Restrições e limitações da ITAR

Nesta página, descrevemos as restrições, limitações e outras opções de configuração ao usar o programa de compliance com a ITAR.

Informações gerais

O programa de compliance com a Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) permite recursos de controle de acesso e residência a dados para serviços do Google Cloud no escopo. Alguns dos recursos desses serviços são restritos ou limitados pelo Google para serem compatíveis com a ITAR. A maioria dessas restrições e limitações é aplicada durante a criação de uma nova pasta Assured Workloads para ITAR. No entanto, algumas delas podem ser alteradas posteriormente ao modificar as políticas da organização. Além disso, algumas restrições e limitações exigem responsabilidade do usuário pela adesão.

É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência dos dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso e a residência de dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, a consequência indesejada de copiar dados de uma região para outra.

Pré-requisitos

Para manter a conformidade como usuário do programa de compliance com o ITAR, verifique se você atende aos seguintes pré-requisitos:

  • Crie uma pasta ITAR usando o Assured Workloads e implante as cargas de trabalho ITAR somente nessa pasta.
  • Ative e use somente serviços ITAR no escopo para cargas de trabalho ITAR.
  • Não altere os valores padrão de restrição da política da organização, a menos que você entenda e esteja disposto a aceitar os riscos de residência de dados que podem ocorrer.
  • Ao se conectar aos endpoints de serviço do Google Cloud, você precisa usar endpoints regionais para os serviços que os ofereçam. Além disso:
    • Ao se conectar a endpoints de serviço do Google Cloud de VMs que não são do Google Cloud, como VMs no local ou de outros provedores de nuvem, use uma das opções de acesso privado disponíveis que suportam conexões a VMs que não são do Google Cloud para rotear o tráfego que não é do Google Cloud para o Google Cloud.
    • Ao se conectar a endpoints de serviço do Google Cloud a partir de VMs do Google Cloud, use qualquer uma das opções de acesso privado disponíveis.
    • Ao se conectar a VMs do Google Cloud que foram expostas com endereços IP externo, consulte Acessar APIs de VMs com IP externo externos.
  • Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos nos seguintes tipos de informações definidas pelo usuário ou de configuração de segurança:
    • Mensagens de erro
    • Saída do console
    • Dados do atributo
    • Dados de configuração do serviço
    • Cabeçalhos de pacotes de rede
    • Identificadores de recursos
    • Rótulos de dados
  • Use apenas os endpoints regionais ou locais especificados nos serviços que oferecem esses endpoints. Consulte os serviços ITAR no escopo para mais informações.
  • Considere adotar as práticas recomendadas gerais de segurança disponíveis na Central de práticas recomendadas de segurança do Google Cloud.

Serviços em escopo

Os seguintes serviços são compatíveis com ITAR:

Políticas da organização

Esta seção descreve como cada serviço é afetado pelos valores de restrição da política padrão da organização quando pastas ou projetos são criados com o ITAR. Outras restrições aplicáveis, mesmo que não definidas por padrão, podem fornecer mais "defesa em profundidade" para proteger ainda mais os recursos do Google Cloud da sua organização.

Restrições da política da organização em toda a nuvem

As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.

Restrição da política da organização Descrição
gcp.resourceLocations Defina como in:us-locations como o item da lista allowedValues.

Esse valor restringe a criação de novos recursos apenas ao grupo de valores dos EUA. Quando definido, nenhum recurso pode ser criado em outras regiões, multirregiões ou locais fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações.

Alterar esse valor tornando-o menos restritivo pode prejudicar a residência de dados, permitindo que dados sejam criados ou armazenados fora do limite de dados dos EUA. Por exemplo: substituir o grupo de valores in:us-locations pelo grupo de valores in:northamerica-locations.
gcp.restrictNonCmekServices Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo:
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
Alguns recursos podem ser afetados em cada um dos serviços listados acima. Consulte a seção Recursos afetados abaixo.

Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, e não pelos mecanismos de criptografia padrão do Google.

Alterar esse valor removendo um ou mais serviços no escopo da lista pode prejudicar a soberania de dados de dados, já que os novos dados em repouso serão criptografados automaticamente usando as próprias chaves do Google. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
gcp.restrictCmekCryptoKeyProjects Defina como todos os recursos na pasta ITAR que você criou.

Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografar dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
gcp.restrictServiceUsage Defina para permitir todos os serviços no escopo.

Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho.

Restrições da política da organização do Compute Engine

Restrição da política da organização Descrição
compute.disableGlobalLoadBalancing Definido como Verdadeiro.

Desativa a criação de produtos globais de balanceamento de carga.

Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
compute.disableGlobalSelfManagedSslCertificate Definido como Verdadeiro.

Desativa a criação de certificados SSL globais e autogerenciados.

Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
compute.disableInstanceDataAccessApis Definido como Verdadeiro.

Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot().

A ativação dessa política da organização impede que você gere credenciais em VMs do Windows Server.

Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
  1. Ative o SSH para VMs do Windows.
  2. Execute o seguinte comando para alterar a senha da VM: 
    
gcloud compute ssh
VM_NAME --command "net user USERNAME PASSWORD"
    Substitua:
    • VM_NAME: o nome da VM para que você está definindo a senha.
    • USERNAME: o nome do usuário para quem você está definindo a senha.
    • PASSWORD: a nova senha.
compute.disableNestedVirtualization Definido como Verdadeiro.

Desativa a virtualização aninhada acelerada por hardware para todas as VMs do Compute Engine na pasta ITAR.

Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
compute.enableComplianceMemoryProtection Definido como Verdadeiro.

Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura.

Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido.
compute.restrictNonConfidentialComputing

 (Opcional) O valor não foi definido. Defina esse valor para fornecer mais defesa detalhada. Consulte a documentação sobre VMs confidenciais para mais informações.
compute.restrictLoadBalancerCreationForTypes

 Defina para permitir todos os valores, exceto GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Para mais informações, consulte Escolher um balanceador de carga.

Restrições da política da organização do Google Kubernetes Engine

Restrição da política da organização Descrição
container.restrictNoncompliantDiagnosticDataAccess Definido como Verdadeiro.

Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho.

Alterar esse valor pode afetar a soberania de dados na carga de trabalho. Recomendamos manter o valor definido.

Recursos afetados

Esta seção lista como os recursos ou capacidades de cada serviço são afetados pelo ITAR, incluindo os requisitos do usuário ao usar um recurso.

Recursos do BigQuery

Recurso Descrição
Recursos não suportados Os seguintes recursos do BigQuery não estão em compliance com o ITAR e não devem ser usados na CLI do BigQuery. É responsabilidade do cliente não usá-los no BigQuery para cargas de trabalho ITAR.
Integrações sem suporte As integrações do BigQuery a seguir não estão em compliance com o ITAR. É responsabilidade do cliente não usá-los com o BigQuery para cargas de trabalho ITAR.
  • Os métodos de API CreateTag, SearchCatalog, Bulk tagging e Business Glossary da API Data Catalog podem processar e armazenar dados técnicos da ITAR de maneira que não esteja em conformidade com o ITAR. É responsabilidade do cliente não usar esses métodos para cargas de trabalho ITAR.
APIs do BigQuery em conformidade As seguintes APIs do BigQuery estão em compliance com o ITAR:
Regiões O BigQuery está em conformidade com o ITAR para todas as regiões do BigQuery nos EUA, exceto a multirregião dos EUA. A conformidade com a ITAR não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, em uma região fora dos EUA ou em uma multirregião fora dos EUA. É responsabilidade do cliente especificar uma região em conformidade com o ITAR ao criar conjuntos de dados do BigQuery.

Se uma solicitação de lista de dados da tabela for enviada usando uma região dos EUA, mas o conjunto de dados tiver sido criado em outra, o BigQuery não poderá inferir qual região o cliente pretendia, e a operação falhará com uma mensagem de erro "conjunto de dados não encontrado".
Console do Google Cloud A interface do usuário do BigQuery no console do Google Cloud está em conformidade com o ITAR.

CLI do BigQuery A CLI do BigQuery está em conformidade com o ITAR.

SDK Google Cloud Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos ITAR. Para verificar a versão atual do SDK Google Cloud, execute gcloud --version e depois gcloud components update para atualizar para a versão mais recente.
Controles do administrador O BigQuery vai desativar as APIs que não estão em conformidade, mas os administradores de clientes com permissões suficientes para criar uma pasta do Assured Workloads podem ativar uma API que não está em conformidade. Quando isso ocorre, o cliente é notificado sobre possíveis falhas de compliance no painel de monitoramento do Assured Workloads.
Carregando dados Os conectores do serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS), provedores externos de armazenamento em nuvem e data warehouses não estão em compliance com o ITAR. É responsabilidade do cliente não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho ITAR.
Transferências de terceiros O BigQuery não verifica a conformidade com o ITAR para transferências de terceiros para o serviço de transferência de dados do BigQuery. É responsabilidade do cliente verificar a conformidade com o ITAR ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance Os modelos do BQML treinados externamente não estão em conformidade com o ITAR.
Jobs de consulta Jobs de consulta com dados técnicos ITAR devem ser criados apenas em projetos ITAR.
Consultas em conjuntos de dados ITAR de projetos não ITAR O BigQuery não impede que os conjuntos de dados ITAR sejam consultados em projetos não ITAR. Os clientes precisam garantir que todas as consultas com leitura ou JOIN nos dados técnicos da ITAR sejam colocadas em uma pasta em conformidade com a ITAR. Os clientes podem especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging O BigQuery usa o Cloud Logging para alguns dados de registros de clientes. Os clientes precisam desativar os buckets de geração de registros _default ou restringir os buckets _default às regiões dos EUA para manter a compliance com o ITAR usando o seguinte comando:

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Consulte esta página para mais informações.

Recursos do Compute Engine

Recurso Descrição
Console do Google Cloud Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI:

  1. Verificações de integridade
  2. Grupos de endpoints de rede
VMs da Solução Bare Metal É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2), porque elas não são compatíveis com o ITAR.

VMs do Google Cloud VMware Engine É sua responsabilidade não usar as VMs do Google Cloud VMware Engine, porque elas não estão em conformidade com o ITAR.

Como criar uma instância de VM C3 Este recurso está desativado.
Como usar discos permanentes ou os respectivos snapshots sem CMEK Não é possível usar discos permanentes nem os respectivos snapshots, a menos que eles tenham sido criptografados com CMEKs.
Como criar VMs aninhadas ou que usam virtualização aninhada Não é possível criar VMs aninhadas ou VMs que usem virtualização aninhada.

Esse recurso é desativado pela restrição da política da organização compute.disableNestedVirtualization descrita na seção acima.
Como adicionar um grupo de instâncias a um balanceador de carga global Não é possível adicionar um grupo de instâncias a um balanceador de carga global.

Esse recurso é desativado pela restrição da política da organização compute.disableGlobalLoadBalancing descrita na seção acima.
Como rotear solicitações para um balanceador de carga HTTPS externo multirregional Não é possível rotear solicitações para um balanceador de carga HTTPS externo multirregional.

Esse recurso é desativado pela restrição da política da organização compute.restrictLoadBalancerCreationForTypes descrita na seção acima.
Como compartilhar um disco permanente SSD no modo de várias gravações Não é possível compartilhar um disco permanente SSD no modo de várias gravações entre instâncias de VM.
Como suspender e retomar uma instância de VM Este recurso está desativado.

Suspender e retomar uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações de residência de dados da ativação desse recurso.
SSDs locais Este recurso está desativado.

Não será possível criar uma instância com SSDs locais porque, no momento, eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações de residência de dados da ativação desse recurso.
Ambiente para convidado Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para ver informações específicas sobre o conteúdo de cada pacote, o código-fonte e mais.

Esses componentes ajudam você a atender à residência de dados por meio de controles e processos de segurança internos. No entanto, para usuários que querem mais controle, também é possível selecionar as próprias imagens ou agentes e, opcionalmente, usar a restrição da política da organização compute.trustedImageProjects.

Consulte a página Como criar uma imagem personalizada para mais informações.
instances.getSerialPortOutput() Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API.

Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.
instances.getScreenshot() Essa API está desativada. Você não receberá uma captura de tela da instância especificada usando essa API.

Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções nesta página.

Recursos do Cloud DNS

Recurso Descrição
Console do Google Cloud Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud Interconnect

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.
VPN de alta disponibilidade (HA) É necessário ativar a funcionalidade VPN de alta disponibilidade (HA, na sigla em inglês) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa aderir aos requisitos de criptografia e regionalização listados nesta seção.

Recursos do Cloud Load Balancing

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Load Balancing não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.
Balanceadores de carga regionais Use apenas balanceadores de carga regionais com ITAR. Consulte as páginas a seguir para mais informações sobre como configurar balanceadores de carga regionais:

Recursos do Network Connectivity Center

Recurso Descrição
Console do Google Cloud Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud NAT

Recurso Descrição
Console do Google Cloud Os recursos do Cloud NAT não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud Router

Recurso Descrição
Console do Google Cloud Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud Storage

Recurso Descrição
Console do Google Cloud Para manter a conformidade com a ITAR, é sua responsabilidade usar o console Jurisdicial do Google Cloud. O console jurisdicional impede o upload e o download de objetos do Cloud Storage. Para fazer o upload e o download de objetos do Cloud Storage, consulte a linha endpoints de API em conformidade abaixo.
Endpoints de API em conformidade Use um dos endpoints de localização em conformidade com o ITAR com o Cloud Storage. Os endpoints locais estão disponíveis para todas as regiões dos EUA, a multirregião dos EUA e a birregional predefinida NAM4. Os endpoints locais não estão disponíveis para regiões birregionais que não sejam a birregião NAM4. Consulte esta página para ver mais informações sobre locais no Cloud Storage.
Restrições Use os endpoints locais do Cloud Storage para estar em conformidade com o ITAR. Para mais informações sobre endpoints locais do Cloud Storage para ITAR, consulte Endpoints locais para compliance com ITAR.

As operações a seguir não são compatíveis com endpoints locais. No entanto, essas operações não transportam dados do cliente, conforme definido nos termos de serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com o ITAR:
Copiar e reescrever objetos As operações de cópia e substituição de objetos serão aceitas por endpoints locais se os buckets de origem e de destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints locais para copiar ou gravar um objeto de um bucket para outro se os buckets existirem em locais diferentes. É possível usar endpoints globais para copiar ou regravar os locais, mas isso não é recomendado, porque isso pode violar a ITAR.

Recursos do GKE

Recurso Descrição
Restrições de recursos de clusters Verifique se a configuração do cluster não usa recursos para serviços sem suporte no programa de compliance com ITAR. Por exemplo, a configuração a seguir é inválida porque requer a ativação ou o uso de um serviço sem suporte:

set `binaryAuthorization.evaluationMode` to `enabled`

Recursos da VPC

Recurso Descrição
Console do Google Cloud Os recursos de rede VPC não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.

Recursos do Cloud VPN

Recurso Descrição
Console do Google Cloud Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI.
Criptografia Use apenas criptografias compatíveis com FIPS 140-2 ao criar certificados e configurar a segurança de IP. Consulte esta página para ver mais informações sobre criptografias compatíveis no Cloud VPN. Para orientações sobre como selecionar uma criptografia em conformidade com os padrões FIPS 140-2, consulte esta página.

Atualmente, não há como alterar uma criptografia atual no Google Cloud. Não se esqueça de configurar a criptografia no dispositivo de terceiros usado com o Cloud VPN.
Endpoints de VPN Use apenas endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado para uso somente em uma região dos EUA.

A seguir