiden memerlukan kolaborasi dan dukungan kuat dari penyedia cloud untuk membantu menyelidiki dan memitigasinya. Insiden lainnya mungkin berasal dari resource cloud yang dikonfigurasi dengan buruk atau kredensial curian, dan memastikan bahwa Anda memenuhi praktik terbaik untuk mengamankan resource dan akun bisa jadi cukup sulit.
- Ancaman persisten tingkat lanjut (APTs) dan kerentanan baru dapat memengaruhi workload Anda dengan cara yang mungkin tidak Anda pertimbangkan saat memulai transformasi cloud. Memastikan bahwa Anda selalu mengikuti info terbaru tentang lanskap yang terus berubah, dan siapa yang bertanggung jawab atas mitigasi ancaman adalah hal yang sulit dilakukan, terutama jika bisnis Anda tidak memiliki tim keamanan yang besar.
Konsekuensi bersama
Kami mengembangkan konsekuensi bersama di Google Cloud untuk mulai menangani tantangan yang tidak diatasi oleh model tanggung jawab bersama. Konsekuensi bersama berfokus pada bagaimana semua pihak dapat berinteraksi dengan lebih baik untuk terus meningkatkan keamanan. Konsekuensi bersama dibangun berdasarkan model tanggung jawab bersama dengan melihat hubungan antara penyedia cloud dan pelanggan sebagai kemitraan berkelanjutan untuk meningkatkan keamanan.
Konsekuensi bersama adalah bagaimana kami bertanggung jawab untuk membuat Google Cloud. lebih aman. Konsekuensi bersama dapat membantu Anda untuk memulai zona landing yang aman serta bersikap jelas, dogmatis, dan transparan terkait kontrol keamanan, setelan, dan praktik terbaik yang direkomendasikan. Fitur ini dapat membantu Anda mengukur dan mengelola risiko dengan lebih baik dengan asuransi cyber, menggunakan Program Proteksi Risiko kami. Dengan menggunakan konsekuensi bersama, kami ingin berkembang dari framework tanggung jawab bersama standar menjadi model yang lebih baik yang membantu Anda mengamankan bisnis dan membangun kepercayaan di Google Cloud.
Bagian berikut menjelaskan berbagai komponen konsekuensi bersama.
Bantuan untuk memulai
Komponen utama dari konsekuensi bersama adalah resource yang kami sediakan untuk membantu Anda memulai, konfigurasi yang aman di Google Cloud. Memulai dengan konfigurasi yang aman dapat membantu mengurangi masalah kesalahan konfigurasi yang merupakan akar penyebab sebagian besar pelanggaran keamanan.
Referensi kami meliputi:
- Blueprint fondasi perusahaan yang membahas masalah keamanan utama dan rekomendasi utama kami.
Blueprint aman yang memungkinkan Anda men-deploy dan mengelola solusi yang aman menggunakan infrastruktur sebagai kode (IaC). Blueprint mengaktifkan rekomendasi keamanan kami secara default. Banyak blueprint yang dibuat oleh tim keamanan Google dan dikelola sebagai produk. Dengan dukungan ini, konfigurasi harus diperbarui secara rutin, melalui proses pengujian yang ketat, dan menerima pengesahan dari grup pengujian pihak ketiga. Blueprint mencakup blueprint fondasi perusahaan dan blueprint data warehouse yang aman.
Praktik terbaik Framework Arsitektur yang membahas rekomendasi teratas untuk membangun keamanan ke dalam desain Anda. Framework Arsitektur mencakup bagian keamanan dan zona komunitas yang dapat Anda gunakan untuk terhubung dengan pakar dan rekan Anda.
Panduan navigasi zona landing yang memandu Anda dalam mengambil keputusan penting untuk membangun fondasi yang aman bagi workload Anda, termasuk hierarki resource, orientasi identitas, keamanan, dan manajemen kunci, serta struktur jaringan.
Risk Protection Program
Konsekuensi bersama juga mencakup Program Perlindungan Risiko (dalam pratinjau saat ini), yang membantu Anda menggunakan kecanggihan Google Cloud sebagai platform untuk mengelola risiko, bukan hanya melihat workload cloud Anda sebagai sumber risiko lain yang perlu Anda kelola. Program Proteksi Risiko adalah kolaborasi antara Google Cloud dan dua perusahaan asuransi cyber terkemuka, Munich Re dan Allianz Global & Corporate Speciality.
Program Proteksi Risiko mencakup Risk Manager, yang memberikan insight berbasis data yang dapat Anda gunakan untuk lebih memahami postur keamanan cloud Anda. Jika mencari perlindungan asuransi cyber, Anda dapat membagikan insight dari Risk Manager secara langsung kepada partner asuransi kami untuk mendapatkan penawaran harga. Untuk informasi selengkapnya, lihat Program Perlindungan Risiko Google Cloud sekarang dalam Pratinjau.
Bantuan terkait deployment dan tata kelola
Konsekuensi bersama juga membantu tata kelola berkelanjutan terhadap lingkungan Anda. Misalnya kami memfokuskan upaya pada produk berikut ini:
- Assured Workloads, yang membantu Anda memenuhi kewajiban kepatuhan.
- Security Command Center Premium, yang menggunakan kecerdasan ancaman, deteksi ancaman, pemindaian web, dan metode canggih lainnya untuk memantau dan mendeteksi ancaman. Selain itu, platform ini juga menyediakan cara untuk menyelesaikan berbagai ancaman tersebut dengan cepat dan secara otomatis.
- Kebijakan organisasi dan setelan resource yang memungkinkan Anda mengonfigurasi kebijakan di seluruh hierarki folder dan project.
- Alat Policy Intelligence yang menyediakan insight tentang akses ke akun dan resource.
- Confidential Computing, yang memungkinkan Anda mengenkripsi data aktif.
- Sovereign Controls oleh Partner, yang tersedia di negara tertentu dan membantu menerapkan persyaratan residensi data.
Mempraktikkan tanggung jawab bersama dan konsekuensi bersama
Sebagai bagian dari proses perencanaan, pertimbangkan tindakan berikut untuk membantu Anda memahami dan menerapkan kontrol keamanan yang tepat:
- Buat daftar jenis workload yang akan Anda hosting di Google Cloud, dan apakah workload tersebut memerlukan layanan IaaS, PaaS, dan SaaS. Anda dapat menggunakan diagram tanggung jawab bersama sebagai checklist untuk memastikan bahwa Anda mengetahui kontrol keamanan yang perlu dipertimbangkan.
- Buat daftar persyaratan peraturan yang harus Anda patuhi, dan akses referensi di Pusat referensi kepatuhan terkait persyaratan tersebut.
- Tinjau daftar blueprint dan arsitektur yang tersedia di Pusat Arsitektur untuk kontrol keamanan yang diperlukan bagi workload khusus Anda. Blueprint ini memberikan daftar kontrol yang direkomendasikan dan kode IaC yang Anda perlukan untuk men-deploy arsitektur tersebut.
- Gunakan dokumentasi zona landing dan rekomendasi di panduan fondasi perusahaan untuk merancang hierarki resource dan arsitektur jaringan yang sesuai dengan persyaratan. Anda dapat menggunakan blueprint workload dogmatis, seperti data warehouse yang diamankan, untuk mempercepat proses pengembangan.
- Setelah men-deploy workload, pastikan Anda memenuhi tanggung jawab keamanan menggunakan layanan seperti Risk Manager, Assured Workloads, alat Policy Intelligence, dan Security Command Center Premium
Untuk informasi selengkapnya, lihat makalah Panduan CISO untuk Cloud Transformation.
Langkah selanjutnya
- Tinjau prinsip keamanan (dokumen berikutnya dalam seri ini).
- Ikuti terus referensi konsekuensi bersama.
- Pelajari blueprint yang tersedia, termasuk blueprint security foundation dan contoh workload seperti data warehouse yang aman.
- Baca selengkapnya tentang konsekuensi bersama.
- Baca infrastruktur keamanan dasar kami di ringkasan desain keamanan infrastruktur Google.
- Baca cara menerapkan praktik terbaik Framework NIST Cybersecurity di Google Cloud (PDF).