Restricciones y limitaciones de los controles de salud y ciencias biológicas
En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando usas los paquetes de controles de Healthcare and Life Sciences Controls y Healthcare and Life Sciences Controls con asistencia de EE.UU.
Descripción general
Los paquetes de controles de Salud y ciencias biológicas y de Salud y ciencias biológicas con asistencia de EE.UU. te permiten ejecutar cargas de trabajo que cumplen con los requisitos de la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) y la Health Information Trust Alliance (HITRUST).
Cada producto compatible cumple con los siguientes requisitos:
- Se incluye en la página del Acuerdo entre Socios Comerciales (BAA) de HIPAA deGoogle Cloud
- Aparece en la página del Framework de Seguridad Común (CSF) de HITRUST deGoogle Cloud
- Admite claves de encriptación administradas por el cliente (CMEK) de Cloud KMS
- Admite los Controles del servicio de VPC.
- Admite los registros de Transparencia de acceso.
- Admite solicitudes de aprobación de acceso.
- Admite la residencia de datos en reposo restringida a ubicaciones de EE.UU.
Cómo permitir servicios adicionales
Cada paquete de controles de Salud y ciencias biológicas incluye una configuración predeterminada de los servicios admitidos, que se aplica mediante una restricción de la política de la organización Restrict Service Usage (gcp.restrictServiceUsage) establecida en tu carpeta Assured Workloads. Sin embargo, puedes modificar el valor de esta restricción para incluir otros servicios si tu carga de trabajo los requiere. Consulta Restringe el uso de recursos para cargas de trabajo para obtener más información.
Los servicios adicionales que elijas agregar a la lista de entidades permitidas deben aparecer en la página del BAA de HIPAA deGoogle Cloud o en la página del CSF de HITRUST deGoogle Cloud.
Cuando agregues servicios adicionales modificando la restricción gcp.restrictServiceUsage, la supervisión de Assured Workloads informará incumplimientos de cumplimiento. Para quitar estos incumplimientos y evitar notificaciones futuras para los servicios agregados a la lista de entidades permitidas, debes otorgar una excepción para cada incumplimiento.
En las siguientes secciones, se describen las consideraciones adicionales que debes tener en cuenta cuando agregues un servicio a la lista de entidades permitidas.
Claves de encriptación administradas por el cliente (CMEK)
Antes de agregar un servicio a la lista de entidades permitidas, verifica que admita CMEK. Para ello, consulta la página Servicios compatibles en la documentación de Cloud KMS. Si quieres permitir un servicio que no es compatible con CMEK, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Si deseas aplicar una postura de seguridad más estricta cuando uses CMEK, consulta la página Ver el uso de claves en la documentación de Cloud KMS.
Residencia de los datos
Antes de agregar un servicio a la lista de entidades permitidas, verifica que aparezca en la página Google Cloud Servicios con residencia de datos. Si deseas permitir un servicio que no admite la residencia de datos, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Controles del servicio de VPC
Antes de agregar un servicio a la lista de entidades permitidas, verifica que sea compatible con los Controles del servicio de VPC. Para ello, consulta la página Productos admitidos y limitaciones de la documentación de los Controles del servicio de VPC. Si deseas permitir un servicio que no es compatible con los Controles del servicio de VPC, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en Assured Workloads.
Transparencia de acceso y aprobación de acceso
Antes de agregar un servicio a la lista de entidades permitidas, verifica que pueda escribir registros de la Transparencia de acceso y que admita solicitudes de Acceso aprobado. Para ello, consulta las siguientes páginas:
- Servicios compatibles con la Transparencia de acceso
- Servicios compatibles con la aprobación de acceso
Si deseas permitir un servicio que no escribe registros de Transparencia de acceso y que no admite solicitudes de aprobación de acceso, puedes aceptar los riesgos asociados, como se describe en Responsabilidad compartida en cargas de trabajo seguras.
Productos y servicios compatibles
Los siguientes productos son compatibles con los paquetes de controles de salud y ciencias biológicas y de controles de salud y ciencias biológicas con asistencia de EE.UU.:
| Producto compatible | Extremos de API globales | Restricciones o limitaciones |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Ninguno |
| Artifact Registry |
artifactregistry.googleapis.com |
Ninguno |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Ninguno |
| Servicio de transferencia de datos de BigQuery |
bigquerydatatransfer.googleapis.com |
Ninguno |
| Autorización binaria |
binaryauthorization.googleapis.com |
Ninguno |
| Certificate Authority Service |
privateca.googleapis.com |
Ninguno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Ninguno |
| Cloud Build |
cloudbuild.googleapis.com |
Ninguno |
| Cloud Composer |
composer.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Ninguno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Ninguno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Ninguno |
| Administración de identidades y accesos (IAM) |
iam.googleapis.com |
Ninguno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Ninguno |
| Cloud Logging |
logging.googleapis.com |
Ninguno |
| Pub/Sub |
pubsub.googleapis.com |
Ninguno |
| Cloud Router |
networkconnectivity.googleapis.com |
Ninguno |
| Cloud Run |
run.googleapis.com |
Ninguno |
| Spanner |
spanner.googleapis.com |
Funciones afectadas y restricciones de las políticas de la organización |
| Cloud SQL |
sqladmin.googleapis.com |
Ninguno |
| Cloud Storage |
storage.googleapis.com |
Ninguno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Ninguno |
| API de Cloud Vision |
vision.googleapis.com |
Ninguno |
| Cloud VPN |
compute.googleapis.com |
Ninguno |
| Compute Engine |
compute.googleapis.com |
Restricciones de las políticas de la organización |
| Estadísticas de conversación |
contactcenterinsights.googleapis.com |
Ninguno |
| Eventarc |
eventarc.googleapis.com |
Ninguno |
| Filestore |
file.googleapis.com |
Ninguno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Ninguno |
| Memorystore para Redis |
redis.googleapis.com |
Ninguno |
| Persistent Disk |
compute.googleapis.com |
Ninguno |
| Secret Manager |
secretmanager.googleapis.com |
Ninguno |
| Sensitive Data Protection |
dlp.googleapis.com |
Ninguno |
| Speech-to-Text |
speech.googleapis.com |
Ninguno |
| Text-to-Speech |
texttospeech.googleapis.com |
Ninguno |
| Nube privada virtual (VPC) |
compute.googleapis.com |
Ninguno |
| Controles del servicio de VPC |
accesscontextmanager.googleapis.com |
Ninguno |
Restricciones y limitaciones
En las siguientes secciones, se describen las restricciones o limitaciones de las funciones de Google Cloudo específicas del producto, incluidas las restricciones de las políticas de la organización que se establecen de forma predeterminada en las carpetas de controles de atención médica y ciencias de la vida.
Restricciones de las políticas de la organización enGoogle Cloud
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Establece las siguientes ubicaciones en la lista allowedValues:
|
gcp.restrictServiceUsage |
Se establece para permitir todos los servicios compatibles. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Cómo restringir el uso de recursos para las cargas de trabajo. |
gcp.restrictTLSVersion |
Se establece para denegar las siguientes versiones de TLS:
|
Compute Engine
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Configurado como True. Inhabilita la creación de políticas de seguridad de Google Cloud Armor. |
Spanner
Funciones de Spanner afectadas
| Función | Descripción |
|---|---|
| Límites de división | Spanner usa un pequeño subconjunto de claves primarias y columnas indexadas para definir límites de división, que pueden incluir datos y metadatos de los clientes. Un límite de división en
Spanner denota la ubicación en la que los rangos contiguos de filas
se dividen en partes más pequeñas. El personal de Google puede acceder a estos límites de división con fines de asistencia técnica y depuración, y no están sujetos a los controles de datos de acceso administrativo en los controles de atención médica y ciencias biológicas. |
Restricciones de la política de la organización de Spanner
| Restricción de las políticas de la organización | Descripción |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Configurado como True. Aplica controles adicionales de soberanía de los datos y compatibilidad a los recursos de Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia de datos y la soberanía de los datos. |
¿Qué sigue?
- Comprende los paquetes de control para Assured Workloads.
- Obtén información sobre los productos compatibles para cada paquete de control.