Restrizioni e limitazioni per i controlli per sanità e scienze biologiche
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizzano i pacchetti di controllo Healthcare and Life Sciences Controls e Healthcare and Life Sciences Controls with US Support.
Panoramica
I pacchetti di controllo Healthcare and Life Sciences Controls e Healthcare and Life Sciences Controls with US Support ti consentono di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e dell'Health Information Trust Alliance (HITRUST).
Ogni prodotto supportato soddisfa i seguenti requisiti:
- Elencato nella pagina del Contratto di società in affari (BAA) HIPAA di Google Cloud
- Elencati nella pagina del Common Security Framework (CSF) di HITRUST di Google Cloud
- Supporta chiavi di crittografia gestite dal cliente (CMEK) di Cloud KMS
- Supporta i Controlli di servizio VPC
- Supporta i log di Access Transparency
- Supporta le richieste di approvazione di accesso
- Supporta la residenza dei dati at-rest limitata alle località degli Stati Uniti
Consentire servizi aggiuntivi
Ogni pacchetto di controlli per il settore sanitario e delle scienze biologiche include una configurazione predefinita dei servizi supportati, che viene applicata da un vincolo dei criteri dell'organizzazione Limita l'utilizzo del servizio (gcp.restrictServiceUsage) impostato nella cartella Assured Workloads. Tuttavia, puoi modificare il valore di questo vincolo per includere altri servizi, se il tuo carico di lavoro lo richiede. Per ulteriori informazioni, consulta
Limitare l'utilizzo delle risorse per i carichi di lavoro.
Eventuali servizi aggiuntivi che scegli di aggiungere alla lista consentita devono essere elencati nella pagina del BAA HIPAA di Google Cloud o nella pagina del CSF HITRUST di Google Cloud.
Quando aggiungi altri servizi modificando il vincolo gcp.restrictServiceUsage, il monitoraggio di Assured Workloads segnala le violazioni della conformità. Per rimuovere queste violazioni ed evitare notifiche future per i servizi aggiunti alla lista consentita, devi concedere un'eccezione per ogni violazione.
Ulteriori considerazioni sull'aggiunta di un servizio alla lista consentita sono descritte nelle sezioni seguenti.
Chiavi di crittografia gestite dal cliente (CMEK)
Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consultando la pagina Servizi compatibili nella documentazione di Cloud KMS. Se vuoi consentire un servizio che non supporta CMEK, è tua responsabilità accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.
Se vuoi applicare una postura di sicurezza più rigorosa quando utilizzi CMEK, consulta la pagina Visualizza l'utilizzo della chiave nella documentazione di Cloud KMS.
Residenza dei dati
Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella pagina Servizi Google Cloud con residenza dei dati. Se vuoi consentire un servizio che non supporta la residenza dei dati, è tua scelta accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.
Controlli di servizio VPC
Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato dai Controlli di servizio VPC consultando la pagina Prodotti supportati e limitazioni nella documentazione dei Controlli di servizio VPC. Se vuoi consentire un servizio che non supporta i Controlli di servizio VPC, è tua responsabilità accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.
Access Transparency e Access Approval
Prima di aggiungere un servizio alla lista consentita, verifica che possa scrivere i log di Access Transparency e supporti le richieste di approvazione dell'accesso esaminando le seguenti pagine:
Se vuoi consentire un servizio che non scrive log di Access Transparency e non supporta le richieste di approvazione dell'accesso, è tua responsabilità accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.
Prodotti e servizi supportati
I seguenti prodotti sono supportati nei pacchetti di controlli per il settore sanitario e delle scienze biologiche e per il settore sanitario e delle scienze biologiche con assistenza negli Stati Uniti:
| Prodotto supportato | Endpoint API globali | Restrizioni o limitazioni |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Nessuno |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Nessuno |
| Autorizzazione binaria |
binaryauthorization.googleapis.com |
Nessuno |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nessuno |
| Cloud Build |
cloudbuild.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nessuno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Logging |
logging.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Nessuno |
| Cloud Router |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| API Cloud Vision |
vision.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
| Compute Engine |
compute.googleapis.com |
Vincoli dei criteri dell'organizzazione |
| Conversational Insights |
contactcenterinsights.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Text-to-Speech |
texttospeech.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
Restrizioni e limitazioni
Le sezioni seguenti descrivono le limitazioni o le limitazioni per le funzionalità a livello di Google Cloud o specifiche del prodotto, inclusi eventuali vincoli delle norme dell'organizzazione impostati per impostazione predefinita nelle cartelle dei controlli per la sanità e le scienze biologiche.
Vincoli dei criteri dell'organizzazione a livello di Google Cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
|
gcp.restrictServiceUsage |
Impostato per consentire tutti i servizi supportati. Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro. |
gcp.restrictTLSVersion |
Impostato per negare le seguenti versioni TLS:
|
Compute Engine
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione dei criteri di sicurezza di Google Cloud Armor. |
Spanner
Funzionalità di Spanner interessate
| Funzionalità | Descrizione |
|---|---|
| Confini della suddivisione | Spanner utilizza un piccolo sottoinsieme di chiavi principali e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Un confine di suddivisione in
Spanner indica la posizione in cui gli intervalli contigui di righe
vengono suddivisi in pezzi più piccoli. Questi confini della suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo in Controlli per il settore sanitario e delle scienze biologiche. |
Vincoli dei criteri dell'organizzazione di Spanner
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Imposta su True. Applica controlli aggiuntivi per la sovranità dei dati e la supportabilità alle risorse Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Imposta su True. Disattiva la possibilità di creare istanze Spanner multiregione per applicare la residenza dei dati e la sovranità dei dati. |
Passaggi successivi
- Scopri i pacchetti di controllo per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controllo.