Restrições e limitações para a ITAR
Nesta página, descrevemos as restrições, limitações e outras opções de configuração ao usar o pacote de controle ITAR.
Visão geral
O pacote de controle da Regulamentação sobre Tráfico Internacional de Armas (ITAR, na sigla em inglês) permite recursos de controle de acesso e residência a dados para serviços do Google Cloud no escopo. Alguns dos recursos desses serviços são restritos ou limitados pelo Google à compatibilidade com o ITAR. A maioria dessas restrições e limitações é aplicada durante a criação de uma nova pasta do Assured Workloads para ITAR. No entanto, algumas delas podem ser alteradas posteriormente ao modificar as políticas da organização. Além disso, algumas restrições e limitações exigem responsabilidade do usuário pela adesão.
É importante entender como essas restrições modificam o comportamento de um determinado serviço do Google Cloud ou afetam o acesso ou a residência de dados. Por exemplo, alguns recursos podem ser desativados automaticamente para garantir que as restrições de acesso e a residência de dados sejam mantidas. Além disso, se uma configuração de política da organização for alterada, a consequência indesejada de copiar dados de uma região para outra poderá ser criada.
Pré-requisitos
Para manter a conformidade como usuário do pacote de controle ITAR, verifique se você atende aos seguintes pré-requisitos:
- Crie uma pasta ITAR usando Assured Workloads e implante suas cargas de trabalho ITAR apenas nessa pasta.
- Ative e use apenas serviços ITAR no escopo para cargas de trabalho ITAR.
- Não altere os valores padrão de restrição da política da organização, a menos que você entenda e esteja disposto a aceitar os possíveis riscos de residência de dados.
- Ao se conectar aos endpoints de serviço do Google Cloud, você precisa usar endpoints regionais para os serviços que os oferecem. Além disso:
- Ao se conectar a endpoints de serviço do Google Cloud a partir de VMs que não sejam do Google Cloud, como VMs locais ou de outros provedores de nuvem, use uma das opções de acesso privado disponíveis que oferecem suporte a conexões com VMs que não são do Google Cloud para rotear o tráfego que não é do Google Cloud para o Google Cloud.
- Ao se conectar a endpoints de serviço do Google Cloud a partir de VMs do Google Cloud, use qualquer uma das opções de acesso privado disponíveis.
- Ao se conectar a VMs do Google Cloud que foram expostas com endereços IP externo, consulte Acessar APIs de VMs com IP externo externos.
- Para todos os serviços usados em uma pasta ITAR, não armazene dados técnicos nos seguintes tipos de informações de configuração de segurança ou definidas pelo usuário:
- Mensagens de erro
- Saída do console
- Atribuir dados
- Dados de configuração do serviço
- Cabeçalhos de pacotes de rede
- Identificadores de recursos
- Rótulos de dados
- Use apenas os endpoints regionais ou locais especificados nos serviços que os oferecem. Consulte serviços ITAR no escopo para mais informações.
- Considere adotar as práticas recomendadas gerais de segurança fornecidas na Central de práticas recomendadas de segurança do Google Cloud.
Serviços em escopo
Os seguintes serviços são compatíveis com ITAR:
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management (IAM)
- Compute Engine
- Cloud Storage
- Disco permanente
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Nuvem privada virtual (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service (Cloud KMS)
- Cloud HSM
Políticas da organização
Nesta seção, descrevemos como cada serviço é afetado pelos valores de restrição da política padrão da organização quando pastas ou projetos são criados usando o ITAR. Outras restrições aplicáveis, mesmo que não sejam definidas por padrão, podem oferecer "defesa em profundidade" extra para proteger ainda mais os recursos do Google Cloud da sua organização.
Restrições da política da organização em toda a nuvem
As restrições da política da organização a seguir se aplicam a qualquer serviço aplicável do Google Cloud.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina como in:us-locations como o item
da lista allowedValues.Esse valor restringe a criação de novos recursos somente ao grupo de valores dos EUA. Quando definido, nenhum recurso poderá ser criado em outras regiões, multirregiões ou locais fora dos EUA. Consulte a documentação Grupos de valores de política da organização para mais informações. Se você alterar esse valor para torná-lo menos restritivo, poderá prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora do limite de dados dos EUA. Por exemplo: substituir o grupo de valores in:us-locations pelo
grupo de valores in:northamerica-locations.
|
gcp.restrictNonCmekServices |
Defina como uma lista de todos os
nomes de serviço de API no escopo,
incluindo:
Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK garante que os dados em repouso sejam criptografados com uma chave gerenciada por você, e não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços no escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso serão criptografados automaticamente usando as próprias chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu. |
gcp.restrictCmekCryptoKeyProjects |
Defina como todos os recursos na pasta ITAR que você criou. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves KMS para criptografar dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo. |
gcp.restrictServiceUsage |
Defina para permitir todos os serviços no escopo. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalLoadBalancing |
Definido como Verdadeiro. Desativa a criação de produtos globais de balanceamento de carga. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
compute.disableGlobalSelfManagedSslCertificate |
Definido como Verdadeiro. Desativa a criação de certificados SSL globais autogerenciados. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
compute.disableInstanceDataAccessApis |
Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e
instances.getScreenshot().Ativar essa política da organização impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte:
|
compute.disableNestedVirtualization |
Definido como Verdadeiro. Desativa a virtualização aninhada acelerada por hardware em todas as VMs do Compute Engine na pasta ITAR. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
compute.enableComplianceMemoryProtection |
Definido como Verdadeiro. Desativa alguns recursos de diagnóstico interno para fornecer proteção adicional do conteúdo da memória quando ocorre uma falha de infraestrutura. Alterar esse valor pode afetar a residência de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
compute.restrictNonConfidentialComputing |
(Opcional) O valor não está definido. Defina esse valor para oferecer mais defesa em profundidade. Consulte a documentação sobre VMs confidenciais para mais informações. |
compute.restrictLoadBalancerCreationForTypes |
Defina para permitir todos os valores, exceto GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS. Consulte
Escolher um balanceador de carga para mais informações.
|
Restrições da política da organização do Google Kubernetes Engine
| Restrição da política da organização | Descrição |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Definido como Verdadeiro. Usado para desativar a análise agregada de problemas de kernel, que é necessária para manter o controle soberano de uma carga de trabalho. Mudar esse valor pode afetar a soberania de dados na sua carga de trabalho. Recomendamos manter o valor definido. |
Recursos afetados
Esta seção lista como os recursos ou capacidades de cada serviço são afetados pelo ITAR, incluindo os requisitos do usuário ao usar um recurso.
Recursos do BigQuery
| Engenharia de | Descrição |
|---|---|
| Como ativar o BigQuery em uma nova pasta | O BigQuery é compatível, mas não é ativado automaticamente quando você cria uma nova pasta Assured Workloads devido a um processo de configuração interno. Normalmente, esse processo termina em dez minutos, mas pode demorar muito mais em algumas circunstâncias. Para verificar se o
processo foi concluído e ativar o BigQuery, siga estas etapas:
Após a conclusão do processo de ativação, será possível usar o BigQuery na pasta do Assured Workloads. |
| Recursos não compatíveis | Os seguintes recursos do BigQuery não têm suporte para compliance com o ITAR e não devem ser usados na CLI do BigQuery. É responsabilidade
do cliente não usá-las no BigQuery para cargas de trabalho
ITAR.
|
| Integrações não compatíveis | As seguintes integrações do BigQuery não são compatíveis
com a ITAR. É responsabilidade do cliente não usá-los com
o BigQuery para cargas de trabalho ITAR.
|
| APIs do BigQuery em conformidade | As seguintes APIs do BigQuery estão em conformidade com o ITAR:
|
| Regiões | O BigQuery está em conformidade com a ITAR para todas as regiões do BigQuery dos EUA, exceto a multirregião dos EUA. A conformidade com a ITAR não pode ser garantida se um conjunto de dados for criado em uma multirregião dos EUA, fora dos EUA ou multirregional fora dos EUA. É responsabilidade do cliente especificar uma região em conformidade com a ITAR ao criar conjuntos de dados do BigQuery. Se uma solicitação de lista de dados da tabela for enviada usando uma região dos EUA, mas o conjunto de dados tiver sido criado em outra região, o BigQuery não poderá inferir qual região o cliente pretendia, e a operação falhará com uma mensagem de erro "conjunto de dados não encontrado". |
| Console do Google Cloud | A interface do usuário do BigQuery no console do Google Cloud está em
conformidade com o ITAR.
|
| CLI do BigQuery | A CLI do BigQuery está em conformidade com o ITAR.
|
| SDK Google Cloud | Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos do ITAR. Para verificar a
versão atual do SDK Google Cloud, execute gcloud --version e, em seguida,
gcloud components update para atualizar para a versão mais recente.
|
| Controles do administrador | O BigQuery vai desativar as APIs que não estiverem em conformidade, mas os administradores de clientes com permissões suficientes para criar uma pasta do Assured Workloads poderão ativar uma API que não está em conformidade. Se isso ocorrer, o cliente será notificado sobre possíveis conteúdos que não estejam em conformidade pelo painel de monitoramento do Assured Workloads. |
| Como carregar os dados | Os conectores do serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS), do Google, provedores externos de armazenamento em nuvem e data warehouses não estão em conformidade com o ITAR. É responsabilidade do cliente não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho ITAR. |
| Transferências de terceiros | O BigQuery não verifica a conformidade com o ITAR para transferências de terceiros do serviço de transferência de dados do BigQuery. É responsabilidade do cliente verificar a conformidade com o ITAR ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery. |
| Modelos do BQML incompatíveis | Os modelos BQML treinados externamente não estão em conformidade com o ITAR. |
| Jobs de consulta | Jobs de consulta com dados técnicos ITAR devem ser criados apenas em projetos ITAR. |
| Consultas em conjuntos de dados ITAR de projetos não ITAR | O BigQuery não impede que os conjuntos de dados ITAR sejam consultados em
projetos não ITAR. Os clientes precisam garantir que qualquer consulta que tenha uma leitura
ou uma junção de dados técnicos do ITAR seja colocada em uma pasta compatível com ITAR.
Os clientes podem especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery. |
| Cloud Logging | O BigQuery usa o Cloud Logging para alguns dados de registro do cliente.
Os clientes precisam desativar os buckets de geração de registros _default ou
restringir os buckets _default às regiões dos EUA para
manter a conformidade com o ITAR usando o seguinte comando:gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sinkConsulte esta página para mais informações. |
Recursos do Compute Engine
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Compute Engine a seguir não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI:
|
| VMs da Solução Bare Metal | É sua responsabilidade não usar VMs da Solução Bare Metal (VMs o2), porque
elas não estão em conformidade com o ITAR.
|
| VMs do Google Cloud VMware Engine | É sua responsabilidade não usar as VMs do Google Cloud VMware Engine, porque elas não estão em conformidade com o ITAR.
|
| Como criar uma instância de VM C3 | Este recurso está desativado. |
| Como usar discos permanentes ou os respectivos snapshots sem CMEK | Não é possível usar discos permanentes ou os respectivos snapshots, a menos que eles tenham sido criptografados com CMEK. |
| Como criar VMs aninhadas ou que usam virtualização aninhada | Não é possível criar VMs aninhadas ou que usam virtualização aninhada. Esse recurso é desativado pela restrição da política da organização compute.disableNestedVirtualization
descrita na seção acima.
|
| Como adicionar um grupo de instâncias a um balanceador de carga global | Não é possível adicionar um grupo de instâncias a um balanceador de carga global. Esse recurso é desativado pela restrição da política da organização compute.disableGlobalLoadBalancing
descrita na seção acima.
|
| Como rotear solicitações para um balanceador de carga HTTPS externo multirregional | Não é possível rotear solicitações para um balanceador de carga HTTPS externo multirregional. Este recurso é desativado pela restrição da política da organização compute.restrictLoadBalancerCreationForTypes
descrita na seção acima.
|
| Como compartilhar um disco permanente SSD no modo de vários gravadores | Não é possível compartilhar um disco permanente SSD no modo de várias gravações entre instâncias de VM. |
| Como suspender e retomar uma instância de VM | Este recurso está desativado. Suspender e retomar uma instância de VM requer armazenamento em disco permanente, e o armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices
na seção acima para entender as implicações da residência
de dados ao ativar esse recurso.
|
| SSDs locais | Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices
na seção acima para entender as implicações da residência
de dados ao ativar esse recurso.
|
| Ambiente para convidado |
Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso.
Dependendo da configuração da VM, as atualizações desse software podem ser
instaladas por padrão. Consulte
Ambiente convidado para ver informações específicas sobre
o conteúdo de cada pacote, o código-fonte e mais. Esses componentes ajudam você a atender à residência de dados por meio de processos e controles de segurança internos. No entanto, para usuários que querem mais controle, também é possível selecionar suas próprias imagens ou agentes e usar a restrição da política da organização compute.trustedImageProjects.
Consulte a página Como criar uma imagem personalizada para mais informações. |
instances.getSerialPortOutput() |
Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções
nesta página.
|
instances.getScreenshot() |
Essa API está desativada. Você não receberá uma captura de tela da
instância especificada usando essa API. Altere o valor de restrição da política da organização compute.disableInstanceDataAccessApis
para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções
nesta página.
|
Recursos do Cloud DNS
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud DNS não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Interconnect
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Interconnect não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| VPN de alta disponibilidade (HA) | É necessário ativar a funcionalidade VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com o Cloud VPN. Além disso, você precisa aderir aos requisitos de criptografia e regionalização listados nesta seção. |
Recursos do Cloud Load Balancing
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Load Balancing não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Balanceadores de carga regionais | Use apenas balanceadores de carga regionais com ITAR. Consulte as páginas a seguir para mais informações sobre a configuração de balanceadores de carga regionais: |
Recursos do Cloud Logging
Para usar o Cloud Logging com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), conclua as etapas na página Ativar CMEK para uma organização na documentação do Cloud Logging.
| Engenharia de | Descrição |
|---|---|
| Coletores de registros | Não coloque informações sensíveis (dados do cliente) nos filtros do coletor. Os filtros do coletor são tratados como dados de serviço. |
| Entradas de registro de acompanhamento ao vivo | Não crie filtros que contenham dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de tailing não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. |
| Alertas com base em registros | Este recurso está desativado. Não é possível criar alertas baseados em registros no console do Google Cloud. |
| URLs encurtados para consultas do Buscador de registros | Este recurso está desativado. Não é possível criar URLs encurtados de consultas no console do Google Cloud. |
| Salvar consultas no Buscador de registros | Este recurso está desativado. Não é possível salvar consultas no console do Google Cloud. |
| Registrar análises usando o BigQuery | Este recurso está desativado. Não é possível usar o recurso de análise de registros. |
Recursos do Network Connectivity Center
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Network Connectivity Center não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud NAT
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud NAT não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Router
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud Router não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud Storage
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Para manter a conformidade com o ITAR, é sua responsabilidade usar o Console Judiciário do Google Cloud. O console de jurisdição impede o upload e o download de objetos do Cloud Storage. Para fazer o upload e o download de objetos do Cloud Storage, consulte a linha Endpoints de API em conformidade abaixo. |
| Endpoints de API em compliance | Use um dos endpoints de localização em conformidade com o ITAR com o Cloud Storage. Os endpoints locais estão disponíveis para todas as regiões,
para a multirregião dos EUA e para a birregional predefinida NAM4.
Os endpoints locais não estão disponíveis para regiões birregionais que não sejam a
birregional NAM4. Consulte esta página para mais informações sobre locais no Cloud Storage.
|
| Restrições | Use os endpoints locais do Cloud Storage para estar em
conformidade com o ITAR. Para mais informações sobre endpoints
de local do Cloud Storage para ITAR, consulte
Endpoints locais para
conformidade com o ITAR. As operações a seguir não são compatíveis com endpoints locais. No entanto, essas operações não transportam dados do cliente conforme definido nos termos de serviço de residência de dados. Portanto, é possível usar endpoints globais para essas operações conforme necessário sem violar a conformidade com o ITAR: |
| Copiar e reescrever objetos | As operações de cópia e regravação de objetos serão aceitas por endpoints de localização se os buckets de origem e de destino estiverem localizados na região especificada no endpoint. No entanto, não é possível usar endpoints locais para copiar ou regravar um objeto de um bucket para outro se os buckets existirem em locais diferentes. É possível usar endpoints globais para copiar ou reescrever em vários locais, mas isso não é recomendado porque isso pode violar a conformidade com o ITAR. |
Recursos do GKE
| Engenharia de | Descrição |
|---|---|
| Restrições de recursos de cluster | Verifique se a configuração do cluster não usa recursos para
serviços não suportados no programa de conformidade ITAR. Por exemplo,
a configuração a seguir é inválida porque requer a ativação ou
o uso de um serviço sem suporte:
set `binaryAuthorization.evaluationMode` to `enabled`
|
Recursos de VPC
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos de rede VPC não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
Recursos do Cloud VPN
| Engenharia de | Descrição |
|---|---|
| Console do Google Cloud | Os recursos do Cloud VPN não estão disponíveis no console do Google Cloud. Use a API ou a Google Cloud CLI. |
| Criptografia | Use apenas criptografias em conformidade com o FIPS 140-2 ao criar
certificados e configurar a segurança de IP. Consulte esta página para mais informações sobre criptografias compatíveis com o Cloud VPN. Para
conferir orientações sobre como selecionar uma criptografia em conformidade com os padrões FIPS 140-2,
consulte esta página. No momento, não é possível mudar uma criptografia atual no Google Cloud. Configure a criptografia no dispositivo de terceiros usado com o Cloud VPN. |
| Endpoints de VPN | Use apenas endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado para uso somente em uma região dos EUA. |
A seguir
- Saiba mais sobre o pacote de controle ITAR.
- Saiba quais produtos são compatíveis com cada pacote de controle.