Assured Workloads 中的共担责任

本页介绍了 Assured Workloads 中的共担责任。如需了解 Google Cloud 中的共担责任的一般信息,请参阅 Google Cloud 上的共担责任和命运共同体

数据责任共担

您要精通公司的安全和监管要求, 了解保护机密数据和资源的要求。在 Google Cloud 上运行工作负载时,必须确定您需要在 Google Cloud 中配置的安全控制措施,以帮助保护机密数据和每个工作负载。要决定 实施安全控制措施时,必须考虑以下因素:

  • 法规遵从义务
  • 组织的安全标准和风险管理计划
  • 客户和供应商的安全要求

保护您的数据是 Google 所有 基础架构、产品和人事运营。Google Cloud 为许多数据类型(包括客户数据服务数据)提供强大的安全保障。不过,如果您的工作负载必须满足特定的监管要求,或者受要求实施更高级别安全控制的国家标准约束,您的内部政策可能与默认配置选项不同。如果您有这样 但我们建议您采用其他工具和技术来帮助确保满足 合规性,并让您的团队遵循数据管理方面的最佳实践, 信息安全管理。

配置 Google Cloud 和 Assured Workloads 以实现共担责任

作为任何公共云的用户,客户在以下方面负有责任:

  • 了解数据的哪些部分有不同的合规性和安全要求。 大多数云客户都有一些 IT 基础设施,这些基础设施需要一般商业安全; 一些客户拥有特定数据(如健康数据),这些数据必须符合更高的合规性要求 。Assured Workloads 有助于满足更高级别的合规性要求。将所有具有特定访问权限或数据驻留要求的敏感数据或受监管数据放入适当的 Assured Workloads 文件夹或项目中,并将其保留在该位置。
  • 配置 Identity and Access Management (IAM) 以确保贵组织的内容 均由相关人员访问和修改。
  • 创建和整理组织层次结构,使其不会泄露个人信息。
  • 确保您已阅读所有文档,了解并遵循最佳实践。
  • 在技术支持会话和问题排查期间谨慎分享信息,并确保敏感数据或受监管数据不会存储或共享在合规的 Assured Workloads 文件夹之外

敏感数据或受监管数据的范围可能会因多种因素而异,包括您或您的客户受约束的法规,并且可能包括:

  • 账号信息
  • 健康信息
  • 客户或用户的个人身份信息
  • 持卡人数据
  • ID 号

Google 在共担责任模型中的责任

在 Google 与客户之间建立的共同责任伙伴关系中,Google 负责构建成功云业务的基础要素和基础架构,其中一些要素和架构需要客户承担责任,配置 Google Cloud 以充分保护其数据。Google 的责任示例 包括:

  • 应用默认加密基础架构控制
  • 强制执行您设置的 IAM 政策,以限制对您指定的身份的工作负载管理和数据访问权限。
  • 配置并强制执行客户选择的 选择的合规制度(针对您已配置它的资源中的受保护数据类型) 。这包括对数据的存储位置以及 Google 员工可以存储哪些数据的限制 在他们的相应业务活动过程中访问您数据的权限。
  • 通过 Assured Workloads 为受监管行业和位置敏感数据提供配置和控制。
  • 提供 组织政策资源设置 您可以在整个文件夹和项目的层次结构中配置政策。
  • 提供 Policy Intelligence 工具,可让您深入了解账号和资源的访问权限。

特定于欧洲和欧盟的配置

使用适用于欧盟区域的 Assured Workloads 或适用于欧盟的主权控制时,客户 以及 Google Cloud 上提供的 GDPR 保证,以及额外的技术控制措施, 来调整数据驻留和安全控制措施,以满足合规性要求。部分 其中包括:

  • 欧盟数据边界(详见 数据驻留
  • 将支持请求转给位于欧盟境内的欧盟人(包括子处理方)。
  • 查看管理员访问权限请求和访问情况。
  • 基于政策的访问权限审批(仅限主权控制)。
  • 数据加密和密钥管理的自定义选项。

不建议用于敏感数据或受监管数据的常见字段示例

我们强烈建议所有受监管和主权客户在输入时要谨慎 将数据传输到 Google Cloud 服务请务必避免添加敏感数据或受监管数据 可能不受技术控制措施保护或未包含在 Assured Workloads 技术控制边界。这种做法对于确保 监管要求,并保护你的敏感信息或受监管信息。为方便您参考,我们列出了各种 Google Cloud 服务中需要特别注意的一些示例。

避免将您的敏感数据或受监管数据放置在以下通用字段中:

  • 资源名称和 ID
  • 项目或文件夹的名称和 ID
  • 任何说明字段或标签
  • 基于日志的指标
  • 虚拟机大小和类似的服务配置
  • URI 或文件路径
  • 时间戳
  • 用户 ID
  • 防火墙规则
  • 安全扫描配置
  • 客户 IAM 政策

后续步骤