Restrições e limitações da ITAR
Esta página descreve as restrições, limitações e outras configurações ao usar o pacote de controle ITAR.
Visão geral
O pacote de controle da Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) permite controle de acesso a dados e recursos de residência serviços do Google Cloud no escopo. Alguns desses serviços atributos são restritos ou limitados pelo Google para serem compatíveis com a ITAR. A maioria restrições e limitações são aplicadas ao criar Pasta do Assured Workloads para ITAR, mas algumas delas podem ser alteradas mais tarde modificando políticas da organização. Além disso, algumas restrições e limitações exigem responsabilidade do usuário para garantir a adesão.
É importante entender como essas restrições modificam o comportamento de serviço do Google Cloud ou afetar o acesso ou residência de dados. Por exemplo, algumas recursos ou capacidades podem ser automaticamente desativados para garantir que os dados restrições de acesso e residência de dados são mantidas. Além disso, se um a configuração de uma política da organização for alterada, poderá ter a consequência de copiar dados de uma região para outra.
Pré-requisitos
Para permanecer em conformidade como usuário do pacote de controle ITAR, certifique-se de cumprir e aderir aos seguintes pré-requisitos:
- Crie uma pasta ITAR usando Assured Workloads e implante seu ITAR cargas de trabalho específicas nessa pasta.
- Só ative e use serviços ITAR no escopo para cargas de trabalho ITAR.
- Não alterar o padrão valores de restrição das políticas da organização, a menos que você entenda e estão dispostos a aceitar os riscos que podem ocorrer na residência de dados.
- Ao se conectar a endpoints de serviço do Google Cloud, você precisa usar endereços
endpoints para serviços que os oferecem. Além disso:
- Ao se conectar a endpoints de serviço do Google Cloud que não são do Google Cloud VMs, como no local ou de outros provedores VMs: você precisa usar uma das opções opções de acesso privado com suporte a conexões a VMs que não são do Google Cloud para rotear tráfego que não é do Google Cloud para o Google Cloud.
- Ao se conectar a endpoints de serviço do Google Cloud pelas VMs do Google Cloud, é possível usar qualquer um dos opções de acesso privado.
- Ao se conectar a VMs do Google Cloud que foram expostas com IP externo endereços IP, consulte Acesse APIs de VMs com IP externo externos.
- Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos na
os seguintes tipos de informações de configuração de segurança ou definidas pelo usuário:
- Mensagens de erro
- Saída do console
- Dados do atributo
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
- Use apenas os endpoints regionais ou de localização especificados para serviços que que oferece. Consulte serviços ITAR no escopo para mais informações.
- Considere adotar as práticas recomendadas gerais de segurança fornecidas na Central de práticas recomendadas de segurança para o Google Cloud.
Serviços em escopo
Os seguintes serviços são compatíveis com o ITAR:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing;
- Cloud Logging
- Cloud VPN
- Nuvem privada virtual (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Gerenciador de chaves externas do Cloud (Cloud EKM)
- Cloud HSM
Políticas da organização
Esta seção descreve como cada serviço é afetado pela organização padrão valores de restrição de política quando pastas ou projetos são criados usando ITAR. Outra opção restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer de "defesa em profundidade" adicional para proteger ainda mais os recursos recursos do Google Cloud.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
Restrição da política da organização | Descrição |
---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues .Esse valor restringe a criação de novos recursos ao grupo de valor dos EUA . Quando definido, nenhum recurso pode ser criado em outras regiões. multirregiões ou locais fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações. Alterar esse valor tornando-o menos restritivo pode prejudicar a residência, permitindo que eles sejam criados ou armazenados fora dos EUA. limite de dados. Por exemplo: substituir o O grupo de valores in:us-locations com o
Grupo de valores in:northamerica-locations .
|
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo,
incluindo:
Cada serviço listado exige Chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, e não por você. Mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços no escopo da pode prejudicar os dados soberania de dados, já que os novos dados em repouso serão criptografados automaticamente usando a em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictCmekCryptoKeyProjects |
Defina como todos os recursos na pasta ITAR que você criou. Limita o escopo de pastas ou projetos aprovados que podem fornecer Chaves KMS para criptografar dados em repouso com CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo. |
gcp.restrictServiceUsage |
Defina para permitir todos os serviços no escopo. Determina quais serviços podem ser ativados e usados. Para mais informações, ver Restrinja o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
Restrição da política da organização | Descrição |
---|---|
compute.disableGlobalLoadBalancing |
Definido como Verdadeiro. Desativa a criação de produtos de balanceamento de carga globais. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido. |
compute.disableGlobalSelfManagedSslCertificate |
Definido como Verdadeiro. Desativa a criação de certificados SSL globais e autogerenciados. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido. |
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot() .A ativação dessa política da organização impede que você geração de credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguintes:
|
compute.disableNestedVirtualization |
Definido como Verdadeiro. Desativa a virtualização aninhada acelerada por hardware para todos VMs do Compute Engine na pasta ITAR. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido. |
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. recomendamos manter o valor definido. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina esse valor para fornecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações. |
compute.restrictLoadBalancerCreationForTypes |
Defina para permitir todos os valores, exceto para
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS : Consulte
Escolha um balanceador de carga para mais informações.
|
Restrições da política da organização do Google Kubernetes Engine
Restrição da política da organização | Descrição |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Mudar esse valor pode afetar a soberania de dados na sua carga de trabalho. recomendamos manter o valor definido. |
Recursos afetados
Esta seção lista como os recursos de cada serviço são afetados por ITAR, incluindo requisitos do usuário ao usar um recurso.
Recursos do BigQuery
Recurso | Descrição |
---|---|
Como ativar o BigQuery em uma nova pasta | O BigQuery é compatível, mas não é ativado automaticamente quando você cria um novo
Pasta do Assured Workloads devido a um processo de configuração interno. Esse processo normalmente
termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
for concluído. Para ativar o BigQuery, siga as etapas a seguir:
Depois que o processo de ativação for concluído, você poderá usar o BigQuery na sua pasta do Assured Workloads. |
Recursos não compatíveis | Os seguintes recursos do BigQuery não são compatíveis com ITAR
conformidade e não devem ser usados na CLI do BigQuery. É o
responsabilidade do cliente de não usá-los no BigQuery para ITAR
do Google Cloud.
|
Integrações não compatíveis | As integrações do BigQuery a seguir não são compatíveis com
Compliance com a ITAR. É responsabilidade do cliente não usá-los com
BigQuery para cargas de trabalho ITAR.
|
APIs do BigQuery em conformidade | As seguintes APIs do BigQuery são compatíveis com a ITAR:
|
Regiões | O BigQuery é compatível com ITAR em todos os BigQuery US
regiões diferentes, exceto a multirregião US. Não é possível garantir a conformidade com a ITAR
Se um conjunto de dados for criado em uma região multirregional dos EUA, fora dos EUA ou fora dos EUA
multirregional. É responsabilidade do cliente especificar
região em conformidade com a ITAR ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados de tabela for enviada usando uma região dos EUA, mas o conjunto de dados foi criado em outra região dos EUA, o BigQuery não pode inferir qual região pretendido pelo cliente, e a operação falhará com uma mensagem "O conjunto de dados encontradas" mensagem de erro. |
Console do Google Cloud | A interface do usuário do BigQuery no console do Google Cloud
em compliance com a ITAR.
|
CLI do BigQuery | A CLI do BigQuery é compatível com ITAR.
|
SDK do Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter os dados
garantias de regionalização para dados técnicos da ITAR. Para verificar sua conta atual
Versão do SDK Google Cloud, executar gcloud --version e
gcloud components update para atualizar para a versão mais recente.
|
Controles do administrador | O BigQuery vai desativar as APIs sem compliance, mas o cliente administradores com permissões suficientes para criar uma A pasta do Assured Workloads pode ativar uma API que não está em conformidade. deve isso ocorrer, o cliente será notificado sobre possíveis não conformidades através do Monitoramento do Assured Workloads painel de controle. |
Carregando dados | Os conectores do serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) do Google, provedores externos de armazenamento em nuvem e data warehouses não estão em conformidade com a ITAR. É o responsabilidade do cliente de não usar a Transferência de dados do BigQuery Conectores de serviço para cargas de trabalho ITAR. |
Transferências de terceiros | O BigQuery não verifica a conformidade com a ITAR de terceiros para o serviço de transferência de dados do BigQuery. É o responsabilidade do cliente de verificar a conformidade com a ITAR ao usar quaisquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
Modelos do BQML sem compliance | Os modelos BQML treinados externamente não estão em conformidade com a ITAR. |
Jobs de consulta | Trabalhos de consulta com dados técnicos ITAR devem ser criados apenas dentro do ITAR projetos. |
Consultas em conjuntos de dados ITAR de projetos não ITAR | O BigQuery não impede que os conjuntos de dados ITAR sejam consultados
projetos não ITAR. Os clientes devem garantir que qualquer consulta que tenha um
ou uma mesclagem de dados técnicos da ITAR, devem ser colocadas em uma pasta em conformidade com a ITAR.
Os clientes podem especificar
totalmente qualificado
nome da tabela para o resultado da consulta usando projectname.dataset.table
na CLI do BigQuery. |
Cloud Logging | O BigQuery usa o Cloud Logging para alguns dados de registro dos clientes.
Os clientes precisam desativar os buckets do Logging _default ou
restringir _default buckets às regiões dos EUA para
manter a conformidade com a ITAR usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulte esta página para saber mais informações imprecisas ou inadequadas. |
Recursos do Compute Engine
Seleção de | Descrição |
---|---|
Console do Google Cloud | Os seguintes recursos do Compute Engine não estão disponíveis no
console do Google Cloud. Use a API ou a Google Cloud CLI:
|
VMs da Solução Bare Metal | É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2) porque
As VMs da Solução Bare Metal não estão em conformidade com o ITAR.
|
VMs do Google Cloud VMware Engine | Você é responsável por não usar VMs do Google Cloud VMware Engine, porque
As VMs do Google Cloud VMware Engine não estão em conformidade com o ITAR.
|
Como criar uma instância de VM C3 | Esse recurso está desativado. |
Usar discos permanentes ou os snapshots deles sem CMEKs | Não é possível usar discos permanentes ou os respectivos snapshots, a menos que eles tenham
criptografados com CMEK. |
Como criar VMs aninhadas ou que usam virtualização aninhada | Não é possível criar VMs aninhadas ou VMs que usam virtualização aninhada. Este recurso é desativado pelo compute.disableNestedVirtualization política da organização
específica descrita na seção acima.
|
Como adicionar um grupo de instâncias a um balanceador de carga global | Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Este recurso é desativado pelo compute.disableGlobalLoadBalancing restrição de política da organização
descritos na seção acima.
|
Como rotear solicitações para um balanceador de carga HTTPS externo multirregional | Não é possível rotear solicitações para um carregamento HTTPS externo multirregional
de carga. Este recurso é desativado pelo compute.restrictLoadBalancerCreationForTypes política da organização
específica descrita na seção acima.
|
Como compartilhar um disco permanente SSD no modo de vários gravadores | Não é possível compartilhar um disco permanente SSD no modo de vários gravadores entre do que para instâncias de VM padrão. |
Como suspender e retomar uma instância de VM | Este recurso está desativado. Suspender e retomar uma instância de VM requer armazenamento em disco permanente. e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode criptografados com CMEK. Consulte a gcp.restrictNonCmekServices organização
de política na seção acima para entender a residência dos dados
e as implicações da ativação desse recurso.
|
SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados com CMEK. Consulte a gcp.restrictNonCmekServices organização
de política na seção acima para entender a residência dos dados
e as implicações da ativação desse recurso.
|
Ambiente para convidado |
Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso.
Dependendo da configuração da VM, as atualizações desse software podem ser
instaladas por padrão. Consulte
Ambiente convidado para ver informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam você a cumprir a residência dos dados com a segurança interna controles e processos do setor. No entanto, para usuários que desejam você também pode selecionar suas próprias imagens ou agentes e usar a política da organização compute.trustedImageProjects
restrição.
Consulte a Como criar uma imagem personalizada para mais informações. |
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis
Valor de restrição de política como False para ativar essa API. Você também pode
ativar e usar a porta serial interativa seguindo as instruções na
nesta página.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Mudar a organização compute.disableInstanceDataAccessApis
Valor de restrição de política como False para ativar essa API. Você também pode
ativar e usar a porta serial interativa seguindo as instruções na
nesta página.
|
Recursos do Cloud DNS
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Usar a API ou a Google Cloud CLI. |
Recursos do Cloud Interconnect
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use o API ou Google Cloud CLI. |
VPN de alta disponibilidade (HA) | Ative a funcionalidade da VPN de alta disponibilidade (HA) ao usar Cloud Interconnect com Cloud VPN. Além disso, você precisa aderir às os requisitos de criptografia e regionalização listados em nesta seção. |
Recursos do Cloud Load Balancing
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud Load Balancing não estão disponíveis nas console do Google Cloud. Use a API ou Google Cloud CLI. |
Balanceadores de carga regionais | Use apenas balanceadores de carga regionais com o ITAR. Consulte o seguinte:
páginas para mais informações sobre como configurar balanceadores de carga regionais: |
Recursos do Cloud Logging
Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK), é preciso conclua as etapas Ativar a CMEK para uma organização na documentação do Cloud Logging.
Recurso | Descrição |
---|---|
Coletores de registros | Não coloque informações sensíveis (dados do cliente) em filtros de coletor. Pia são tratados como dados de serviço. |
Entradas de registro de acompanhamento ao vivo | Não crie filtros com dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de acompanhamento não armazenam dados de entrada de registro, mas podem consultar e transmitir dados entre regiões. |
Alertas com base em registros | Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud. |
URLs encurtados para consultas do Buscador de registros | Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud. |
Salvar consultas no Buscador de registros | Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud. |
Registrar análises usando o BigQuery | Este recurso está desativado. Não é possível usar o recurso de análise de registros. |
Recursos do Cloud Monitoring
Recurso | Descrição |
---|---|
Monitor sintético | Este recurso está desativado. |
Verificação de tempo de atividade | Este recurso está desativado. |
Widgets do painel de registros em Painéis | Este recurso está desativado. Não é possível adicionar um painel de registro a um mais avançado. |
Widgets do painel do Error Reporting em Painéis | Este recurso está desativado. Não é possível adicionar um relatório de erros em um painel. |
Filtrar em
EventAnnotation
para Painéis
|
Este recurso está desativado. Filtro de EventAnnotation
não pode ser definido em um painel.
|
Recursos do Network Connectivity Center
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Usar a API ou a Google Cloud CLI como alternativa. |
Recursos do Cloud NAT
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud NAT não estão disponíveis no console do Google Cloud. Usar a API ou a Google Cloud CLI. |
Recursos do Cloud Router
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Em vez disso, use a API ou a Google Cloud CLI. |
Recursos do Cloud SQL
Recurso | Descrição |
---|---|
Exportando para CSV | Exportando para CSV não está em conformidade com a ITAR e não deve ser usado. Este recurso está desativado em no console do Google Cloud. |
executeSql |
O método executeSql da API Cloud SQL não está
em conformidade com a ITAR e não devem ser usadas. |
Recursos do Cloud Storage
Recurso | Descrição |
---|---|
Console do Google Cloud | Para manter a conformidade com a ITAR, é sua responsabilidade usar o Jurisdicional Console do Google Cloud. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer o download e upload objetos do Cloud Storage, consulte a linha Endpoints da API em conformidade a seguir. |
Endpoints de API em conformidade | Você precisa usar um dos endpoints de localização em conformidade com a ITAR
Cloud Storage. Os endpoints de localização estão disponíveis para todas as regiões dos EUA,
a multirregião EUA e a birregional predefinida NAM4 .
Os endpoints de localização não estão disponíveis para regiões duplas além da
NAM4 birregional. Consulte
esta página para mais informações
sobre os locais no Cloud Storage.
|
Restrições | Use os endpoints de localização do Cloud Storage para
em compliance com a ITAR. Para mais informações sobre recursos de localização Cloud Storage
de endpoints para ITAR, consulte
Pontos de extremidade de localização para
Compliance com a ITAR. As operações a seguir não são compatíveis com endpoints de localização. No entanto, essas operações não transportam dados de clientes conforme definido nos dados termos de serviço de residência. Portanto, é possível usar endpoints globais essas operações conforme necessário, sem violar a conformidade com a ITAR: . |
Copiar e reescrever para objetos | As operações de cópia e regravação para têm suporte por endpoints de localização se os elementos de origem e buckets de destino estão localizados na região especificada no endpoint. No entanto, não é possível usar endpoints de localização para copiar ou reescrever um objeto. de um bucket para outro se os buckets estiverem em locais diferentes. Ela é possível usar endpoints globais para copiar ou reescrever entre locais, mas não o recomendamos, já que isso pode violar a conformidade com a ITAR. |
Recursos do GKE
Recurso | Descrição |
---|---|
Restrições de recursos do cluster | Verifique se a configuração do cluster não usa recursos para
serviços que não são compatíveis com o programa de conformidade com a ITAR. Por exemplo:
a configuração a seguir é inválida porque requer ativação ou
usando um serviço sem suporte:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Recursos da VPC
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos de rede VPC não estão disponíveis no console do Google Cloud. Use a API ou Google Cloud CLI. |
Recursos do Cloud VPN
Recurso | Descrição |
---|---|
Console do Google Cloud | Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Usar a API ou Google Cloud CLI. |
Encryption | Você deve usar apenas criptografias compatíveis com FIPS 140-2 ao criar
certificados e configuração da segurança de IP. Consulte
esta página
para mais informações sobre as criptografias aceitas no Cloud VPN. Para
orientações sobre como selecionar uma cifra que esteja em conformidade com os padrões FIPS 140-2,
consulte esta página. No momento, não é possível alterar uma criptografia atual no Google Cloud. Configure sua criptografia no dispositivo de terceiros que seja usados com o Cloud VPN. |
Endpoints de VPN | Use somente endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway de VPN está configurado para uso apenas na região dos EUA. |
A seguir
- Saiba mais sobre o pacote de controle ITAR.
- Saiba quais produtos são aceitos para cada pacote de controle.