Tanggung jawab bersama di Assured Workloads

Halaman ini menjelaskan tanggung jawab bersama di Assured Workloads. Sebagai informasi umum tentang tanggung jawab bersama di Google Cloud, lihat Tanggung jawab bersama dan shared fate di Google Cloud.

Tanggung jawab bersama atas data

Anda adalah ahli dalam mengetahui persyaratan keamanan dan peraturan untuk bisnis Anda dan mengetahui persyaratan untuk melindungi data dan sumber daya rahasia Anda. Saat Anda menjalankan di Google Cloud, Anda harus mengidentifikasi kontrol keamanan yang perlu dikonfigurasi di Google Cloud untuk membantu melindungi data rahasia dan setiap workload Anda. Untuk memutuskan yang diterapkan, Anda harus mempertimbangkan faktor-faktor berikut:

  • Kewajiban kepatuhan terhadap peraturan Anda
  • Standar keamanan dan rencana manajemen risiko organisasi Anda
  • Persyaratan keamanan pelanggan dan vendor Anda

Perlindungan data Anda adalah pertimbangan desain utama bagi semua infrastruktur, produk, dan operasi personel. Google Cloud memberikan keamanan yang kuat bagi berbagai jenis data, termasuk Data Pelanggan dan Data Layanan. Namun, jika workload Anda harus persyaratan peraturan khusus atau tunduk pada standar nasional yang membutuhkan keamanan tinggi kebijakan internal Anda mungkin berbeda dengan opsi konfigurasi default. Jika Anda memiliki persyaratan layanan, sebaiknya gunakan alat dan teknik tambahan untuk membantu kepatuhan dan memungkinkan tim Anda untuk mengikuti praktik terbaik manajemen data manajemen pengamanan cyber.

Mengonfigurasi Google Cloud dan Assured Workloads untuk tanggung jawab bersama

Area berikut adalah tanggung jawab pelanggan sebagai pengguna cloud publik apa pun:

  • Memahami bagian mana dari data Anda yang memiliki persyaratan kepatuhan dan keamanan yang berbeda. Sebagian besar pelanggan {i>cloud<i} memiliki beberapa infrastruktur IT yang membutuhkan keamanan komersial umum, dan beberapa pelanggan memiliki data spesifik, seperti data kesehatan, yang harus memenuhi persyaratan. Assured Workloads dapat membantu memenuhi persyaratan kepatuhan yang lebih tinggi tersebut. Tempatkan data sensitif atau yang diregulasi dengan persyaratan akses atau residensi khusus di dalam Assured Workloads dengan folder atau project dan simpan di sana.
  • Mengonfigurasi Identity and Access Management (IAM) untuk memastikan bahwa konten organisasi Anda diakses dan dapat diubah oleh petugas yang tepat.
  • Membuat dan mengatur hierarki organisasi Anda sedemikian rupa sehingga tidak mengekspos layanan otomatis dan data skalabel.
  • Memastikan Anda telah membaca semua dokumentasi untuk memahami dan mengikuti praktik terbaik.
  • Berbagi informasi dengan bijak selama sesi dukungan teknis dan pemecahan masalah, dan tidak menempatkan atau membagikan data yang sensitif atau diatur di luar Assured Workloads yang mematuhi kebijakan folder.

Cakupan data yang sensitif atau diatur dapat bervariasi bergantung pada banyak faktor, termasuk peraturan Anda atau pelanggan Anda tunduk kepada dan dapat mencakup:

  • Informasi akun
  • Informasi kesehatan
  • ID pribadi untuk pelanggan atau pengguna
  • Data pemegang kartu
  • Nomor ID

Tanggung jawab Google dalam model tanggung jawab bersama

Dalam kemitraan tanggung jawab bersama antara Google dan pelanggan, Google menerapkan tanggung jawab terhadap elemen dan infrastruktur dasar dalam membangun cloud yang sukses beberapa di antaranya mengandalkan pelanggan yang mengemban tanggung jawabnya untuk mengonfigurasi Google Cloud untuk melindungi data mereka secara memadai. Contoh tanggung jawab Google termasuk:

  • Menerapkan enkripsi default dan kontrol infrastruktur.
  • Menegakkan kebijakan IAM yang Anda tetapkan untuk membatasi administrasi workload dan akses data ke identitas yang Anda identifikasi.
  • Mengonfigurasi dan menerapkan kontrol Assured Workloads yang dipilih pelanggan yang terkait dengan sistem kepatuhan yang dipilih, untuk jenis data yang dilindungi di resource yang telah Anda konfigurasi untuk mereka. Hal ini mencakup batasan tempat data akan disimpan dan karyawan Google mana yang dapat memiliki akses ke data Anda selama aktivitas bisnis mereka yang sesuai.
  • Memberikan konfigurasi dan kontrol melalui Assured Workloads untuk industri yang diregulasi dan data sensitif lokasi.
  • Menyediakan Kebijakan organisasi dan setelan resource yang memungkinkan Anda mengonfigurasi kebijakan di seluruh hierarki folder dan project.
  • Menyediakan alat Policy Intelligence yang memberikan insight tentang akses ke akun dan resource.

Konfigurasi khusus untuk Eropa dan Uni Eropa

Saat menggunakan Assured Workloads untuk Wilayah Uni Eropa atau Kontrol Berdaulat untuk Uni Eropa, pelanggan memiliki kontrol teknis tambahan selain jaminan GDPR yang dibuat di Google Cloud bahwa mereka dapat untuk menyesuaikan residensi dan kontrol keamanan data sebagai bagian dari upaya kepatuhan mereka. Agak besar kontrol ini mencakup:

  • Batas data Uni Eropa sebagaimana dijelaskan lebih lanjut di Residensi data.
  • Mendukung pemilihan rute ke pengguna Uni Eropa di lokasi Uni Eropa, termasuk subpemroses.
  • Visibilitas terkait akses dan permintaan Akses Administratif.
  • Persetujuan akses berbasis kebijakan (khusus Kontrol Pemerintah).
  • Opsi kustom untuk enkripsi data dan pengelolaan kunci.

Contoh kolom umum yang tidak direkomendasikan untuk data sensitif atau yang diregulasi

Kami sangat menyarankan semua pelanggan yang teregulasi dan berdaulat untuk berhati-hati saat memasukkan data ke layanan Google Cloud. Pastikan untuk tidak menambahkan data sensitif atau yang diatur undang-undang ke dalam bidang input umum yang mungkin tidak dilindungi oleh kontrol teknis atau tidak disertakan dalam Batas kontrol teknis Assured Workloads. Praktik ini diperlukan untuk menjaga kepatuhan terhadap persyaratan peraturan dan mengamankan informasi yang sensitif atau diatur. Untuk membantu Anda, kami mengumpulkan daftar contoh di berbagai layanan Google Cloud yang memerlukan kewaspadaan ekstra tidak diperlukan.

Hindari menempatkan data yang sensitif atau diatur di kolom umum berikut:

  • Nama dan ID resource
  • Nama dan ID project atau folder
  • Semua kolom deskripsi atau label
  • Metrik berbasis log
  • Ukuran VM dan konfigurasi layanan serupa
  • URI atau jalur file
  • Stempel waktu
  • ID Pengguna
  • Aturan firewall
  • Konfigurasi pemindaian keamanan
  • Kebijakan IAM pelanggan

Langkah selanjutnya