Google Cloud 中的特权访问

本页内容的上次更新时间为 2025 年 2 月，代表截至本文撰写之时的状况。由于我们会不断改善对客户的保护机制，Google 的安全政策和系统今后可能会发生变化。

本文档介绍了可帮助您控制 Google 员工对您客户数据的访问权限的功能和产品。根据 Google Cloud 服务条款中的定义，“客户数据”是指客户或最终用户通过其账号下的服务提供给 Google 的数据。

特权访问权限概览

通常，只有您和您启用的 Google Cloud服务可以访问您的客户数据。在某些情况下，Google 员工可能需要访问您的数据，以便帮助提供合同服务（例如，您需要支持或需要从服务中断中恢复）。这种访问权限称为特权访问权限。

临时被授予或获得高级权限的高特权员工会带来更高的内部人员外泄风险。我们在特权访问方面的做法侧重于减少可能的攻击途径数量。例如，我们使用以下安全控制措施：

• 冗余身份验证方案
• 有限的数据访问途径
• 在我们的系统中记录和提醒操作
• 受监管权限

这种方法有助于我们控制和检测内部攻击、限制事件的影响，并降低数据风险。

Google Cloud 中采用的特权访问权限管理策略会限制 Google 员工查看或修改客户数据。在Google Cloud中，对特权访问权限的限制是我们产品设计工作中不可或缺的一部分。

如需详细了解 Google 人员何时可能会访问您的数据，请参阅云端数据处理附录。

特权访问机制

Google 的特权访问机制遵循以下指导原则：

• 访问权限限制必须基于角色和多方审批：默认情况下，Google 员工会被拒绝访问系统。授予访问权限时，授权只是暂时性的，并且提供的访问权限不得大于执行其角色所需的访问权限。对客户数据的访问权限、对生产系统的关键操作以及对源代码的修改均由手动和自动验证系统控制。在没有其他人员批准请求的情况下，Google 人员无法访问客户数据。相关人员只能访问执行工作所需的资源，并且必须提供正当的理由才能访问客户数据。如需了解详情，请参阅 Google 如何保护其生产服务。

• 工作负载必须具有端到端保护：借助传输中的数据加密、静态数据加密以及用于使用中加密的机密计算， Google Cloud 可以为客户工作负载提供端到端加密。

• 持续记录和审核：Google 员工访问客户数据的操作会记录在日志中，威胁检测系统会进行实时审核，并在日志条目与威胁指标匹配时提醒安全团队。内部安全团队会评估提醒和日志，以识别和调查异常活动，从而限制任何突发事件的范围和影响。如需详细了解突发事件响应，请参阅数据突发事件响应流程。

• 访问权限必须透明且包含客户控制功能：您可以使用客户管理的加密密钥 (CMEK) 来管理自己的加密密钥并控制对其的访问权限。此外，Access Transparency 可确保所有特权访问都记录了业务理由。借助 Access Approval，您可以批准或拒绝 Google 人员对特定数据集的访问请求。

Google 人员对客户数据的访问权限

默认情况下，Google 员工无权访问 Google Cloud 客户数据。

Google 人员必须满足以下条件才能获得访问权限：

• 是相关访问控制列表 (ACL) 的成员。
• 定期阅读并确认 Google 的数据访问权限政策。
• 使用可信设备。
• 使用 Titan 安全密钥通过多重身份验证登录，最大限度地降低凭据被钓鱼式攻击的风险。
• 访问用于评估所提供的理由（例如支持服务工单或问题 ID）、用户的角色和上下文的工具。
• 如果工具需要，请从其他符合条件的 Google 人员处获得授权批准。
• 如果您已注册 Access Approval，请先获得批准。

不同的人员角色需要不同级别的访问权限。例如，支持角色对与客户服务工单直接相关的客户数据的访问权限有限。工程角色可能需要额外的系统权限，才能解决与服务可靠性或部署服务相关的更复杂的问题。

当 Google 与第三方（例如客户支持供应商）合作提供 Google 服务时，我们会对第三方进行评估，确保他们提供适当的安全和隐私保护级别。 Google Cloud 会发布用于协助提供服务的所有子处理方名单。

Google 员工访问客户数据的原因

虽然 Google Cloud 旨在自动执行、最大限度地减少或完全消除 Google 员工访问客户数据的需要，但在某些情况下，Google 员工仍可能会访问客户数据。这些支持请求包括客户发起的支持请求、服务中断或工具故障、第三方法律要求和 Google 发起的审核。

客户发起的支持服务请求

Google 人员访问使用 Access Transparency 的服务中的客户数据通常是客户发起事件（例如联系客户服务团队）的结果。当您与客户服务人员联系以解决问题时，客户服务人员只能访问敏感度较低的数据。例如，如果您失去了对某个存储分区的访问权限，客户服务人员只能访问敏感度较低的数据，例如存储分区名称。

服务中断或工具故障

在服务中断或工具故障期间，Google 人员可以访问客户数据，以根据需要执行备份或恢复操作。在这些情况下，Google 人员会使用可直接访问客户数据的工具，以最大限度地提高效率并及时解决问题。这些工具会记录此访问以及工程师提供的理由。Google 安全响应团队还会审核访问权限并将其记录到日志中。受支持 Google Cloud服务会生成 Access Transparency 日志，您可以在服务中断期间查看这些日志。在服务中断期间，工程师无法绕过资源许可名单；不过，他们可以在未经您批准的情况下访问数据。

第三方法律要求

第三方法律要求很少见，只有法律团队才能生成有效的法律访问权限理由。法律团队会审核要求，确保其符合法律要求和 Google 政策，并在法律允许的情况下向您发送通知，在法律允许的范围内考虑对披露数据提出异议。如需了解详情，请参阅关于云客户数据的政府要求 (PDF)。

Google 发起的审核

Google 发起的审核也很少见。在出现此类情况时，我们会确保客户数据安全无虞，并未遭到泄露。进行此类审核的主要原因是安全问题、欺诈、滥用行为或合规性审核。例如，如果自动比特币挖矿检测器检测到某个虚拟机正在用于比特币挖矿，Google 会审核该问题，并确认虚拟机设备上的恶意软件正在耗尽虚拟机的容量。Google 会移除恶意软件，以使虚拟机用量恢复正常。

Google 如何控制和监控对客户数据的访问

Google 的内部控制措施包括：

• 遍布整个基础架构的控制系统，可防止未经授权的访问
• 通过持续控制来检测和修复未经授权的访问
• 内部审核团队和独立第三方审核机构的监控、违规提醒和定期审核

如需详细了解 Google 如何保护物理基础架构，请参阅 Google 基础架构安全设计概览。

适用于整个基础架构的控件

Google 在构建基础架构时，将安全性放在核心位置。由于 Google 的全球基础架构相当一致，因此 Google 可以使用自动化基础架构来实现控制措施并限制特权访问。以下部分介绍了有助于实现特权访问权限原则的一些控制措施。

对所有访问进行强制身份验证

Google 对用户（例如员工）和角色（例如服务）访问数据的身份验证要求非常严格。在生产环境中运行的作业使用这些身份来访问其他服务的数据存储区或远程过程调用 (RPC) 方法。多项作业可以使用同一身份运行。我们的基础架构仅允许负责运行服务的人员使用特定身份部署或修改作业，这类人员通常是我们的站点可靠性工程师 (SRE)。作业启动时，系统会为其预配加密凭据。在发出其他服务的请求时，作业会使用这些凭据来证明其身份（通过使用应用层传输安全 (ALTS)）。

情境感知访问权限

为了实现零信任安全，Google 的基础架构会使用情境来对用户和设备进行身份验证和授权。访问权限决策并非仅基于静态凭据或决策是否来自公司内部网。系统会评估请求的完整情境（例如用户身份、位置信息、设备所有权和配置以及精细访问权限政策），以确定请求的有效性并防范钓鱼式攻击和窃取凭据的恶意软件。

通过使用情境，每个身份验证和授权请求都必须使用安全令牌或其他双重身份验证协议搭配强密码。系统会向经过身份验证的用户和可信设备授予对必要资源的有限临时访问权限。系统会安全地维护机器目录，并评估每个连接设备的状态（例如操作系统更新、安全补丁、设备证书、已安装的软件、病毒扫描和加密状态），以防范潜在的安全风险。

例如，Chrome Enterprise Premium 有助于确保员工凭据不会被盗或滥用，连接的设备不会遭到破解。通过将访问权限控制措施从网络边界转移至具体的用户和设备的情境，Chrome Enterprise Premium 还让 Google 员工几乎可以在任何地点更安全地工作，而无需 VPN。

审核和授权所有正式版软件

我们的基础架构使用名为 Borg 的集群管理系统实现了容器化管理。适用于 Borg 的 Binary Authorization 可确保在部署正式版软件之前对其进行审核和批准，尤其是在代码可以访问敏感数据时。Borg 的二进制授权有助于确保代码和配置部署符合特定标准，并在未满足这些要求时提醒服务所有者。通过要求代码先满足某些标准和变更管理做法，然后才能访问用户数据，适用于 Borg 的 Binary Authorization 可以降低 Google 员工（或被盗用的账号）擅自以编程方式访问用户数据的可能性。

访问日志文件

Google 基础架构会记录数据访问和代码更改。日志记录类型包括：

• 客户日志：可通过 Cloud Audit Logs 获取。

• 管理员访问日志：可通过 Access Transparency 获取。

• 部署完整性日志：关于异常的内部日志，由专门负责审核对客户数据的访问权限的中央安全团队监控。异常监控有助于保护敏感数据并提高生产环境的可靠性。异常监控有助于确保未经审核或未提交的源代码不会在特权环境中运行，无论是意外还是因蓄意攻击而导致。

突发事件检测和响应

为了检测和应对疑似的访问权限违规行为，Google 会利用由专家组成的内部调查团队，以及结合机器学习、高级数据处理流水线和威胁情报事件的人工和自动化控制措施。

信号开发

Google 检测和响应功能的核心是威胁情报，我们通过持续分析过往的突发事件、网络流量、内部数据、系统访问日志、异常行为模式、攻击性安全演练的结果以及更多专有提醒来强化威胁情报。这些数据由专门的团队进行分析，他们会生成包含所有 Google 产品和服务的动态信号（或威胁指标）数据库。工程团队使用威胁指标开发专用检测系统，以监控内部系统是否存在恶意活动、提醒适当的工作人员，以及实现自动响应（例如撤消对资源的访问权限）。

威胁检测

系统主要通过扫描日志并将日志条目与威胁指标进行匹配来检测威胁。由于采用了强制身份验证，Google 可以在日志中区分人工事件、服务事件和服务冒充事件，以便优先调查实际的人工访问。涉及访问用户数据、源代码和敏感信息的活动会记录在案，并且必须提供业务理由或例外情况。威胁可能包括个人试图对敏感系统单方面采取行动，或在没有正当业务理由的情况下试图访问用户数据。这类活动具有已定义的提醒流程。

突发事件调查

检测到违反政策的情况后，独立于核心工程团队和运维团队的安全团队会提供独立监督并开展初步调查。安全团队会完成以下任务：

• 查看突发事件的详细信息，确定是故意、无意、意外访问，还是由 bug 或配置错误导致，或者是控制措施不当（例如，外部攻击者盗用并使用被入侵员工的凭据）所致。
• 如果访问行为是无意或意外的（例如，Google 人员不知道或误违了访问协议），相关团队可以立即采取措施来解决问题（例如，恢复知识产权）。
• 如果怀疑存在恶意行为，安全团队会上报相应事件，并收集其他信息（包括数据和系统访问日志），以确定事件的范围和影响。
• 根据调查结果，安全团队会提交突发事件以进行进一步调查、记录和解决，在极端情况下，还会将突发事件转给外部机构或执法机构。

修复

安全团队会利用过去的突发事件来识别和解决漏洞，并改进检测功能。系统会记录所有入侵事件，并提取元数据，以便确定每种利用方式的具体策略、方法和程序。该团队会使用这些数据来开发新的威胁指标、加强现有保护措施，或提出功能请求以改进安全性。

用于监控和控制 Google 对数据的访问权限的服务

以下 Google Cloud 服务提供了一些选项，可让您了解 Google 对您数据的访问权限，并对其进行控制。

Google Cloud service	说明
Access Approval	如果您有高度敏感或受限数据，则可以使用 Access Approval 功能，要求获得您的批准后，授权的 Google 管理员才能访问您的数据来为您提供支持。已获批准的访问权限请求会记录在与批准请求关联的 Access Transparency 日志中。您批准请求后，Google 必须先在内部为相应请求授予适当的权限，然后才能允许访问。如需查看Google Cloud 支持 Access Approval 的服务的列表，请参阅支持的服务。
Access Transparency	Access Transparency 会记录 Google 授权人员在为贵组织提供支持或维护服务可用性时获得的管理员访问权限。如需查看 Google Cloud 支持 Access Transparency 的服务列表，请参阅支持的服务。
Assured Workloads	如果贵企业需要专门的区域支持、经过认证的监管计划（例如 FedRAMP 或 ITAR），或“适用于欧盟的主权控制”等计划，请使用 Assured Workloads。Assured Workloads 为 Google Cloud 用户提供了启用工作流，以便创建和监控所需控制包的生命周期。
Cloud KMS	将 Cloud KMS 与 Cloud EKM 搭配使用，以控制加密密钥。借助 Cloud KMS 和 Cloud EKM，您可以使用部署于 Google 基础架构之外的第三方密钥管理系统中存储和管理的加密密钥对数据进行加密。借助 Cloud EKM，您可以分隔静态数据和加密密钥，同时仍可利用云的强大计算和分析功能。
机密计算	使用机密计算来加密使用中的数据。Google Cloud 包含以下支持机密计算的服务： 机密虚拟机：为使用虚拟机的工作负载启用使用中数据的加密 机密 Google Kubernetes Engine 节点：为使用容器的工作负载启用使用中数据的加密 机密 Dataflow：支持对用于流式分析和机器学习的使用中数据进行加密 机密 Dataproc：支持对用于数据处理的使用中数据进行加密 机密空间：支持对使用中的数据进行加密，以便进行联合数据分析和机器学习 借助这些服务，您可以缩小信任边界，以便更少的资源可以访问您的机密数据。如需了解详情，请参阅在 Google Cloud上实现机密计算。
Key Access Justifications	使用 Key Access Justifications 实现数据主权和数据发现。 每次使用外部托管的密钥解密数据时，Key Access Justifications 功能都会为您提供正当理由。若要使用 Key Access Justifications，您需要将 Cloud KMS 与 Cloud HSM 或 Cloud KMS 与 Cloud EKM 搭配使用，以便更好地控制数据。您必须先批准访问权限，Google 人员才能解密您的休眠数据。

后续步骤

• 如需详细了解我们在保护客户数据隐私方面所做的承诺，请参阅 Google Cloud 和常见隐私权原则。

• 如需了解用于防止未经授权的管理员访问的控制功能的核心原则，请参阅管理员访问权限控制功能概览。

• 如需查看 Google 员工可以请求访问客户数据的业务理由列表，请参阅理由原因代码。