Restricciones y limitaciones de ITAR
En esta página, se describen las restricciones, las limitaciones y otras opciones de configuración cuando se usa el paquete de control de ITAR.
Descripción general
El paquete de control del Reglamento sobre el tráfico internacional de armas (ITAR) habilita el control de acceso a los datos y funciones de residencia para los servicios de Google Cloud dentro del alcance. Google restringe o limita algunas de las funciones de estos servicios para que sean compatibles con ITAR. La mayoría de estas restricciones y limitaciones se aplican cuando se crea una nueva carpeta de Assured Workloads para ITAR. Sin embargo, algunas de ellas se pueden cambiar más adelante modificando las políticas de la organización. Además, algunas restricciones y limitaciones requieren que el usuario sea responsable de su cumplimiento.
Es importante comprender cómo estas restricciones modifican el comportamiento para un servicio de Google Cloud determinado o afectan el acceso a los datos o la residencia de los datos. Por ejemplo, algunas funciones o capacidades pueden inhabilitarse automáticamente para garantizar que se mantengan las restricciones de acceso a los datos y la residencia. Además, si se cambia la configuración de una política de la organización, esto puede tener la consecuencia involuntaria de copiar datos de una región a otra.
Requisitos previos
Para seguir cumpliendo con los requisitos como usuario del paquete de control de ITAR, asegúrate de cumplir con los siguientes requisitos previos:
- Crea una carpeta de ITAR con Assured Workloads y, luego, implementa tus cargas de trabajo de ITAR solo en esa carpeta.
- Solo habilita y usa servicios de ITAR dentro del alcance para las cargas de trabajo de ITAR.
- No cambies los valores predeterminados de restricción de la política de la organización, a menos que comprendas los riesgos de residencia de datos que puedan surgir y estés dispuesto a aceptarlos.
- Cuando te conectas a los extremos de servicio de Google Cloud, debes usar extremos regionales para los servicios que los ofrecen. Además, tenga en cuenta lo siguiente:
- Cuando te conectas a extremos de servicio de Google Cloud desde VM que no son de Google Cloud, como las locales o de otros proveedores de servicios en la nube, debes usar una de las opciones de acceso privado disponibles que admiten conexiones a VM que no son de Google Cloud para enrutar el tráfico de terceros a Google Cloud.
- Cuando te conectas a los extremos de servicio de Google Cloud desde las VM de Google Cloud, puedes usar cualquiera de las opciones de acceso privado disponibles.
- Cuando te conectes a las VM de Google Cloud que se expusieron con direcciones IP externas, consulta Accede a las APIs desde las VM con direcciones IP externas.
- Para todos los servicios usados en una carpeta de ITAR, no almacenes datos técnicos en los siguientes tipos de información definidos por el usuario o de configuración de seguridad:
- Mensajes de error
- Resultado de la consola
- Datos de atributos
- Datos de configuración del servicio
- Encabezados del paquete de red
- Identificadores de recursos
- Etiquetas de datos
- Usa solo los extremos regionales o de ubicación especificados para los servicios que los ofrecen. Consulta los servicios de ITAR dentro del alcance para obtener más información.
- Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Centro de prácticas recomendadas para la seguridad de Google Cloud.
Servicios dentro del alcance
Los siguientes servicios son compatibles con ITAR:
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Nube privada virtual (VPC)
- Controles del servicio de VPC
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
Políticas de la organización
En esta sección, se describe cómo cada servicio se ve afectado por los valores predeterminados de restricción de la política de la organización cuando se crean carpetas o proyectos con ITAR. Otras restricciones aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una “defensa en profundidad” adicional para proteger aún más los recursos de Google Cloud de tu organización.
Restricciones de la política de la organización en toda la nube
Las siguientes restricciones de política de la organización se aplican a cualquier servicio de Google Cloud aplicable.
| Restricción de las políticas de la organización | Descripción |
|---|---|
gcp.resourceLocations |
Se establece en in:us-locations como el elemento de lista allowedValues.Este valor restringe la creación de cualquier recurso nuevo solo al grupo de valores de EE.UU. Cuando se configura, no se pueden crear recursos en otras regiones, multirregiones ni ubicaciones fuera de EE.UU. Consulta la documentación sobre grupos de valores de políticas de la organización para obtener más información. Cambiar este valor haciéndolo menos restrictivo puede socavar la residencia de los datos, ya que se permite que los datos se creen o almacenen fuera de los límites de datos de EE.UU. Por ejemplo, reemplaza el grupo de valores in:us-locations por el grupo de valores in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes:
Cada servicio de la lista requiere claves de encriptación administradas por el cliente (CMEK). Las CMEK garantizan que los datos en reposo estén encriptados con una clave administrada por ti, no con los mecanismos de encriptación predeterminados de Google. Cambiar este valor quitando de la lista uno o más servicios dentro del alcance puede socavar la soberanía de los datos, ya que los datos en reposo nuevos se encriptarán automáticamente con las claves propias de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste. |
gcp.restrictCmekCryptoKeyProjects |
Configúralo en todos los recursos de la carpeta ITAR que creaste. Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de KMS para encriptar datos en reposo mediante CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance. |
gcp.restrictServiceUsage |
Configúralo para permitir todos los servicios dentro del alcance. Determina qué servicios se pueden habilitar y usar. Para obtener más información, consulta Restringe el uso de recursos para las cargas de trabajo. |
Restricciones de las políticas de la organización de Compute Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
compute.disableGlobalLoadBalancing |
Configurado como True. Inhabilita la creación de productos de balanceo de cargas global. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
compute.disableGlobalSelfManagedSslCertificate |
Configurado como True. Inhabilita la creación de certificados SSL autoadministrados globales. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
compute.disableInstanceDataAccessApis |
Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot().Si habilitas esta política de la organización, no podrás generar credenciales en las VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente:
|
compute.disableNestedVirtualization |
Configurado como True. Inhabilita la virtualización anidada por aceleración de hardware para todas las VMs de Compute Engine en la carpeta ITAR. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
compute.enableComplianceMemoryProtection |
Configurado como True. Inhabilita algunas funciones de diagnóstico interno para proporcionar protección adicional del contenido de la memoria cuando se produce una falla en la infraestructura. Cambiar este valor puede afectar la residencia de los datos en tu carga de trabajo. Te recomendamos que mantengas el valor establecido. |
compute.restrictNonConfidentialComputing |
(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información. |
compute.restrictLoadBalancerCreationForTypes |
Se debe configurar para permitir todos los valores, excepto GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Consulta
Elige un balanceador de cargas para obtener más información.
|
Restricciones de las políticas de la organización de Google Kubernetes Engine
| Restricción de las políticas de la organización | Descripción |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Configurado como True. Se usa para inhabilitar el análisis agregado de los problemas del kernel, que es necesario a fin de mantener el control soberano de una carga de trabajo. Cambiar este valor puede afectar la soberanía de los datos en tu carga de trabajo. Te recomendamos mantener el valor establecido. |
Funciones afectadas
En esta sección, se enumera cómo las funciones o capacidades de cada servicio se ven afectadas por ITAR, incluidos los requisitos del usuario cuando se usa una función.
Características de BigQuery
| Atributo | Descripción |
|---|---|
| Habilita BigQuery en una carpeta nueva | BigQuery es compatible, pero no se habilita automáticamente cuando creas una nueva carpeta de Assured Workloads debido a un proceso de configuración interno. Por lo general, este proceso finaliza en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos:
Una vez que se complete el proceso de habilitación, puedes usar BigQuery en tu carpeta de Assured Workloads. |
| Características no compatibles | Las siguientes funciones de BigQuery no son compatibles con el cumplimiento de ITAR y no deben usarse en la CLI de BigQuery. Es responsabilidad del
cliente no usarlos en BigQuery para las cargas de trabajo de
ITAR.
|
| Integraciones no compatibles | Las siguientes integraciones de BigQuery no son compatibles con el cumplimiento de ITAR. Es responsabilidad del cliente no usarlos con
BigQuery para las cargas de trabajo de ITAR.
|
| APIs de BigQuery compatibles | Las siguientes APIs de BigQuery cumplen con ITAR:
|
| Regiones | BigQuery cumple con ITAR para todas las regiones de EE.UU. de BigQuery, excepto la multirregión de EE.UU. No se puede garantizar el cumplimiento de ITAR si se crea un conjunto de datos en una multirregión de EE.UU., una región fuera de EE.UU. o una multirregión fuera de EE.UU. Es responsabilidad del cliente especificar una región que cumple con ITAR cuando crea conjuntos de datos de BigQuery. Si una solicitud de lista de datos de tabla se envía con una región de EE.UU., pero el conjunto de datos se creó en otra región de EE.UU., BigQuery no puede inferir qué región pretendía el cliente y la operación fallará y mostrará el mensaje de error “No se encontró el conjunto de datos”. |
| Consola de Google Cloud | La interfaz de usuario de BigQuery en la consola de Google Cloud cumple con ITAR.
|
| CLI de BigQuery | La CLI de BigQuery cumple con ITAR.
|
| SDK de Google Cloud | Debes usar la versión 403.0.0 del SDK de Google Cloud o una posterior para mantener las garantías de regionalización de datos para los datos técnicos de ITAR. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
|
| Controles de administrador | BigQuery inhabilitará las APIs que no cumplan con las políticas, pero los administradores de clientes con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API que no cumpla con las políticas. Si esto ocurriera, el cliente recibirá una notificación sobre un posible incumplimiento a través del panel de supervisión de Assured Workloads. |
| Carga datos | Los conectores del Servicio de transferencia de datos de BigQuery para aplicaciones de software como servicio (SaaS) de Google, proveedores externos de almacenamiento en la nube y almacenes de datos no cumplen con ITAR. Es responsabilidad del cliente no usar los conectores del Servicio de transferencia de datos de BigQuery para las cargas de trabajo de ITAR. |
| Transferencias de terceros | BigQuery no verifica el cumplimiento de ITAR en transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es responsabilidad del cliente verificar el cumplimiento de ITAR cuando se usa cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery. |
| Modelos de BQML que no cumplen con las políticas | Los modelos de BQML con entrenamiento externo no cumplen con ITAR. |
| Trabajos de consulta | Los trabajos de consulta con datos técnicos de ITAR solo deben crearse dentro de proyectos de ITAR. |
| Consultas sobre conjuntos de datos de ITAR de proyectos que no son de ITAR | BigQuery no evita que se consulten los conjuntos de datos de ITAR desde proyectos que no son de ITAR. Los clientes deben asegurarse de que cualquier consulta que tenga una operación de lectura o unión en los datos técnicos de ITAR se coloque en una carpeta que cumpla con ITAR.
Los clientes pueden especificar un nombre de tabla completamente calificado para el resultado de su consulta mediante projectname.dataset.table en la CLI de BigQuery. |
| Cloud Logging | BigQuery usa Cloud Logging para algunos datos de registro de clientes.
Los clientes deben inhabilitar sus buckets de registro de _default o restringir los buckets de _default a regiones de EE.UU. para
mantener el cumplimiento de ITAR con el siguiente comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkConsulta esta página para obtener más información. |
Características de Compute Engine
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las siguientes funciones de Compute Engine no están disponibles en la
consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI:
|
| VMs de la solución Bare Metal | Es tu responsabilidad no usar las VMs de la solución Bare Metal (o2 VMs) porque
estas no son compatibles con ITAR.
|
| VMs de Google Cloud VMware Engine | Es tu responsabilidad no usar las VMs de Google Cloud VMware Engine, ya que las VMs de Google Cloud VMware Engine no cumplen con ITAR.
|
| Crea una instancia de VM C3 | Esta función está inhabilitada. |
| Usar discos persistentes o sus instantáneas sin CMEK | No puedes usar discos persistentes o sus instantáneas, a menos que se hayan encriptado con CMEK. |
| Crear VMs o VMs anidadas que usen virtualización anidada | No puedes crear VMs anidadas o VMs que usen virtualización anidada. Esta función está inhabilitada por la restricción de la política de la organización compute.disableNestedVirtualization
descrita en la sección anterior.
|
| Agrega un grupo de instancias a un balanceador de cargas global | No puedes agregar un grupo de instancias a un balanceador de cargas global. Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalLoadBalancing
descrita en la sección anterior.
|
| Enruta solicitudes a un balanceador de cargas de HTTPS externo multirregional | No puedes enrutar solicitudes a un balanceador de cargas HTTPS externo multirregional. Esta función está inhabilitada por la restricción de la política de la organización compute.restrictLoadBalancerCreationForTypes
descrita en la sección anterior.
|
| Comparte un disco persistente SSD en modo multiescritura | No puedes compartir un disco persistente SSD en modo multiescritura entre instancias de VM. |
| Suspende y reanuda una instancia de VM | Se inhabilitó esta función. Suspender y reanudar una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente que se usa para almacenar el estado de VM suspendido no se puede encriptar con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de la residencia de los datos que tiene habilitar esta función.
|
| SSD locales | Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque no se pueden encriptar con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de la residencia de los datos que tiene habilitar esta función.
|
| Entorno huésped |
Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados.
Según la configuración de la VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la residencia de datos a través de controles y procesos de seguridad internos. Sin embargo, para los usuarios que deseen un control adicional, también puedes seleccionar tus propias imágenes o agentes, y, de manera opcional, usar la restricción de la política de la organización compute.trustedImageProjects.
Consulta la página Cómo compilar una imagen personalizada para obtener más información. |
instances.getSerialPortOutput() |
Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en
esta página.
|
instances.getScreenshot() |
Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en
esta página.
|
Funciones de Cloud DNS
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud DNS no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
Características de Cloud Interconnect
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud Interconnect no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
| VPN con alta disponibilidad (HA) | Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se enumeran en esta sección. |
Funciones de Cloud Load Balancing
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud Load Balancing no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
| Balanceadores de cargas regionales | Solo debes usar balanceadores de cargas regionales con ITAR. Consulta las siguientes páginas para obtener más información sobre la configuración de balanceadores de cargas regionales: |
Funciones de Cloud Logging
Para usar Cloud Logging con claves de encriptación administradas por el cliente (CMEK), debes completar los pasos de la página Habilitar CMEK para una organización en la documentación de Cloud Logging.
| Atributo | Descripción |
|---|---|
| Receptores de registros | No coloques información sensible (datos del cliente) en los filtros de receptores. Los filtros de receptor se tratan como datos de servicio. |
| Entradas de registro de transmisión de registros en tiempo real | No crees filtros que contengan datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros finales no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. |
| Alertas basadas en registros | Se inhabilitó esta función. No puedes crear alertas basadas en registros en la consola de Google Cloud. |
| URL reducidas para las consultas del Explorador de registros | Se inhabilitó esta función. No puedes crear URL acortadas de consultas en la consola de Google Cloud. |
| Guarda consultas en el Explorador de registros | Se inhabilitó esta función. No puedes guardar ninguna consulta en la consola de Google Cloud. |
| Estadísticas de registros con BigQuery | Se inhabilitó esta función. No puedes usar la función de estadísticas de registros. |
Funciones de Network Connectivity Center
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Network Connectivity Center no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
Funciones de Cloud NAT
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud NAT no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
Funciones de Cloud Router
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud Router no están disponibles en la consola de Google Cloud. En su lugar, usa la API o Google Cloud CLI. |
Funciones de Cloud SQL
| Atributo | Descripción |
|---|---|
| Exportando a CSV | Exportar a CSV no cumple con ITAR y no se debe usar. Esta función está inhabilitada en la consola de Google Cloud. |
executeSql |
El método executeSql de la API de Cloud SQL no cumple con ITAR y no debe usarse. |
Características de Cloud Storage
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Para mantener el cumplimiento de ITAR, es tu responsabilidad usar la consola jurisdiccional de Google Cloud. La consola Jurisdiccional evita que se suban y descarguen objetos de Cloud Storage. Para subir y descargar objetos de Cloud Storage, consulta la fila Extremos de API compatibles que aparece a continuación. |
| Extremos de API compatibles | Debes usar uno de los extremos de ubicación que cumplen con ITAR con Cloud Storage. Los extremos de ubicación están disponibles para todas las regiones de EE.UU., la multirregión de EE.UU. y la birregión predefinida NAM4.
Los extremos de ubicación no están disponibles para regiones dobles distintas de la región doble
NAM4. Consulta esta página para obtener más información sobre las ubicaciones en Cloud Storage.
|
| Restricciones | Debes usar los extremos de ubicación de Cloud Storage para cumplir con ITAR. Para obtener más información sobre los extremos de ubicación de Cloud Storage para ITAR, consulta Extremos de ubicación para el cumplimiento de ITAR. Las siguientes operaciones no son compatibles con los extremos de ubicación. Sin embargo, estas operaciones no transportan datos del cliente como se define en los términos del servicio de residencia de datos. Por lo tanto, puedes usar extremos globales para estas operaciones según sea necesario sin infringir el cumplimiento de ITAR: |
| Copia y reescribe objetos | Los extremos de ubicación admiten operaciones de copia y reescritura de objetos si los buckets de origen y destino se encuentran en la región especificada en el extremo. Sin embargo, no puedes usar extremos de ubicación para copiar o reescribir un objeto de un bucket a otro si estos existen en ubicaciones diferentes. Es posible usar extremos globales para copiar o reescribir entre ubicaciones, pero no lo recomendamos, ya que puede infringir el cumplimiento de ITAR. |
Funciones de GKE
| Atributo | Descripción |
|---|---|
| Restricciones de recursos del clúster | Asegúrate de que la configuración del clúster no use recursos para
los servicios que no son compatibles con el programa de cumplimiento de ITAR. Por ejemplo,
la siguiente configuración no es válida porque requiere habilitar o
usar un servicio no compatible:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Funciones de VPC
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de redes de VPC no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
Funciones de Cloud VPN
| Atributo | Descripción |
|---|---|
| Consola de Google Cloud | Las funciones de Cloud VPN no están disponibles en la consola de Google Cloud. Usa la API o Google Cloud CLI en su lugar. |
| Encriptación | Solo debes usar algoritmos de cifrado que cumplan con FIPS 140-2 cuando crees certificados y configures la seguridad de tu IP. Consulta esta página para obtener más información sobre los algoritmos de cifrado compatibles en Cloud VPN. Para obtener orientación sobre cómo seleccionar un algoritmo de cifrado que cumpla con los estándares FIPS 140-2, consulta esta página. En este momento, no hay forma de cambiar un algoritmo de cifrado existente en Google Cloud. Asegúrate de configurar el algoritmo de cifrado en el dispositivo de terceros que se usa con Cloud VPN. |
| Extremos de VPN | Solo debes usar extremos de Cloud VPN que se encuentren en EE.UU. Asegúrate de que la puerta de enlace de VPN esté configurada para usarse solo en una región de EE.UU. |
¿Qué sigue?
- Obtén información sobre el paquete de control de ITAR.
- Obtén información sobre qué productos son compatibles con cada paquete de control.