本文档介绍了 Google Cloud 中共担责任模型和命运共同体之间的差异。文中讨论了共担责任模型的挑战和细微差别。本文档介绍了什么是命运共同体,以及我们如何与客户合作解决云安全挑战。
在确定如何最好地保护 Google Cloud 上的数据和工作负载时,了解共担责任模型非常重要。共担责任模型描述了在云端涉及安全性时的任务,以及这些任务对于云提供商的不同之处。
但是,了解共担责任可能具有挑战性。此模型需要深入了解您使用的每项服务、每项服务提供的配置选项,以及 Google Cloud 为保护该服务而执行的操作。每项服务都有不同的配置文件,并且可能很难确定最佳安全配置。Google 认为,共担责任模型无法帮助云客户获得更好的安全结果。我们依靠命运共同体,而不是共担责任。
共同命运体包括要我们可帮助您为工作负载构建和运营受信任的云平台。我们提供最佳做法指导和安全的经过证明的基础架构代码,可用于以安全方式部署工作负载。我们发布了各种 Google Cloud 服务解决方案,以解决复杂的安全问题,并提供创新的保险方案,帮助您衡量和缓解必须接受的风险。在您保护 Google Cloud 上的资源时,命运共同体的关键在于我们能够更密切地与您互动。
共担责任
您非常了解企业的安全和监管要求,也非常了解保护机密数据和资源的要求。在 Google Cloud 上运行工作负载时,必须确定您需要在 Google Cloud 中配置的安全控制措施,以帮助保护机密数据和每个工作负载。如需确定要实现的安全控制措施,您必须考虑以下因素:
- 法规遵从义务
- 组织的安全标准和风险管理计划
- 客户和供应商的安全要求
由工作负载定义
传统上,责任是根据您运行的工作负载类型和所需的云服务定义的。云服务包括以下类别:
云服务 | 说明 |
---|---|
基础架构即服务 (IaaS) | IaaS 服务包括 Compute Engine、Cloud Storage 以及 Cloud VPN、Cloud Load Balancing 和 Cloud DNS 等网络服务。 IaaS 以随用随付的价格提供计算、存储和网络服务。如果您计划使用直接原样迁移将现有本地工作负载迁移到云端,或者希望使用特定数据库在特定虚拟机上运行应用,则可以使用 IaaS:网络配置。 在 IaaS 中,大部分安全责任属于您,我们的责任侧重于底层基础架构和物理安全。 |
平台即服务 (PaaS) | PaaS 服务包括 App Engine、Google Kubernetes Engine (GKE) 和 BigQuery。 PaaS 提供了您可以在其中开发和运行应用的运行时环境。如果您正在构建应用(例如网站),并且希望专注于开发而不是底层基础设施,则可以使用 PaaS。 在 PaaS 中,我们负责比 IaaS 中更多的控制。通常,这会因您使用的服务和功能而异。您与我们共同负责应用级控制和 IAM 管理。您仍需负责您的数据安全和客户端保护。 |
软件即服务 (SaaS) | SaaS 应用包括 Google Workspace、Google Security Operations 和 Google Cloud Marketplace 中提供的第三方 SaaS 应用。
SaaS 提供在线应用,您可以通过某种方式订阅或付费。如果您的企业对构建应用本身不具备内部专业知识或业务需求,但需要处理工作负载的能力,则可以使用 SaaS 应用。 在 SaaS 中,我们担负大部分安全责任。您仍需负责您的访问权限控制以及您选择存储在应用中的数据。 |
函数即服务 (FaaS) 或无服务器 | FaaS 为开发者提供了运行单一用途的小型代码(称为函数)的平台,用于响应特定事件。如果您希望特定事件发生特定情况,则可以使用 FaaS。例如,您可以创建一个函数,该函数在数据上传到 Cloud Storage 时就会运行以便对其进行分类。 FaaS 具有与 SaaS 类似的共担责任列表。Cloud Functions 是一种 FaaS 应用。 |
下图展示了云服务并定义了云提供商与客户应如何共担责任。
如图所示,云提供商始终负责底层网络和基础架构,并且客户始终负责其访问政策和数据。
由行业和监管框架定义
各个行业都有监管框架,用于定义必须落实的安全控制措施。将工作负载迁移到云端时,您必须了解以下内容:
- 哪些安全控制措施由您负责
- Cloud 产品提供哪些安全控制措施
- 继承的默认安全控制有哪些
继承的安全控制措施(例如我们的默认加密和基础架构控制)是您可以作为安全状况证据的一部分提供给审计员和监管机构的控制措施。例如,支付卡行业数据安全标准 (PCI DSS) 定义了付款处理方的法规。将业务迁移到云端后,这些法规会在您和 CSP 之间共享。如需了解如何在您与 Google Cloud 之间共担 PCI DSS 责任,请参阅 Google Cloud:PCI DSS 共担责任表。
再举一个例子,在美国,《健康保险流通与责任法案》(HIPAA) 规定了处理电子个人健康信息 (PHI) 的标准。这些责任还会在 CSP 与您之间共担。如需详细了解 Google Cloud 如何履行了 HIPAA 规定的责任,请参阅 HIPAA - 合规性。
其他行业(例如金融或制造)也有法规来规定收集、处理和存储数据的方式。如需详细了解与这类事项相关的共担责任以及 Google Cloud 如何履行我们的责任,请参阅合规性资源中心。
由位置定义
根据您的业务场景,您可能需要根据公司办公室的位置、客户和数据来考虑您的职责。不同的国家和地区制定了相应的法规,指导您如何处理和存储客户数据。例如,如果您的企业有欧盟境内的客户,则您的企业可能需要遵守一般数据保护条例 (GDPR) 中所述的要求,您可能有义务将客户数据保存在欧盟境内。在这种情况下,您需负责确保您收集的数据会保留在欧盟的 Google Cloud 区域中。如需详细了解我们如何履行 GDPR 义务,请参阅 GDPR 和 Google Cloud。
如需了解与您的区域相关的要求,请参阅符合的法规和标准。 如果您的场景特别复杂,建议您与我们的销售团队或我们的合作伙伴联系,以帮助您评估安全责任。
共担责任所面临的挑战
虽然共担责任有助于定义您或云提供商具有的安全角色,但依赖共担责任仍然可以产生挑战。以下面几种情况为例:
- 大多数云安全事故都属于配置错误直接导致的结果(在 Cloud Security Alliance 的 Pandemic 11 报告中被列为编号 3),此趋势预计会增加。云产品不断变化,并且新产品也在不断发布。跟上不断变化似乎很困难。客户需要云服务提供商为他们提供可靠的最佳做法,以帮助其适应变化,从默认的最佳做法开始,并具有基准安全配置。
- 虽然按云服务划分内容非常有用,但许多企业的工作负载需要多种云服务类型。在这种情况下,您必须考虑这些服务的各种安全控制措施如何交互,包括它们在服务之间是否重叠。例如,您可能有一个要迁移到 Compute Engine 的本地应用,使用 Google Workspace 处理公司电子邮件,同时运行 BigQuery 来分析数据以改进您的产品。
- 随着法规的改变,当您进入新市场或者是收购其他公司时,您的业务和市场都会不断变化。您的新市场可能有不同的要求,而新的收购可能会将其工作负载托管在另一个云平台上。为了管理不断变化,您必须不断重新评估您的风险概况,并能够快速实施新的控制措施。
- 数据加密密钥的管理方式和位置是与您保护数据职责相关的重要决策。您选择的选项取决于您的监管要求(无论您是运行混合云环境还是仍然具有本地环境),以及您要处理和存储的数据的敏感性。
- 事件管理是一项重要而又经常被忽视的领域,在此您的责任和云服务商责任不易定义。许多事件都需要云提供商密切合作和支持,以帮助调查和缓解它们。其他事件可能由于云资源配置不当或凭据被盗而造成,并且确保您满足保护资源和账号的最佳做法非常困难。
- 高级持续威胁 (APT) 和新漏洞会影响您开始云转换时可能不会考虑的工作负载。确保您及时了解最新的变化情况并负责威胁缓解工作,尤其是在您的企业没有大型安全团队的情况下。
命运共同体
我们在 Google Cloud 中开发了命运共同体,以开始解决共担责任模型无法解决的难题。命运共同体希望侧重于所有各方可以更好地互动,以持续提高安全性。 命运共同体基于共担责任模型,因为它将云提供商与客户之间的关系视为持续改善的合作伙伴关系。
命运共同体就是要我们负责确保 Google Cloud 更安全。命运共同体包括帮助您从安全的着陆可用区开始,并清晰、明确、公开地介绍推荐的安全控制措施、设置和关联的最佳做法。它包括使用我们的风险防范计划,帮助您更好地量化和管理网络保险的风险。通过命运共同体,我们希望从标准的共担责任框架转变为更好的模型,帮助您保护企业并在 Google Cloud 中建立信任。
以下部分介绍了命运共同体的各种组件。
使用入门帮助
命运共同体的一个重要组件是我们提供的资源,可帮助您在 Google Cloud 中以安全配置入门。从安全配置开始有助于减少配置错误的问题,而配置错误是大多数安全事故的根本原因。
资源包括以下内容:
- 企业基础蓝图:讨论主要安全问题和我们的主要建议。
安全蓝图:可让您使用基础架构即代码 (IaC) 部署和维护安全解决方案。蓝图默认启用我们的安全建议。许多蓝图由 Google 安全团队创建并作为产品进行管理。此支持意味着它们会定期更新,通过严格的测试流程,并获得了第三方测试组的证明。蓝图包括企业基础蓝图和安全数据仓库蓝图。
着陆可用区导航指南,逐步介绍了为工作负载构建安全基础所需做出的主要决策,包括资源层次结构、身份入门、安全性密钥管理和网络结构。
Risk Protection Program
命运共同体还包括 Risk Protection Program(目前为预览版),可帮助您将 Google Cloud 的强大功能用作管理风险的平台,而不仅仅是将云工作负载视为您需要管理的风险的另一个来源。Risk Protection Program 是 Google Cloud 和两家领先的网络保险公司 Munich Re 和 Allianz Global & Corporate Speciality 的合作项目。
Risk Protection Program 包含 Risk Manager,它提供数据驱动的数据分析,可用于更好地了解云安全状况。如需寻找网络承保责任范围,您可以直接与我们的保险合作伙伴分享来自 Risk Manager 的数据洞见,以获取报价。如需了解详情,请参阅 Google Cloud Risk Protection Program 现提供预览版。
部署和治理方面的帮助
命运共同体还有助于您持续治理环境。例如,我们专注并致力于如下产品:
- Assured Workloads,可帮助您履行合规性义务。
- Security Command Center Premium,使用威胁情报、威胁检测、网页扫描和其他高级方法监控并检测威胁。它还提供了一种快速自动解决许多此类威胁的方法。
- 组织政策和资源设置,可让您在整个文件夹和项目的层次结构中配置政策。
- Policy Intelligence 工具,可让您深入了解账号和资源的访问权限。
- 机密计算:可用于加密使用中的数据。
- Sovereign Cloud,适用于德国,并实现数据驻留要求。
实践共担责任和命运共同体
在规划流程中,请考虑以下操作,以帮助您理解和实施适当的安全控制措施:
- 创建将在 Google Cloud 中托管的工作负载类型的列表,以及它们是否需要 IaaS、PaaS 和 SaaS 服务。您可以使用共担责任图作为核对清单,以确保您了解需要考虑的安全控制措施。
- 创建您必须遵守的监管要求列表,并访问合规性资源中心中与这些要求相关的资源。
- 查看架构中心的可用蓝图和架构列表,了解特定工作负载所需的安全控制措施。蓝图提供推荐控制措施的列表以及部署该架构所需的 IaC 代码。
- 使用着陆区文档和企业基础指南中的建议来设计符合您需求的资源层次结构和网络架构。您可以使用专用的工作负载蓝图(如安全数据仓库)来加快开发过程。
- 部署工作负载后,请使用 Risk Manager、Assured Workloads、Policy Intelligence 工具和 Security Command Center Premium 等服务验证您是否履行了安全责任。
如需了解详情,请参阅 CISO 的云转型指南论文。
后续步骤
- 查看安全原则(本系列的下一个文档)。
- 及时了解命运共同体资源方面的最新动态。
- 熟悉可用的蓝图,包括安全基础蓝图和安全数据仓库等工作负载示例。
- 详细了解命运共同体。
- 阅读 Google 基础架构安全设计概览,了解我们的底层安全基础架构。
- 了解如何在 Google Cloud 中实施 NIST Cybersecurity Framework 最佳做法 (PDF)。