Restrizioni e limitazioni per la sanità e la vita Controlli di scienze
Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizzano i pacchetti di controllo Healthcare and Life Sciences Controls e Healthcare and Life Sciences Controls with US Support.
Panoramica
I pacchetti di controlli Healthcare and Life Sciences Controls e Healthcare and Life Sciences Controls with US Support ti consentono di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e di Health Information Trust Alliance (HITRUST).
Ogni prodotto supportato soddisfa i seguenti requisiti:
- Pubblicato in data Pagina del Contratto di società in affari (BAA, Business Associate Agreement) di Google Cloud
- Pubblicato in data Pagina del quadro comune di sicurezza (CSF) HITRUST di Google Cloud
- Supporta Chiavi di crittografia gestite dal cliente (CMEK) di Cloud KMS
- Supporta i Controlli di servizio VPC
- Supporta i log di Access Transparency
- Supporta le richieste di approvazione di accesso
- Supporta la residenza dei dati at-rest limitata alle località degli Stati Uniti
Consentire servizi aggiuntivi
Ogni pacchetto di controlli per la sanità e le scienze biologiche include un
dei servizi supportati, applicata in modo forzato da un
Limita l'utilizzo dei servizi
Vincolo del criterio dell'organizzazione (gcp.restrictServiceUsage) impostato nella tua
Cartella Assured Workloads. Tuttavia, puoi modificare il valore di questo vincolo per includere altri servizi, se il tuo carico di lavoro lo richiede. Per ulteriori informazioni, consulta
Limitare l'utilizzo delle risorse per i carichi di lavoro.
Eventuali servizi aggiuntivi che scegli di aggiungere alla lista consentita devono essere elencati nella pagina del BAA HIPAA di Google Cloud o nella pagina del CSF HITRUST di Google Cloud.
Quando aggiungi altri servizi modificando gcp.restrictServiceUsage
vincolo, il monitoraggio di Assured Workloads segnalerà la conformità
violazioni delle norme. Per rimuovere queste violazioni e impedire future notifiche per
aggiungere servizi alla lista consentita, devi
concedi un'eccezione per ogni
violazione delle norme.
Ulteriori considerazioni sull'aggiunta di un servizio alla lista consentita sono descritte nelle sezioni seguenti.
Chiavi di crittografia gestite dal cliente (CMEK)
Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consultando la pagina Servizi compatibili nella documentazione di Cloud KMS. Se vuoi consentire un servizio che non supporta CMEK, è tua responsabilità accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.
Se vuoi applicare una postura di sicurezza più rigorosa quando utilizzi CMEK, consulta la pagina Visualizza l'utilizzo della chiave nella documentazione di Cloud KMS.
Residenza dei dati
Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella alla pagina Servizi Google Cloud con residenza dei dati. Se vuoi consentire un servizio che non supporta la residenza dei dati, è tua scelta accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.
Controlli di servizio VPC
Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato i Controlli di servizio VPC esaminando Prodotti supportati e limitazioni consulta la pagina Controlli di servizio VPC. Se vuoi consentire un servizio che non supporta i Controlli di servizio VPC, è tua responsabilità accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.
Access Transparency e Access Approval
Prima di aggiungere un servizio alla lista consentita, verifica che possa scrivere Access Transparency registra e supporta le richieste di Access Approval esaminando quanto segue pagine:
Se vuoi consentire un servizio che non scrive i log di Access Transparency e non supporta le richieste di Access Approval, puoi scegliere di accettare ai rischi associati, come descritto Responsabilità condivisa in Assured Workloads.
Prodotti e servizi supportati
I seguenti prodotti sono supportati nei pacchetti di controlli per il settore sanitario e delle scienze biologiche e per il settore sanitario e delle scienze biologiche con assistenza negli Stati Uniti:
| Prodotto supportato | Endpoint API globali | Restrizioni o limitazioni |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Nessuno |
| Artifact Registry |
artifactregistry.googleapis.com |
Nessuno |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Nessuno |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
Nessuno |
| Autorizzazione binaria |
binaryauthorization.googleapis.com |
Nessuno |
| Certificate Authority Service |
privateca.googleapis.com |
Nessuno |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nessuno |
| Cloud Build |
cloudbuild.googleapis.com |
Nessuno |
| Cloud Composer |
composer.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nessuno |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nessuno |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nessuno |
| Identity and Access Management (IAM) |
iam.googleapis.com |
Nessuno |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nessuno |
| Cloud Logging |
logging.googleapis.com |
Nessuno |
| Pub/Sub |
pubsub.googleapis.com |
Nessuno |
| Cloud Router |
networkconnectivity.googleapis.com |
Nessuno |
| Cloud Run |
run.googleapis.com |
Nessuno |
| Spanner |
spanner.googleapis.com |
Funzionalità interessate e vincoli dei criteri dell'organizzazione |
| Cloud SQL |
sqladmin.googleapis.com |
Nessuno |
| Cloud Storage |
storage.googleapis.com |
Nessuno |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nessuno |
| API Cloud Vision |
vision.googleapis.com |
Nessuno |
| Cloud VPN |
compute.googleapis.com |
Nessuno |
| Compute Engine |
compute.googleapis.com |
Vincoli dei criteri dell'organizzazione |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
Nessuno |
| Eventarc |
eventarc.googleapis.com |
Nessuno |
| Filestore |
file.googleapis.com |
Nessuno |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Nessuno |
| Memorystore for Redis |
redis.googleapis.com |
Nessuno |
| Persistent Disk |
compute.googleapis.com |
Nessuno |
| Secret Manager |
secretmanager.googleapis.com |
Nessuno |
| Sensitive Data Protection |
dlp.googleapis.com |
Nessuno |
| Speech-to-Text |
speech.googleapis.com |
Nessuno |
| Text-to-Speech |
texttospeech.googleapis.com |
Nessuno |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
Nessuno |
| Controlli di servizio VPC |
accesscontextmanager.googleapis.com |
Nessuno |
Restrizioni e limitazioni
Le sezioni seguenti descrivono le limitazioni o le limitazioni per le funzionalità a livello di Google Cloud o specifiche del prodotto, inclusi eventuali vincoli delle norme dell'organizzazione impostati per impostazione predefinita nelle cartelle dei controlli per la sanità e le scienze biologiche.
Vincoli dei criteri dell'organizzazione a livello di Google Cloud
I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta le seguenti località nell'elenco allowedValues:
|
gcp.restrictServiceUsage |
Imposta l'opzione su "Consenti tutti i servizi supportati". Determina quali servizi possono essere attivati e utilizzati. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro. |
gcp.restrictTLSVersion |
Impostato per negare le seguenti versioni TLS:
|
Compute Engine
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Imposta su True. Disabilita la creazione dei criteri di sicurezza di Google Cloud Armor. |
Spanner
Funzionalità di Spanner interessate
| Funzionalità | Descrizione |
|---|---|
| Dividi confini | Spanner usa un piccolo sottoinsieme di chiavi primarie
colonne da definire
confini separati,
che possono includere dati dei clienti e metadati. Un confine di suddivisione in
Spanner indica la posizione in cui gli intervalli contigui di righe
vengono suddivisi in pezzi più piccoli. Questi confini di suddivisione sono accessibili al personale di Google a scopo di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo in Controlli per il settore sanitario e delle scienze biologiche. |
Vincoli dei criteri dell'organizzazione di Spanner
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Imposta su True. Applica controlli aggiuntivi per la sovranità dei dati e la supportabilità Risorse Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Imposta su True. Disattiva la possibilità di creare istanze Spanner multiregione per applicare la residenza dei dati e la sovranità dei dati. |
Passaggi successivi
- Scopri i pacchetti di controllo per Assured Workloads.
- Scopri quali prodotti sono supportati per ogni pacchetto di controlli.