Assured Workloads의 책임 공유

이 페이지에서는 Assured Workloads의 책임 공유를 설명합니다. Google Cloud의 책임 공유에 대한 일반적인 정보는 Google Cloud의 책임 공유 및 공통된 운명을 참조하세요.

데이터에 대한 책임 공유

비즈니스의 보안 및 규제 요구사항을 파악하고 기밀 데이터 및 리소스를 보호하기 위한 요구사항을 잘 알고 있는 전문가입니다. Google Cloud에서 워크로드를 실행할 때 기밀 데이터와 각 워크로드를 보호하기 위해 Google Cloud에서 구성해야 하는 보안 제어를 식별해야 합니다. 구현할 보안 제어를 결정하려면 다음 요소를 고려해야 합니다.

  • 규정 준수 의무
  • 조직의 보안 표준 및 위험 관리 계획
  • 고객 및 공급업체의 보안 요구사항

데이터 보호는 Google의 모든 인프라, 제품, 직원의 업무 운영을 위한 기본 설계 고려 사항입니다. Google Cloud는 고객 데이터서비스 데이터를 포함하여 여러 데이터 유형에 대해 강력한 보안을 제공합니다. 그러나 워크로드가 특정 규제 요구사항을 충족해야 하거나 강화된 보안 제어가 필요한 국가 표준의 적용을 받는 경우 내부 정책이 기본 구성 옵션과 다를 수 있습니다. 이러한 요구사항이 있는 경우에는 필요한 규정 준수 수준을 유지하고 팀이 데이터 관리 및 전체 사이버 보안 관리의 권장사항을 따를 수 있도록 하는 데 도움이 되는 추가 도구 및 기법을 채택하는 것이 좋습니다.

책임 공유를 위한 Google Cloud 및 Assured Workloads 구성

다음 영역은 퍼블릭 클라우드 사용자의 고객 책임입니다.

  • 데이터의 어떤 부분에서 규정 준수 및 보안 요구사항이 서로 다른지 파악합니다. 대부분의 클라우드 고객은 일반적인 상용 보안이 필요한 일부 IT 인프라를 가지고 있으며, 일부 고객은 더 높은 규정 준수 요구사항을 충족해야 하는 의료 데이터와 같은 특정 데이터를 보유하고 있습니다. Assured Workloads는 이러한 높은 수준의 규정 준수 요구사항을 충족하는 데 도움이 될 수 있습니다. 특정 액세스 또는 상주 요구사항이 있는 민감한 정보 또는 규제 대상 데이터를 적절한 Assured Workloads 폴더 또는 프로젝트에 배치하고 해당 위치에서 보관합니다.
  • 적절한 인력이 조직의 콘텐츠에 액세스하고 수정할 수 있도록 Identity and Access Management(IAM)를 구성합니다.
  • 개인 정보가 노출되지 않도록 조직 계층 구조를 만들고 구성합니다.
  • 권장사항을 이해하고 따르기 위해 모든 문서를 읽었는지 확인합니다.
  • 기술 지원 세션 및 문제 해결 중에 정보를 신중하게 공유하고 규정을 준수하는 Assured Workloads 폴더 외부에 민감한 데이터 또는 규제 대상 데이터를 배치하거나 공유하지 않습니다.

민감하거나 규제 대상인 데이터의 범위는 개발자 또는 고객이 적용받는 규제 등 여러 요인에 따라 달라질 수 있으며 다음을 포함할 수 있습니다.

  • 계정 정보
  • 건강 정보
  • 고객 또는 사용자의 개인 식별자
  • 카드 소지자 데이터
  • ID 번호

책임 공유 모델에서 Google의 책임

Google과 고객 간의 책임 공유 파트너십에서 Google은 성공적인 클라우드 비즈니스를 구축하는 기본 요소와 인프라에 대한 책임을 지며, 그 중 일부는 데이터를 적절하게 보호하기 위해 Google Cloud를 구성할 책임을 고객에게 맡깁니다. Google의 책임 예시는 다음과 같습니다.

  • 기본 암호화인프라 제어를 적용합니다.
  • 워크로드 관리 및 데이터 액세스를 사용자가 식별하는 ID에 제한하도록 사용자가 설정한 IAM 정책을 적용합니다.
  • 구성한 리소스의 보호된 데이터 유형의 경우 선택한 규정 준수 체계와 관련된 고객이 선택한 Assured Workloads 제어를 구성하고 적용합니다. 여기에는 데이터 저장 위치와 적절한 비즈니스 활동 중에 사용자의 데이터에 액세스할 수 있는 Google 직원에 대한 제한이 포함됩니다.
  • Assured Workloads를 통해 규제 대상 업종 및 위치에 민감한 정보에 대한 구성 및 제어 기능을 제공합니다.
  • 폴더 및 프로젝트의 계층 구조 전반에 정책을 구성할 수 있는 조직 정책리소스 설정을 제공합니다.
  • 계정 및 리소스 액세스에 대한 통계를 제공하는 Policy Intelligence 도구를 제공합니다.

유럽 및 EU 관련 구성

EU 리전용 Assured Workloads 또는 EU용 주권 제어를 사용하는 경우 고객은 규정 준수 노력의 일환으로 Google Cloud에서 제공하는 GDPR 보증 외에도 추가 기술 제어를 통해 데이터 상주 및 보안 제어를 조정할 수 있습니다. 이러한 제어 중 일부는 다음과 같습니다.

  • 데이터 상주에 자세히 설명된 EU 데이터 경계
  • 보조 프로세서를 포함한 EU 위치의 EU 사용자에게 라우팅 지원
  • 관리 액세스 요청 및 액세스 관련 정보 확인
  • 정책 기반 액세스 승인(주권 제어만 해당)
  • 데이터 암호화 및 키 관리를 위한 커스텀 옵션

민감한 정보 또는 규제 대상 데이터에 권장되지 않는 일반 필드의 예시

모든 규제 대상 및 주권 고객은 Google Cloud 서비스에 데이터를 입력할 때 주의하는 것이 좋습니다. 기술 제어로 보호되지 않거나 Assured Workloads 기술 제어 경계에 포함되지 않는 공통 입력 필드에 민감한 정보나 규제 대상 데이터를 추가하지 않는 것이 중요합니다. 이는 규제 요구사항을 준수하고 민감한 정보나 규제 대상 정보를 보호하는 데 필요합니다. 이를 돕기 위해 Google은 각별한 주의가 필요한 다양한 Google Cloud 서비스의 예시 목록을 작성했습니다.

민감한 정보나 규제 대상 데이터를 다음과 같은 공통 필드에 배치하지 마세요.

  • 리소스 이름 및 ID
  • 프로젝트 또는 폴더 이름 및 ID
  • 설명 필드 또는 라벨
  • 로그 기반 측정항목
  • VM 크기 및 유사한 서비스 구성
  • URI 또는 파일 경로
  • 타임스탬프
  • 사용자 ID
  • 방화벽 규칙
  • 보안 스캔 구성
  • 고객 IAM 정책

다음 단계