Konten ini terakhir diperbarui pada Februari 2025, dan menampilkan status quo pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini menjelaskan fitur dan produk yang membantu Anda mengontrol akses yang dimiliki staf Google ke data pelanggan Anda. Seperti yang dijelaskan dalam Google Cloud Persyaratan Layanan, data pelanggan adalah data yang diberikan pelanggan atau pengguna akhir kepada Google melalui layanan yang terkait dengan akun mereka.
Ringkasan akses dengan hak istimewa
Biasanya, data pelanggan Anda hanya diakses oleh Anda dan layanan Google Cloud yang Anda aktifkan. Dalam beberapa kasus, personel Google mungkin memerlukan akses ke data Anda untuk membantu menyediakan layanan yang dikontrak (misalnya, Anda memerlukan dukungan atau perlu memulihkan dari pemadaman layanan). Jenis akses ini dikenal sebagai akses dengan hak istimewa.
Karyawan dengan hak istimewa tinggi yang diberi atau memperoleh izin tingkat tinggi untuk sementara waktu menimbulkan risiko pihak internal yang lebih tinggi. Pendekatan kami terhadap akses dengan hak istimewa berfokus pada pengurangan jumlah kemungkinan vektor serangan. Misalnya, kami menggunakan kontrol keamanan berikut:
- Skema autentikasi redundan
- Jalur akses data terbatas
- Mencatat dan memberikan peringatan tindakan di seluruh sistem kami
- Izin yang diatur
Pendekatan ini membantu kami mengontrol dan mendeteksi serangan internal, membatasi dampak insiden, dan mengurangi risiko terhadap data Anda.
Strategi pengelolaan akses dengan hak istimewa di Google Cloud membatasi kemampuan personel Google untuk melihat atau mengubah data pelanggan. Di Google Cloud, batasan akses dengan hak istimewa adalah bagian integral dari cara kerja produk kami.
Untuk informasi selengkapnya tentang kapan personel Google dapat mengakses data Anda, lihat Adendum Pemrosesan Data Cloud.
Filosofi akses dengan hak istimewa
Filosofi akses dengan hak istimewa Google menggunakan prinsip-prinsip panduan berikut:
Batasan akses harus didasarkan pada peran dan persetujuan multipihak: Personel Google ditolak akses sistemnya secara default. Jika diberikan, akses tersebut bersifat sementara dan tidak lebih besar dari yang diperlukan untuk menjalankan peran mereka. Akses ke data pelanggan, operasi penting pada sistem produksi, dan modifikasi kode sumber dikontrol oleh sistem verifikasi manual dan otomatis. Staf Google tidak dapat mengakses data pelanggan tanpa persetujuan individu lain. Personel hanya dapat mengakses resource yang diperlukan untuk melakukan pekerjaannya dan harus memberikan justifikasi yang valid untuk mengakses data pelanggan. Untuk mengetahui informasi selengkapnya, lihat Cara Google melindungi layanan produksinya.
Beban kerja harus memiliki perlindungan menyeluruh: Dengan enkripsi dalam transmisi, enkripsi dalam istirahat, dan Confidential Computing untuk enkripsi yang digunakan, Google Cloud dapat memberikan enkripsi menyeluruh pada beban kerja pelanggan.
Logging dan audit bersifat berkelanjutan: Akses personel Google ke data pelanggan dicatat dalam log dan sistem deteksi ancaman melakukan audit real-time, yang memberi tahu tim keamanan saat entri log cocok dengan indikator ancaman. Tim keamanan internal mengevaluasi pemberitahuan dan log untuk mengidentifikasi dan menyelidiki aktivitas yang tidak wajar, sehingga membatasi cakupan dan dampak insiden apa pun. Untuk informasi selengkapnya tentang respons insiden, lihat Proses respons insiden data.
Akses harus transparan dan menyertakan kontrol pelanggan: Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengelola kunci enkripsi Anda sendiri dan mengontrol akses ke kunci tersebut. Selain itu, Transparansi Akses memastikan bahwa semua akses dengan hak istimewa memiliki justifikasi bisnis yang dicatat ke dalam log. Persetujuan Akses memungkinkan Anda menyetujui atau menolak permintaan akses oleh staf Google ke set data tertentu.
Akses personel Google ke data pelanggan
Secara default, staf Google tidak memiliki akses ke Google Cloud data pelanggan.
Untuk mendapatkan akses, personel Google harus memenuhi kondisi berikut:
- Menjadi anggota daftar kontrol akses (ACL) yang relevan.
- Baca dan konfirmasi kebijakan akses data Google secara rutin.
- Gunakan perangkat tepercaya.
- Login dengan autentikasi multi-faktor menggunakan Kunci Keamanan Titan, yang meminimalkan risiko kredensial yang di-phish.
- Akses alat yang mengevaluasi justifikasi yang diberikan (misalnya, tiket dukungan atau ID masalah), peran pengguna, dan konteks.
- Jika diperlukan oleh alat, dapatkan persetujuan otorisasi dari personel Google yang memenuhi syarat lainnya.
- Jika Anda telah mendaftar ke Access Approval, dapatkan persetujuan Anda.
Peran personel yang berbeda memerlukan tingkat akses yang berbeda. Misalnya, peran dukungan memiliki akses terbatas ke data pelanggan yang terkait langsung dengan tiket dukungan pelanggan. Peran engineer mungkin memerlukan hak istimewa sistem tambahan untuk mengatasi masalah yang lebih kompleks terkait keandalan layanan atau men-deploy layanan.
Saat Google bekerja sama dengan pihak ketiga (seperti vendor dukungan pelanggan) untuk menyediakan layanan Google, kami menilai pihak ketiga tersebut untuk memastikan bahwa mereka memberikan tingkat keamanan dan privasi yang sesuai. Google Cloud memublikasikan daftar semua subpemroses yang digunakan untuk membantu menyediakan layanan.
Alasan personel Google mengakses data pelanggan
Meskipun Google Cloud dirancang untuk mengotomatiskan, meminimalkan, atau menghilangkan kebutuhan personel Google untuk mengakses data pelanggan, masih ada beberapa kasus saat personel Google mungkin mengakses data pelanggan. Kasus ini mencakup dukungan yang dimulai pelanggan, pemadaman layanan atau kegagalan alat, permintaan hukum pihak ketiga, dan peninjauan yang dimulai Google.
Dukungan yang dimulai oleh pelanggan
Akses staf Google ke data pelanggan di layanan yang menggunakan Transparansi Akses biasanya merupakan hasil dari peristiwa yang dimulai pelanggan seperti menghubungi Layanan Pelanggan. Saat Anda menghubungi staf Customer Care untuk menyelesaikan masalah, staf Customer Care hanya mendapatkan akses ke data dengan tingkat sensitivitas rendah. Misalnya, jika Anda kehilangan akses ke bucket, personel Layanan Pelanggan hanya memiliki akses ke data yang tidak terlalu sensitif seperti nama bucket.
Gangguan atau kegagalan alat
Selama pemadaman atau kegagalan alat, personel Google dapat mengakses data pelanggan untuk melakukan pencadangan atau pemulihan sesuai kebutuhan. Dalam situasi ini, personel Google menggunakan alat yang dapat langsung mengakses data pelanggan untuk memaksimalkan efisiensi dan menyelesaikan masalah secara tepat waktu. Alat ini mencatat akses ini dan justifikasi yang diberikan oleh engineer. Akses juga diaudit dan dicatat dalam log oleh tim respons keamanan Google. Layanan Google Cloud yang didukung akan membuat log Transparansi Akses yang dapat Anda lihat selama pemadaman layanan. Selama pemadaman, engineer tidak dapat mengabaikan daftar yang diizinkan untuk resource; tetapi, mereka dapat mengakses data tanpa persetujuan Anda.
Permintaan hukum pihak ketiga
Permintaan hukum pihak ketiga jarang terjadi, dan hanya tim hukum yang dapat membuat justifikasi akses hukum yang valid. Tim hukum akan meninjau permintaan untuk memastikan bahwa permintaan tersebut memenuhi persyaratan hukum dan kebijakan Google, memberikan notifikasi kepada Anda jika secara hukum diizinkan, dan mempertimbangkan keberatan untuk mengungkapkan data sejauh diizinkan oleh hukum. Untuk informasi selengkapnya, lihat Permintaan Pemerintah untuk Data Pelanggan Cloud (PDF).
Peninjauan yang dimulai Google
Ulasan yang dimulai Google juga jarang terjadi. Jika terjadi, mereka harus memastikan bahwa data pelanggan aman, terlindungi, dan belum disusupi. Alasan utama peninjauan ini adalah masalah keamanan, penipuan, penyalahgunaan, atau audit kepatuhan. Misalnya, jika detektor penambangan bitcoin otomatis mendeteksi bahwa VM sedang digunakan untuk penambangan bitcoin, Google akan meninjau masalah tersebut dan mengonfirmasi bahwa malware di perangkat VM menghabiskan kapasitas VM. Google akan menghapus malware sehingga penggunaan VM kembali normal.
Cara Google mengontrol dan memantau akses ke data pelanggan
Kontrol internal Google mencakup hal berikut:
- Sistem kontrol menyeluruh di seluruh infrastruktur untuk mencegah akses yang tidak sah
- Deteksi dan perbaikan akses tidak sah melalui kontrol berkelanjutan
- Pemantauan, pemberitahuan pelanggaran, dan audit rutin oleh tim audit internal dan auditor pihak ketiga independen
Untuk mempelajari lebih lanjut cara Google mengamankan infrastruktur fisik, lihat Ringkasan desain keamanan infrastruktur Google.
Kontrol di seluruh infrastruktur
Google telah membangun infrastrukturnya dengan mengutamakan keamanan. Karena infrastruktur global Google cukup homogen, Google dapat menggunakan infrastruktur otomatis untuk menerapkan kontrol dan membatasi akses dengan hak istimewa. Bagian berikut menjelaskan beberapa kontrol yang membantu menerapkan prinsip akses hak istimewa kami.
Autentikasi yang kuat untuk semua akses
Google memiliki persyaratan autentikasi yang kuat untuk akses oleh pengguna (seperti karyawan) dan peran (seperti layanan) ke data. Tugas yang berjalan di lingkungan produksi kami menggunakan identitas ini untuk mengakses penyimpanan data atau metode remote procedure call (RPC) dari layanan lain. Beberapa tugas dapat berjalan dengan identitas yang sama. Infrastruktur kami membatasi kemampuan untuk men-deploy atau mengubah tugas yang memiliki identitas tertentu kepada orang yang bertanggung jawab untuk menjalankan layanan, umumnya Site Reliability Engineer (SRE) kami. Saat dimulai, tugas akan disediakan dengan kredensial kriptografis. Tugas ini menggunakan kredensial ini untuk membuktikan identitasnya saat membuat permintaan layanan lain (menggunakan application layer transport security (ALTS)).
Akses kontekstual
Untuk mencapai keamanan zero-trust, infrastruktur Google menggunakan konteks untuk melakukan autentikasi dan memberikan otorisasi kepada pengguna dan perangkat. Keputusan akses tidak hanya didasarkan pada kredensial statis atau apakah keputusan tersebut berasal dari intranet perusahaan. Konteks lengkap terkait permintaan (seperti identitas pengguna, lokasi, konfigurasi dan kepemilikan perangkat, serta kebijakan akses terperinci) dievaluasi untuk menentukan validitas dan perlindungannya terhadap upaya phishing dan malware pencuri kredensial.
Dengan menggunakan konteks, setiap permintaan autentikasi dan otorisasi harus menggunakan sandi yang kuat dengan token keamanan atau protokol autentikasi dua faktor lainnya. Pengguna terautentikasi dan perangkat tepercaya diberi akses sementara yang terbatas ke resource yang diperlukan. Inventaris mesin dikelola dengan aman dan status setiap perangkat yang terhubung (misalnya, update OS, patch keamanan, sertifikat perangkat, software yang diinstal, pemindaian virus, dan status enkripsi) dievaluasi untuk potensi risiko keamanan.
Misalnya, Chrome Enterprise Premium membantu memastikan kredensial karyawan tidak dicuri atau disalahgunakan dan perangkat yang terhubung tidak disusupi. Dengan mengalihkan kontrol akses dari perimeter jaringan ke konteks setiap pengguna dan perangkat, Chrome Enterprise Premium juga memungkinkan personel Google bekerja dengan lebih aman dari hampir semua lokasi tanpa memerlukan VPN.
Peninjauan dan otorisasi untuk semua software produksi
Infrastruktur kami di-containerisasi menggunakan sistem pengelolaan cluster yang disebut Borg. Otorisasi Biner untuk Borg memastikan bahwa software produksi ditinjau dan disetujui sebelum di-deploy, terutama saat kode kita dapat mengakses data sensitif. Otorisasi Biner untuk Borg membantu memastikan deployment kode dan konfigurasi memenuhi standar tertentu serta memberi tahu pemilik layanan jika persyaratan ini tidak terpenuhi. Dengan mewajibkan kode untuk memenuhi standar dan praktik manajemen perubahan tertentu sebelum mengakses data pengguna, Otorisasi Biner untuk Borg mengurangi potensi personel Google (atau akun yang disusupi) untuk bertindak sendiri guna mengakses data pengguna secara terprogram.
Mengakses file log
Infrastruktur Google mencatat akses data dan perubahan kode. Jenis logging meliputi hal berikut:
- Log pelanggan: Tersedia menggunakan Cloud Audit Logs.
Log akses administratif: Tersedia menggunakan Transparansi Akses.
Log integritas deployment: Log internal tentang pengecualian yang dipantau oleh tim keamanan pusat yang didedikasikan untuk mengaudit akses ke data pelanggan. Pemantauan pengecualian membantu melindungi data sensitif dan meningkatkan keandalan produksi. Pemantauan pengecualian membantu memastikan bahwa kode sumber yang tidak ditinjau atau tidak dikirimkan tidak berjalan di lingkungan dengan hak istimewa, baik secara tidak sengaja maupun sebagai akibat dari serangan yang disengaja.
Deteksi dan respons insiden
Untuk mendeteksi dan merespons dugaan pelanggaran akses, Google menggunakan tim investigasi internal pakar serta kontrol manual dan otomatis yang menggabungkan machine learning, pipeline pemrosesan data lanjutan, dan insiden intelijen ancaman.
Pengembangan sinyal
Inti dari kemampuan deteksi dan respons Google adalah intelijen ancaman, yang diperkuat oleh analisis berkelanjutan terhadap insiden sebelumnya, traffic jaringan, data internal, log akses sistem, pola perilaku yang tidak normal, hasil latihan keamanan ofensif, dan banyak lagi pemberitahuan eksklusif. Data ini dianalisis oleh tim khusus yang menghasilkan database sinyal dinamis, atau indikator ancaman, yang mencakup semua Google. Tim engineer menggunakan indikator ancaman untuk mengembangkan sistem deteksi khusus guna memantau sistem internal untuk mendeteksi aktivitas berbahaya, memberi tahu staf yang sesuai, dan menerapkan respons otomatis (misalnya, mencabut akses ke resource).
Deteksi ancaman
Ancaman terutama terdeteksi dengan memindai log dan mencocokkan entri log dengan indikator ancaman. Berkat autentikasi yang kuat, Google dapat membedakan antara peristiwa manusia, peristiwa layanan, dan peristiwa peniruan identitas layanan dalam log untuk memprioritaskan investigasi ke akses manusia yang sebenarnya. Aktivitas yang melibatkan akses data pengguna, kode sumber, dan informasi sensitif akan dicatat ke dalam log dan diperlukan pengecualian atau justifikasi bisnis. Ancaman dapat mencakup individu yang mencoba mengambil tindakan sepihak pada sistem sensitif atau mencoba mengakses data pengguna tanpa alasan bisnis yang valid. Jenis aktivitas ini telah menentukan prosedur pemberitahuan.
Penyelidikan insiden
Saat pelanggaran kebijakan terdeteksi, tim keamanan yang terpisah dari tim engineering dan operasi inti memberikan pengawasan independen dan melakukan investigasi awal. Tim keamanan menyelesaikan tugas berikut:
- Tinjau detail insiden dan tentukan apakah akses tersebut disengaja, tidak disengaja, tidak sengaja, disebabkan oleh bug atau kesalahan konfigurasi, atau hasil kontrol yang tidak memadai (misalnya, penyerang eksternal mencuri dan menggunakan kredensial karyawan yang disusupi).
- Jika akses tersebut tidak disengaja atau tidak sengaja (misalnya, personel Google tidak mengetahui, atau keliru melanggar, protokol akses), tim dapat mengambil langkah-langkah segera untuk memperbaiki masalah tersebut (misalnya, dengan memulihkan hak kekayaan intelektual).
- Jika perilaku berbahaya dicurigai, tim keamanan akan mengeskalasikan insiden tersebut dan mengumpulkan informasi tambahan, termasuk data dan log akses sistem, untuk menentukan cakupan dan dampak insiden.
- Bergantung pada hasil penyelidikan tersebut, tim keamanan akan mengirimkan insiden untuk investigasi, dokumentasi, dan penyelesaian tambahan, atau, dalam kasus ekstrem, akan merujuk insiden tersebut ke otoritas atau penegak hukum di luar.
Pemulihan
Tim keamanan menggunakan insiden sebelumnya untuk mengidentifikasi dan menyelesaikan kerentanan serta meningkatkan kemampuan deteksi. Semua insiden didokumentasikan dan metadata diekstrak untuk mengidentifikasi taktik, teknik, dan prosedur tertentu untuk setiap eksploitasi. Tim tersebut menggunakan data tersebut untuk mengembangkan indikator ancaman baru, memperkuat perlindungan yang ada, atau membuat permintaan fitur untuk peningkatan keamanan.
Layanan yang memantau dan mengontrol akses Google ke data
Layanan Google Cloud berikut memberi Anda opsi untuk mendapatkan visibilitas dan kontrol atas akses Google ke data Anda.
| LayananGoogle Cloud | Deskripsi |
|---|---|
Access Approval |
Jika Anda memiliki data yang sangat sensitif atau dibatasi, Persetujuan Akses memungkinkan Anda mewajibkan persetujuan sebelum administrator Google yang berwenang dapat mengakses data Anda untuk mendukung Anda. Permintaan akses yang disetujui dicatat ke dalam log dengan log Transparansi Akses yang ditautkan ke permintaan persetujuan. Setelah Anda menyetujui permintaan, akses harus diberi hak istimewa dengan benar di Google sebelum akses diizinkan. Untuk daftar layananGoogle Cloud yang mendukung Persetujuan Akses, lihat Layanan yang didukung. |
Transparansi Akses |
Transparansi Akses mencatat akses administratif oleh personel resmi Google saat mereka mendukung organisasi Anda atau mempertahankan ketersediaan layanan. Untuk daftar Google Cloud layanan yang mendukung Transparansi Akses, lihat Layanan yang didukung. |
Assured Workloads |
Gunakan Assured Workloads jika perusahaan Anda memerlukan dukungan regional khusus, program peraturan tersertifikasi (misalnya, FedRAMP atau ITAR), atau program seperti Sovereign Controls untuk Uni Eropa. Assured Workloads menyediakan alur kerja pengaktifan kepada pengguna Google Cloud untuk membuat dan memantau masa aktif paket kontrol yang Anda perlukan. |
Cloud KMS |
Gunakan Cloud KMS dengan Cloud EKM untuk mengontrol kunci enkripsi Anda. Cloud KMS dengan Cloud EKM memungkinkan Anda mengenkripsi data dengan kunci enkripsi yang disimpan dan dikelola dalam sistem pengelolaan kunci pihak ketiga yang di-deploy di luar infrastruktur Google. Cloud EKM memungkinkan Anda mempertahankan pemisahan antara data dalam penyimpanan dan kunci enkripsi sambil tetap menggunakan keefektifan komputasi dan analisis cloud. |
Confidential Computing |
Gunakan Confidential Computing untuk mengenkripsi data yang sedang digunakan. Google Cloud mencakup layanan berikut yang memungkinkan komputasi rahasia:
Layanan ini memungkinkan Anda mengurangi batas kepercayaan sehingga lebih sedikit resource yang memiliki akses ke data rahasia Anda. Untuk informasi selengkapnya, lihat Menerapkan confidential computing di Google Cloud. |
Justifikasi Akses KunciKey Access Justifications |
Gunakan Key Access Justifications untuk kedaulatan dan penemuan data. Key Access Justifications memberi Anda justifikasi setiap kali kunci yang dihosting secara eksternal digunakan untuk mendekripsi data. Key Access Justifications memerlukan Cloud KMS dengan Cloud HSM atau Cloud KMS dengan Cloud EKM untuk meningkatkan kontrol yang Anda miliki atas data Anda. Anda harus menyetujui akses sebelum staf Google dapat mendekripsi data Anda dalam penyimpanan. |
Langkah berikutnya
- Untuk mengetahui lebih lanjut komitmen kami dalam melindungi privasi data pelanggan, lihat Google Cloud dan prinsip privasi umum.
Untuk mempelajari prinsip inti kontrol yang mencegah akses administrative yang tidak sah, lihat Ringkasan kontrol akses administrative.
Untuk melihat daftar justifikasi bisnis yang dapat diminta oleh personel Google untuk mengakses data pelanggan, lihat Kode alasan justifikasi.