Tanggung jawab bersama di Assured Workloads

Halaman ini menjelaskan tanggung jawab bersama di Assured Workloads. Untuk informasi umum tentang tanggung jawab bersama di Google Cloud, lihat Tanggung jawab bersama dan konsekuensi bersama di Google Cloud.

Tanggung jawab bersama atas data

Anda adalah pakar dalam mengetahui persyaratan keamanan dan peraturan untuk bisnis, serta mengetahui persyaratan untuk melindungi data dan resource rahasia. Saat menjalankan workload di Google Cloud, Anda harus mengidentifikasi kontrol keamanan yang perlu dikonfigurasi di Google Cloud untuk membantu melindungi data rahasia dan setiap workload. Untuk menentukan kontrol keamanan yang akan diterapkan, Anda harus mempertimbangkan faktor-faktor berikut:

  • Kewajiban kepatuhan terhadap peraturan Anda
  • Standar keamanan dan rencana manajemen risiko organisasi Anda
  • Persyaratan keamanan pelanggan dan vendor Anda

Perlindungan data Anda adalah pertimbangan desain utama untuk semua infrastruktur, produk, dan operasi personel Google. Google Cloud menyediakan keamanan yang kuat untuk banyak jenis data, termasuk Data Pelanggan dan Data Layanan. Namun, jika workload Anda harus memenuhi persyaratan peraturan tertentu atau tunduk pada standar nasional yang memerlukan kontrol keamanan yang ditingkatkan, kebijakan internal Anda mungkin berbeda dengan opsi konfigurasi default. Jika Anda memiliki persyaratan tersebut, sebaiknya gunakan alat dan teknik tambahan untuk membantu mempertahankan tingkat kepatuhan yang diperlukan dan memungkinkan tim Anda mengikuti praktik terbaik pengelolaan data dan pengelolaan keamanan cyber secara keseluruhan.

Mengonfigurasi Google Cloud dan Assured Workloads untuk tanggung jawab bersama

Area berikut adalah tanggung jawab pelanggan sebagai pengguna cloud publik:

  • Memahami bagian data Anda yang memiliki persyaratan kepatuhan dan keamanan yang berbeda. Sebagian besar pelanggan cloud memiliki beberapa infrastruktur IT yang memerlukan keamanan komersial umum, dan beberapa pelanggan memiliki data tertentu, seperti data kesehatan, yang harus memenuhi persyaratan kepatuhan yang lebih tinggi. Assured Workloads dapat membantu memenuhi persyaratan kepatuhan yang lebih tinggi tersebut. Tempatkan data sensitif atau yang diatur dengan persyaratan akses atau residensi tertentu di dalam folder atau project Assured Workloads yang sesuai dan simpan di sana.
  • Mengonfigurasi Identity and Access Management (IAM) untuk memastikan bahwa konten organisasi Anda diakses dan dapat diubah oleh personel yang sesuai.
  • Membuat dan mengatur hierarki organisasi Anda sehingga tidak mengekspos data pribadi.
  • Memastikan Anda telah membaca semua dokumentasi untuk memahami dan mengikuti praktik terbaik.
  • Membagikan informasi dengan cermat selama sesi dukungan teknis dan pemecahan masalah, serta tidak menempatkan atau membagikan data sensitif atau yang diatur di luar folder Assured Workloads yang mematuhi kebijakan.

Cakupan data sensitif atau yang diatur dapat bervariasi bergantung pada banyak faktor, termasuk peraturan yang berlaku bagi Anda atau pelanggan Anda dan dapat mencakup:

  • Informasi akun
  • Informasi kesehatan
  • ID pribadi untuk pelanggan atau pengguna
  • Data pemegang kartu
  • Nomor ID

Tanggung jawab Google dalam model tanggung jawab bersama

Dalam kemitraan tanggung jawab bersama antara Google dan pelanggan, Google mengambil tanggung jawab atas elemen dasar dan infrastruktur untuk membangun bisnis cloud yang sukses, beberapa di antaranya bergantung pada pelanggan yang menjalankan tanggung jawab mereka untuk mengonfigurasi Google Cloud untuk melindungi data mereka secara memadai. Contoh tanggung jawab Google meliputi:

  • Menerapkan enkripsi default dan kontrol infrastruktur.
  • Menerapkan kebijakan IAM yang Anda tetapkan untuk membatasi administrasi workload dan akses data ke identitas yang Anda identifikasi.
  • Mengonfigurasi dan menerapkan kontrol Assured Workloads yang dipilih pelanggan dan terkait dengan rezim kepatuhan yang Anda pilih, untuk jenis data yang dilindungi di resource yang telah Anda konfigurasikan untuknya. Hal ini mencakup batasan terkait tempat data akan disimpan dan karyawan Google mana yang dapat mengakses data Anda selama aktivitas bisnis yang sesuai.
  • Menyediakan konfigurasi dan kontrol melalui Assured Workloads untuk industri yang diatur dan data yang sensitif secara lokasi.
  • Menyediakan Kebijakan organisasi dan setelan resource yang memungkinkan Anda mengonfigurasi kebijakan di seluruh hierarki folder dan project.
  • Menyediakan alat Policy Intelligence yang memberi Anda insight tentang akses ke akun dan resource.

Konfigurasi khusus untuk Eropa dan Uni Eropa

Saat menggunakan Assured Workloads untuk Region Uni Eropa atau Sovereign Controls untuk Uni Eropa, pelanggan memiliki kontrol teknis tambahan di atas jaminan GDPR yang dibuat di Google Cloud yang dapat mereka gunakan untuk menyesuaikan residensi data dan kontrol keamanan sebagai bagian dari upaya kepatuhan mereka. Beberapa kontrol ini mencakup:

  • Batas data Uni Eropa seperti yang dijelaskan lebih lanjut dalam Residensi data.
  • Mendukung pemilihan rute ke orang Uni Eropa di lokasi Uni Eropa, termasuk subpemroses.
  • Visibilitas ke permintaan dan akses Akses Administratif.
  • Persetujuan akses berbasis kebijakan (khusus Kontrol Berdaulat).
  • Opsi kustom untuk enkripsi data dan pengelolaan kunci.

Contoh kolom umum yang tidak direkomendasikan untuk data sensitif atau yang diatur

Kami sangat menyarankan semua pelanggan yang diatur dan berdaulat untuk berhati-hati saat memasukkan data ke layanan Google Cloud . Anda harus menghindari penambahan data sensitif atau yang diatur ke dalam kolom input umum yang mungkin tidak dilindungi oleh kontrol teknis atau tidak disertakan dalam batas kontrol teknis Workload Terjamin. Praktik ini diperlukan untuk mempertahankan kepatuhan terhadap persyaratan peraturan dan melindungi informasi sensitif atau yang diregulasi. Untuk membantu Anda, kami menyusun daftar contoh di berbagai layanan Google Cloud yang memerlukan kewaspadaan ekstra.

Hindari menempatkan data sensitif atau yang diatur dalam kolom umum berikut:

  • Nama dan ID resource
  • Nama dan ID project atau folder
  • Semua kolom atau label deskripsi
  • Metrik berbasis log
  • Ukuran VM dan konfigurasi layanan serupa
  • URI atau jalur file
  • Stempel waktu
  • ID Pengguna
  • Aturan firewall
  • Konfigurasi pemindaian keamanan
  • Kebijakan IAM pelanggan

Langkah selanjutnya