ITAR 的限制
本页面介绍了使用 ITAR 控制软件包时的限制、局限和其他配置选项。
概览
《国际军品交易条例》(ITAR) 控制软件包可为适用范围内的 Google Cloud 服务启用数据访问权限控制和驻留功能。为了与 ITAR 兼容,其中部分服务的功能被 Google 限制或限制。其中大多数限制和局限性在为 ITAR 创建新的 Assured Workloads 文件夹时适用,但某些限制和限制稍后可通过修改组织政策进行更改。此外,一些限制和限制需要用户负责遵守。
请务必了解这些限制如何修改给定 Google Cloud 服务的行为或影响数据访问或数据驻留。例如,部分特性或功能可能会自动停用,以确保保持数据访问限制和数据驻留。此外,如果组织政策设置发生更改,则可能会产生意外后果,即将数据从一个区域复制到另一个区域。
前提条件
作为 ITAR 控制软件包的用户,为了保持合规性,请确保您满足并遵循以下前提条件:
- 使用 Assured Workloads 创建 ITAR 文件夹,并仅在该文件夹中部署 ITAR 工作负载。
- 仅为 ITAR 工作负载启用和使用适用范围内的 ITAR 服务。
- 除非您了解并愿意接受可能发生的数据驻留风险,否则请勿更改默认的组织政策限制条件值。
- 连接到 Google Cloud 服务端点时,您必须为提供区域端点的服务使用区域端点。此外:
- 从非 Google Cloud 虚拟机(例如本地或其他云服务商的虚拟机)连接到 Google Cloud 服务端点时,您必须使用支持连接到非 Google Cloud 虚拟机的可用专用访问选项之一,将非 Google Cloud 流量路由到 Google Cloud。
- 从 Google Cloud 虚拟机连接到 Google Cloud 服务端点时,您可以使用任何可用的专用访问通道选项。
- 在连接到使用外部 IP 地址公开的 Google Cloud 虚拟机时,请参阅从具有外部 IP 地址的虚拟机访问 API。
- 对于 ITAR 文件夹中使用的所有服务,请勿将技术数据存储在以下用户定义的信息或安全配置信息类型中:
- 错误消息
- 控制台输出
- 属性数据
- 服务配置数据
- 网络数据包标头
- 资源标识符
- 数据标签
- 请仅将指定的区域端点或位置端点用于提供这些端点的服务。如需了解详情,请参阅适用范围内的 ITAR 服务。
- 考虑采用 Google Cloud 安全性最佳实践中心内提供的常规安全性最佳实践。
范围内的服务
以下服务与 ITAR 兼容:
- Artifact Registry
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router 路由器
- Identity-Aware Proxy
- Cloud Monitoring
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud External Key Manager (Cloud EKM)
- Cloud HSM
组织政策
本部分介绍使用 ITAR 创建文件夹或项目时,默认组织政策限制条件值对每项服务有何影响。其他适用的限制条件(即使默认设置)可以提供额外的“深度防御”,以进一步保护组织的 Google Cloud 资源。
云范围的组织政策限制条件
以下组织政策限制条件适用于任何适用的 Google Cloud 服务。
组织政策限制条件 | 说明 |
---|---|
gcp.resourceLocations |
设置为 in:us-locations 作为 allowedValues 列表项。如果使用此值,则任何新资源的创建仅限美国价值组用户创建。设置后,无法在美国以外的任何其他区域、多区域或位置创建资源。如需了解详情,请参阅组织政策值组文档。 更改此值的限制可能会降低数据驻留风险,因为这会允许在美国数据边界之外创建或存储数据。例如:将 in:us-locations 值组替换为 in:northamerica-locations 值组。
|
gcp.restrictNonCmekServices |
设置为所有范围内的 API 服务名称的列表,包括:
列出的每项服务都需要客户管理的加密密钥 (CMEK)。 CMEK 可确保使用由您管理的密钥(而不是 Google 的默认加密机制)对静态数据进行加密。 通过从列表中移除一项或多项适用服务来更改此值可能会破坏数据的数据主权,因为新的静态数据将使用 Google 自己的密钥(而不是您的密钥)自动加密。现有静态数据仍将使用您提供的密钥进行加密。 |
gcp.restrictCmekCryptoKeyProjects |
设置为您创建的 ITAR 文件夹下的所有资源。 限制可以提供 KMS 密钥以使用 CMEK 加密静态数据的已批准文件夹或项目的范围。此限制条件可防止未获批准的文件夹或项目提供加密密钥,从而帮助保证范围内服务静态数据的数据主权。 |
gcp.restrictServiceUsage |
设置为允许所有范围内的服务。 决定可以启用和使用哪些服务。如需了解详情,请参阅限制工作负载的资源用量。 |
Compute Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
compute.disableGlobalLoadBalancing |
设置为 True。 禁止创建全球负载均衡产品。 更改此值可能会影响工作负载中的数据驻留值;我们建议您保留设置的值。 |
compute.disableGlobalSelfManagedSslCertificate |
设置为 True。 禁止创建自行管理的全球 SSL 证书。 更改此值可能会影响工作负载中的数据驻留值;我们建议您保留设置的值。 |
compute.disableInstanceDataAccessApis |
设置为 True。 全局停用 instances.getSerialPortOutput() 和 instances.getScreenshot() API。启用此组织政策可防止您在 Windows Server 虚拟机上生成凭据。 如果您需要在 Windows 虚拟机上管理用户名和密码,请执行以下操作:
|
compute.disableNestedVirtualization |
设置为 True。 为 ITAR 文件夹中的所有 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化。 更改此值可能会影响工作负载中的数据驻留值;我们建议您保留设置的值。 |
compute.enableComplianceMemoryProtection |
设置为 True。 停用某些内部诊断功能,以便在发生基础架构故障时提供额外的内存保护。 更改此值可能会影响工作负载中的数据驻留值;我们建议您保留设置的值。 |
compute.restrictNonConfidentialComputing |
(可选)不设置值。设置此值可提供额外的深度防御。如需了解详情,请参阅机密虚拟机文档。 |
compute.restrictLoadBalancerCreationForTypes |
设置为允许除 GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS 以外的所有值。如需了解详情,请参阅
选择负载均衡器。 |
Google Kubernetes Engine 组织政策限制条件
组织政策限制条件 | 说明 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
设置为 True。 用于停用内核问题的汇总分析,这是维护工作负载的主权所必需的。 更改此值可能会影响工作负载的数据主权;我们建议您保留设置的值。 |
受影响的功能
本部分列出了 ITAR 对每项服务的特性或功能的影响,包括使用某项功能时对用户的要求。
BigQuery 特性
特征 | 说明 |
---|---|
在新文件夹上启用 BigQuery | BigQuery 受支持,但由于内部配置过程,在您创建新的 Assured Workloads 文件夹时不会自动启用 BigQuery。此过程通常会在十分钟内完成,但在某些情况下可能需要更长时间。如需检查该过程是否已完成并启用 BigQuery,请完成以下步骤:
启用过程完成后,您可以在 Assured Workloads 文件夹中使用 BigQuery。 |
不受支持的功能 | 以下 BigQuery 功能不支持 ITAR 合规性,不应在 BigQuery CLI 中使用。客户须自行负责不在 BigQuery 中将其用于 ITAR 工作负载。
|
不支持的集成 | ITAR 合规性不支持以下 BigQuery 集成。客户应自行负责不将其与 BigQuery 用于 ITAR 工作负载。
|
合规的 BigQuery API | 以下 BigQuery API 符合 ITAR 规定: |
区域 | 除美国多区域区域外,BigQuery 的所有 BigQuery 美国区域都符合 ITAR 要求。如果数据集是在美国多区域、非美国区域或非美国多区域中创建的,则无法保证 ITAR 合规性。创建 BigQuery 数据集时,客户须负责指定符合 ITAR 要求的区域。 如果使用一个美国区域发送表数据列表请求,但数据集是在另一个美国区域创建的,则 BigQuery 无法推断出客户预期使用哪个区域,并且操作将失败并显示“未找到数据集”错误消息。 |
Google Cloud 控制台 | Google Cloud 控制台中的 BigQuery 界面符合 ITAR 要求。 |
BigQuery CLI | BigQuery CLI 符合 ITAR 规定。
|
Google Cloud SDK | 您必须使用 Google Cloud SDK 403.0.0 或更高版本来维护 ITAR 技术数据的数据区域化保证。如需验证当前的 Google Cloud SDK 版本,请运行 gcloud --version ,然后运行 gcloud components update 以更新到最新版本。 |
管理员控制功能 | BigQuery 将停用不合规的 API,但拥有足够权限创建 Assured Workloads 文件夹的客户管理员可以启用不合规的 API。如果发生这种情况,系统将通过 Assured Workloads 监控信息中心通知客户可能存在不合规的情况。 |
正在加载数据 | 适用于 Google 软件即服务 (SaaS) 应用、外部云存储服务商和数据仓库的 BigQuery Data Transfer Service 连接器不符合 ITAR 规定。客户须自行负责不将 BigQuery Data Transfer Service 连接器用于 ITAR 工作负载。 |
第三方转移作业 | BigQuery 不会验证 BigQuery Data Transfer Service 的第三方转移作业的 ITAR 合规性。为 BigQuery Data Transfer Service 使用任何第三方转移作业时,客户需负责验证 ITAR 合规性。 |
不合规的 BQML 模型 | 外部训练的 BQML 模型不符合 ITAR 要求。 |
查询作业 | 只能在 ITAR 项目中创建包含 ITAR 技术数据的查询作业。 |
针对非 ITAR 项目的 ITAR 数据集查询 | BigQuery 不会阻止从非 ITAR 项目查询 ITAR 数据集。客户应确保将读取或联接 ITAR 技术数据的任何查询都放在符合 ITAR 的文件夹中。客户可以在 BigQuery CLI 中使用 projectname.dataset.table 为其查询结果指定完全限定的表名称。 |
Cloud Logging | BigQuery 利用 Cloud Logging 处理某些客户日志数据。
客户应使用以下命令停用其 _default 日志记录存储分区或将 _default 存储分区限制为美国区域,以保持 ITAR 合规性:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink 如需了解详情,请参阅此页面。 |
Compute Engine 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供以下 Compute Engine 功能。请改用 API 或 Google Cloud CLI:
|
裸金属解决方案虚拟机 | 您应不使用裸金属解决方案虚拟机 (o2 虚拟机),因为裸金属解决方案虚拟机不符合 ITAR 的要求。 |
Google Cloud VMware Engine 虚拟机 | 您有责任不使用 Google Cloud VMware Engine 虚拟机,因为 Google Cloud VMware Engine 虚拟机与 ITAR 不兼容。 |
创建 C3 虚拟机实例 | 此功能已禁用。 |
在没有 CMEK 的情况下使用永久性磁盘或其快照 | 除非使用 CMEK 对其进行加密,否则您无法使用永久性磁盘或其快照。 |
创建嵌套虚拟机或使用嵌套虚拟化的虚拟机 | 您无法创建嵌套虚拟机或使用嵌套虚拟化的虚拟机。 此功能因上一部分中所述的 compute.disableNestedVirtualization 组织政策限制条件而停用。
|
将实例组添加到全局负载均衡器 | 您无法将实例组添加到全局负载均衡器。 此功能因上一节中所述的 compute.disableGlobalLoadBalancing 组织政策限制条件而停用。
|
将请求路由到多区域外部 HTTPS 负载均衡器 | 您无法将请求路由到多区域外部 HTTPS 负载平衡器。 此功能因上一节中所述的 compute.restrictLoadBalancerCreationForTypes 组织政策限制条件而停用。
|
在多写入者模式下共享 SSD 永久性磁盘 | 您不能在虚拟机实例之间共享多写入者模式下的 SSD 永久性磁盘。 |
暂停和恢复虚拟机实例 | 此功能处于禁用状态。 暂停和恢复虚拟机实例需要永久性磁盘存储空间,用于存储已暂停虚拟机状态的永久性磁盘存储空间无法使用 CMEK 进行加密。请参阅上一部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据驻留的影响。 |
本地 SSD | 此功能处于禁用状态。 您将无法创建使用本地 SSD 的实例,因为它们无法使用 CMEK 进行加密。请参阅上一部分中的 gcp.restrictNonCmekServices 组织政策限制条件,了解启用此功能对数据驻留的影响。 |
客机环境 |
客机环境中包含的脚本、守护程序和二进制文件可以访问未加密的静态数据和使用中的数据。根据您的虚拟机配置,系统可能会默认安装此软件的更新。如需详细了解每个软件包的内容、源代码等,请参阅客机环境。 这些组件通过内部安全控制措施和流程,帮助您满足数据驻留要求。但是,对于需要额外控制的用户,您还可以挑选自己的映像或代理,并视需要使用 compute.trustedImageProjects 组织政策限制条件。如需了解详情,请参阅 构建自定义映像页面。 |
instances.getSerialPortOutput() |
此 API 已停用;您将无法使用此 API 从指定实例获取串行端口输出。 将 compute.disableInstanceDataAccessApis 组织政策限制条件的值更改为 False 以启用此 API。您还可以按照
此页面上的说明启用和使用交互式串行端口。 |
instances.getScreenshot() |
此 API 已停用;您将无法使用此 API 从指定实例获取屏幕截图。 将 compute.disableInstanceDataAccessApis 组织政策限制条件的值更改为 False 以启用此 API。您还可以按照
此页面上的说明启用和使用交互式串行端口。 |
Cloud DNS 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud DNS 功能。请改用 API 或 Google Cloud CLI。 |
Cloud Interconnect 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Interconnect 功能。请改用 API 或 Google Cloud CLI。 |
高可用性 (HA) VPN | 将 Cloud Interconnect 与 Cloud VPN 结合使用时,您必须启用高可用性 (HA) VPN 功能。此外,您还必须遵循此部分中列出的加密和区域化要求。 |
Cloud Load Balancing 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Load Balancing 功能。请改用 API 或 Google Cloud CLI。 |
区域级负载均衡器 | 您只能将区域级负载平衡器与 ITAR 搭配使用。如需详细了解如何配置区域级负载平衡器,请参阅以下页面: |
Cloud Logging 功能
如需将 Cloud Logging 与客户管理的加密密钥 (CMEK) 搭配使用,您必须完成 Cloud Logging 文档中为组织启用 CMEK 页面中的步骤。
特征 | 说明 |
---|---|
日志接收器 | 请勿在接收器过滤条件中输入敏感信息(客户数据)。接收器过滤条件被视为服务数据。 |
Live Tailing 日志条目 | 请勿创建包含客户数据的过滤条件。 Live Tailing 会话包含一个存储为配置的过滤条件。尾部日志本身不存储任何日志条目数据,但可以跨区域查询和传输数据。 |
基于日志的提醒 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建基于日志的提醒。 |
日志浏览器查询的缩短的网址 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中创建查询的缩短网址。 |
在日志浏览器中保存查询 | 此功能处于禁用状态。 您无法在 Google Cloud 控制台中保存任何查询。 |
使用 BigQuery 的日志分析 | 此功能处于禁用状态。 您无法使用日志分析功能。 |
Cloud Monitoring 功能
特征 | 说明 |
---|---|
合成监控工具 | 此功能处于禁用状态。 |
拨测 | 此功能处于禁用状态。 |
信息中心中的日志面板微件 | 此功能已停用。 您无法向信息中心添加日志面板。 |
信息中心中的错误报告面板微件 | 此功能已停用。 您无法将错误报告面板添加到信息中心。 |
在 EventAnnotation 中针对信息中心进行过滤
|
此功能已停用。 无法在信息中心内设置“ EventAnnotation ”的过滤条件。
|
Network Connectivity Center 功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Network Connectivity Center 功能。请改用 API 或 Google Cloud CLI。 |
Cloud NAT 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud NAT 功能。请改用 API 或 Google Cloud CLI。 |
Cloud Router 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud Router 功能。请改用 API 或 Google Cloud CLI。 |
Cloud SQL 特性
特征 | 说明 |
---|---|
导出为 CSV 文件 | 导出为 CSV 文件不符合 ITAR 规定,不应使用。此功能在 Google Cloud 控制台中处于停用状态。 |
executeSql |
Cloud SQL API 的 executeSql 方法不符合 ITAR 规定,不应使用。 |
Cloud Storage 的功能
特征 | 说明 |
---|---|
Google Cloud 控制台 | 为了保持 ITAR 合规性,您有责任使用管辖区 Google Cloud 控制台。管辖区控制台会阻止上传和下载 Cloud Storage 对象。如需上传和下载 Cloud Storage 对象,请参阅下面的合规 API 端点行。 |
合规的 API 端点 | 您必须将某个符合 ITAR 要求的位置端点与 Cloud Storage 搭配使用。位置端点适用于所有美国区域、美国多区域和 NAM4 预定义的双区域。位置端点不适用于除 NAM4 双区域之外的双区域。如需详细了解 Cloud Storage 中的位置,请参阅此页面。
|
限制 | 您必须使用 Cloud Storage 位置端点,才能符合 ITAR 要求。如需详细了解适用于 ITAR 的 Cloud Storage 位置端点,请参阅确保 ITAR 合规性的位置端点。 位置端点不支持以下操作。 但是,这些操作不会传送数据驻留服务条款中定义的客户数据。因此,您可以根据需要使用全球端点执行这些操作,而不违反 ITAR 合规性: |
复制和重写对象 | 如果来源存储分区和目标存储分区都位于端点中指定的区域,则位置端点支持对象的复制和重写操作。但是,如果存储桶位于不同位置,则您无法使用位置端点将对象从一个存储桶复制或重写到另一个存储桶。您可以使用全球端点跨位置进行复制或重写,但我们不建议这样做,因为这样做可能会违反 ITAR 合规性。 |
GKE 功能
特征 | 说明 |
---|---|
集群资源限制 | 确保您的集群配置不会将资源用于 ITAR 合规性计划中不支持的服务。例如,以下配置无效,因为它要求启用或使用不支持的服务:
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 VPC 网络功能。请改用 API 或 Google Cloud CLI。 |
Cloud VPN 特性
特征 | 说明 |
---|---|
Google Cloud 控制台 | Google Cloud 控制台中不提供 Cloud VPN 功能。请改用 API 或 Google Cloud CLI。 |
加密 | 创建证书和配置 IP 安全性时,您只能使用符合 FIPS 140-2 规定的加密方式。如需详细了解 Cloud VPN 中支持的加密方式,请参阅此页面。如需了解如何选择符合 FIPS 140-2 标准的加密方式,请参阅此页面。 目前无法更改 Google Cloud 中的现有加密方式。 请务必在与 Cloud VPN 结合使用的第三方设备上配置加密方式。 |
VPN 端点 | 您只能使用位于美国的 Cloud VPN 端点。 确保将您的 VPN 网关配置为仅在美国区域使用。 |