Vista geral do Assured Workloads
O Assured Workloads permite que as organizações dos setores público e privado configurem um limite de dados e acesso soberano com controlos de residência, acesso e pessoal para cargas de trabalho sensíveis na nuvem. Pode usar os Assured Workloads para simplificar a gestão e a configuração de cargas de trabalho regulamentadas aplicando pacotes de controlos predefinidos a pastas. O Assured Workloads permite-lhe executar cargas de trabalho em conformidade, mantendo as vantagens de escala, custo e disponibilidade de serviços da infraestrutura de nuvem comercial.
Exemplos de utilização do Assured Workloads
Use os Assured Workloads se a sua organização tiver de garantir a conformidade com requisitos regulamentares, regionais ou de soberania específicos. Por exemplo, os Assured Workloads permitem que as seguintes organizações cumpram as respetivas obrigações de conformidade:
- Organizações com regulamentos rigorosos para o armazenamento de dados, a gestão de chaves e o acesso (como serviços financeiros, cuidados de saúde e organismos governamentais).
- Organizações que têm de armazenar os respetivos dados em determinadas regiões ou países.
- Organizações que têm de controlar Google Cloud o acesso do pessoal aos respetivos dados.
Capacidades do Assured Workloads
O Assured Workloads oferece várias capacidades para ajudar a cumprir os seus requisitos regulamentares e de conformidade, incluindo o seguinte:
- Limites de dados regionais e limites de dados regulamentares para a aplicação da conformidade
- Controlos de acesso aos dados do pessoal
- Controlos de gestão de chaves de encriptação
- Atualizações de conformidade
- Monitorização de violações
As secções seguintes descrevem estas capacidades.
Controle pacotes
Os pacotes de controlo são a base da aplicação da conformidade para as cargas de trabalho garantidas. Os pacotes de controlo do Assured Workloads estão disponíveis para os seguintes tipos de controlos: limites de dados regionais, limites de dados regulamentares e controlos soberanos por parceiros. Quando cria uma pasta do Assured Workloads para um pacote de controlos específico, os controlos no pacote de controlos definem limites para todos os projetos e recursos na pasta. Estes controlos são aplicados através de restrições da política da organização e outras funcionalidades.
O suporte para produtos e serviços do Google Cloud varia consoante o pacote de controlos. Para mais informações, consulte o artigo Produtos suportados por pacote de controlo.
Limites de dados regionais
Os pacotes de controlo de limites de dados regionais suportam os requisitos de residência dos dados ao restringirem a localização geográfica onde os recursos podem ser armazenados. Algumas fronteiras de dados também lhe permitem exercer um controlo independente sobre o acesso da Google aos seus dados, como aprovar o acesso apenas para comportamentos específicos do fornecedor que considera adequados e necessários.
Estes limites de dados permitem-lhe especificar uma Google Cloud região onde os seus dados têm de residir e impedem o armazenamento de dados fora dessa região. Por exemplo, se o pacote de controlos do limite de dados da UE for aplicado, os controlos de residência de dados são implementados para restringir a utilização de recursos a regiões apenas da UE. Os Assured Workloads oferecem vários limites de dados regionais para aplicar restrições de residência de dados e controlo de acesso ao apoio técnico do pessoal da Google.
Para mais informações sobre o Assured Workloads e a residência de dados, consulte o artigo Residência de dados.
Fronteiras de dados regulamentares
Os pacotes de controlo de limites de dados regulamentares permitem implementar um conjunto de controlos para cumprir um requisito regulamentar ou de conformidade específico. Google Cloud Inclui limites de dados regulamentares para o seguinte:
- Sistemas de informação de justiça criminal (CJIS)
- FedRAMP Moderate e FedRAMP High
- Controlos de cuidados de saúde e ciências da vida (com ou sem apoio técnico nos EUA) para Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) e Health Information Trust Alliance (HITRUST)
- Nível de impacto 2 (IL2), nível de impacto 4 (IL4) e nível de impacto 5 (IL5)
- Regulamento Para o Comércio de Armamento (ITAR)
- Publicação 1075 do IRS
Para ver uma lista completa, consulte o artigo Limites de dados regulamentares.
Controlos soberanos por parceiros
Os Assured Workloads também oferecem pacotes de controlo operados e geridos por parceiros através dos controlos soberanos por parceiros. Os controlos soberanos por parceiros permitem-lhe usar um parceiro local de confiança para gerir chaves de encriptação, justificação de acesso e auditorias. Estes pacotes de controlos ajudam a aplicar a residência de dados e fornecem configurações de segurança que abrangem aspetos críticos da infraestrutura na nuvem, como a encriptação e a gestão de chaves.
Controlo do acesso do pessoal da Google aos seus dados
Pode controlar que funcionários da Google podem aceder aos seus dados quando realizam tarefas de apoio técnico. O Apoio técnico Assured para Assured Workloads é uma funcionalidade adicional do Google Cloud Customer Care disponível com o Apoio técnico Avançado ou o Apoio técnico Premium. Quando usado, o pessoal do apoio técnico da Google tem de cumprir determinados requisitos de atributos geográficos e baseados no pessoal. Consoante o pacote de controlos, os controlos de pessoal são implementados com base em critérios como a respetiva região ou o cumprimento de determinados requisitos de verificação de antecedentes. Por exemplo, os controlos de acesso que suportam o FedRAMP High exigem que todo o pessoal de apoio técnico da Google de primeiro e segundo nível e os subprocessadores estejam localizados nos EUA e cumpram os requisitos de verificação de antecedentes melhorados.
Para mais informações sobre o apoio técnico garantido para cargas de trabalho garantidas, consulte o artigo Receber apoio técnico.
Gestão de chaves
Consoante o pacote de controlos, estão disponíveis vários controlos de gestão de chaves para apoiar a conformidade regulamentar. Por exemplo, o limite de dados para o pacote de controlo da ITAR requer a utilização de chaves de encriptação geridas pelo cliente (CMEKs). Para permitir a separação de funções, o limite de dados para o pacote de controlo da ITAR usa um projeto de gestão de chaves que está separado de outros recursos implementados e cria um anel de chaves exclusivo para armazenamento numa localização de conformidade. Os Assured Workloads também oferecem suporte para Google-owned and Google-managed encryption keys (em conformidade com a norma FIPS-140-2), CMEKs, Cloud External Key Manager (Cloud EKM) e importação de chaves para outros pacotes de controlos.
Para mais informações sobre a gestão de chaves, consulte o artigo Apoiar a conformidade com a gestão de chaves.
Atualizações de cargas de trabalho
As atualizações de cargas de trabalho permitem-lhe avaliar e manter as configurações do pacote de controlo. À medida que são feitas melhorias aos pacotes de controlo disponíveis, pode avaliar se as configurações da pasta do Assured Workloads implementadas são iguais à versão disponível mais recente. Se estiver disponível uma versão de configuração mais recente, pode aplicar atualizações à pasta Assured Workloads para atualizar para a versão mais recente.
Monitorização de violações
O Assured Workloads monitoriza as violações de restrições da política da organização e as violações de recursos para fornecer estatísticas sobre a conformidade de um pacote de controlos implementado. Pode ativar as notificações por email para violações de políticas da organização ou quando é adicionada uma exceção de violação. Estas notificações incluem informações sobre a pasta do Assured Workloads, os registos de auditoria e as políticas da organização afetadas para permitir uma revisão informada e a correção das causas da não conformidade.
Para mais informações sobre a monitorização, consulte o artigo Monitorize uma pasta do Assured Workloads para verificar se existem violações.
Serviços para controlo de acesso e visibilidade
Os seguintes Google Cloud serviços oferecem opções para controlar e fornecer visibilidade do acesso aos dados e das chaves de encriptação. Pode usar estes serviços em combinação com os Assured Workloads para ajudar a cumprir as suas necessidades baseadas na conformidade.
| Google Cloud serviço | Descrição |
|---|---|
A aprovação de acesso oferece controlo sobre o acesso do pessoal da Google aos seus dados. Um administrador de cliente autorizado na sua organização
tem de aprovar um pedido antes de um administrador da Google receber acesso. Os pedidos de acesso aprovados são registados com registos da Transparência de acesso associados ao pedido de aprovação. Depois de um pedido ser aprovado, o acesso tem de ser devidamente
privilegiado na Google antes de ser permitido. Quando usado com o Assured Workloads, as condições do pedido de aprovação de acesso são secundárias em relação às garantias de acesso do pessoal do Assured Workloads aplicadas. Para mais informações, consulte o artigo Como funciona a aprovação de acesso com os Assured Workloads. |
|
A Transparência de acesso permite-lhe ver os registos de atividade do pessoal autorizado pela Google. Estes registos fornecem detalhes sobre ações relacionadas com o processamento de um pedido de apoio técnico e ações relacionadas com a disponibilidade do serviço. |
|
As justificações de acesso a chaves permitem o controlo da visualização e aprovação de pedidos de acesso a chaves no Cloud KMS ou em determinados parceiros de gestão de chaves externos. Pode aprovar ou recusar pedidos com base na justificação. Dependendo do pacote de controlos do Assured Workloads, pode usar as Justificações de acesso às chaves com chaves do EKM do Cloud, chaves do HSM do Cloud ou chaves de software do Cloud KMS. |
Controle o aviso de mudança do nome do pacote
O Assured Workloads usa pacotes de controlos para se referir a conjuntos de controlos
que suportam a base de referência para uma estrutura de conformidade, um estatuto ou um regulamento.
O controlo dos nomes dos pacotes na consola e nas APIs foi alterado a partir de junho de 2025.
Estes novos nomes também se refletem nas enumerações ComplianceRegime usadas quando cria uma nova carga de trabalho através da API Assured Workloads. Apenas os nomes foram alterados. A funcionalidade subjacente não foi alterada.
A tabela seguinte descreve os pacotes de controlo novos e anteriores.
| Nome futuro | Nome atual |
|---|---|
Limite de dados da Austrália |
Regiões da Austrália |
Limite dos dados e apoio técnico da Austrália |
Regiões da Austrália com apoio técnico garantido |
Limite de dados do Brasil |
Regiões do Brasil |
Limite de dados do Canadá |
Regiões do Canadá |
Limite dos dados e apoio técnico do Canadá |
Regiões e apoio técnico do Canadá |
Limite de dados do Chile |
Regiões do Chile |
Limite de dados para bens controlados no Canadá |
Bens controlados no Canadá |
Limite dos dados para a Proteção B do Canadá |
Proteção B do Canadá |
Limite de dados para os CJIS |
Criminal Justice Information Systems (CJIS) |
Limite de dados para FedRAMP High |
FedRAMP High |
Limite de dados para FedRAMP Moderate |
FedRAMP Moderate |
Limite dos dados para o nível de impacto 2 (IL2) |
Nível de impacto 2 (IL2) |
Limite de dados para o nível de impacto 4 (IL4) |
Nível de impacto 4 (IL4) |
Limite dos dados para o nível de impacto 5 (IL5) |
Nível de impacto 5 (IL5) |
Limite dos dados para a publicação 1075 do IRS |
Publicação 1075 do IRS |
Limite de dados para ITAR |
Regulamento Para o Comércio de Armamento (ITAR) |
Limite de dados da UE |
Regiões da UE |
Apoio técnico e limite de dados da UE |
Regiões e apoio técnico da UE |
Limite de dados da UE com justificações de acesso |
Controlos soberanos para a UE |
Limite de dados de Hong Kong |
Regiões de Hong Kong |
Limite de dados da Índia |
Regiões da Índia |
Limite de dados da Indonésia |
Regiões da Indonésia |
Limite de dados de Israel |
Regiões de Israel |
Apoio técnico e limite de dados de Israel |
Regiões e apoio técnico de Israel |
Limite de dados do Japão |
Regiões do Japão |
Limite de dados do Reino da Arábia Saudita com justificações de acesso |
Controlos soberanos para o Reino da Arábia Saudita (KSA) |
Limite de dados do Catar |
Regiões do Catar |
Limite de dados de Singapura |
Regiões de Singapura |
Limite de dados da África do Sul |
Regiões da África do Sul |
Limite de dados da Coreia do Sul |
Regiões da Coreia do Sul |
Limite de dados da Suíça |
Regiões da Suíça |
Limite de dados de Taiwan |
Regiões de Taiwan |
Limite de dados do Reino Unido |
Regiões do Reino Unido |
Limite de dados dos EUA |
Regiões dos EUA |
Apoio técnico e limite de dados dos EUA |
Regiões e apoio técnico dos EUA |
Limite de dados dos EUA para o setor de cuidados de saúde e ciências da vida |
Controlos de cuidados de saúde e ciências da vida |
Limite de dados dos EUA para o setor de cuidados de saúde e ciências da vida com apoio técnico |
Controlos de cuidados de saúde e ciências da vida com apoio técnico dos EUA |
O que se segue?
- Para informações sobre preços, consulte os preços do Assured Workloads.
- Consulte os pacotes de controlo disponíveis e os produtos suportados.
- Para experimentar o Assured Workloads, inscreva-se no programa de avaliação gratuita.
- Audite o seu Google Cloud ambiente com o Gestor de auditorias.