Google Cloud 中的特权访问权限

本文最后更新于 2025 年 2 月，所述内容反映了编写时的实际情况。由于我们会不断改善对客户的保护机制，Google 的安全政策和系统今后可能会发生变化。

本文档介绍了可帮助您控制 Google 人员对客户数据的访问权限的功能和产品。根据 Google Cloud 服务条款中的定义，“客户数据”是指客户或最终用户通过其账号下的服务提供给 Google 的数据。

特权访问权限概览

通常，只有您和您启用的 Google Cloud服务可以访问您的客户数据。在某些情况下，Google 员工可能需要访问您的数据，以便帮助您获得合同服务（例如，您需要支持或需要从中断中恢复）。这种类型的访问权限称为特权访问权限。

暂时获得或获取了提升权限的高权限员工会带来更高的内部风险。我们处理特权访问的方法侧重于减少可能的攻击途径数量。例如，我们使用以下安全控制措施：

• 冗余身份验证方案
• 有限的数据访问途径
• 我们系统中的日志记录和提醒操作
• 受监管的权限

这种方法有助于我们控制和检测内部攻击，限制突发事件的影响，并降低数据风险。

Google Cloud 中的特权访问管理策略限制了 Google 员工查看或修改客户数据的能力。在Google Cloud中，对特权访问的限制是我们产品设计工作方式不可或缺的一部分。

如需详细了解 Google 人员可能访问您的数据的情况，请参阅云端数据处理附录。

特权访问机制

Google 的特权访问机制遵循以下指导原则：

• 访问限制必须基于角色和多方审批：默认情况下，Google 员工会被拒绝系统访问权限。授予访问权限时，授权只是暂时性的，并且提供的访问权限不得大于执行其角色所需的访问权限。对客户数据、生产系统上的关键操作以及源代码修改的访问权限由人工和自动化验证系统控制。在未经他人批准的情况下，Google 员工无法访问客户数据。员工只能访问执行工作所需的资源，并且必须提供正当理由才能访问客户数据。如需了解详情，请参阅 Google 如何保护其生产服务。

• 工作负载必须具有端到端保护：通过传输中的加密、静态加密和机密计算（用于使用中的加密）， Google Cloud 可以为客户工作负载提供端到端加密。

• 日志记录和审核是持续进行的：Google 员工对客户数据的访问会进行日志记录，威胁检测系统会进行实时审核，当日志条目与威胁指标匹配时，系统会向安全团队发出提醒。内部安全团队会评估提醒和日志，以识别和调查异常活动，从而限制任何突发事件的范围和影响。如需详细了解突发事件响应，请参阅数据突发事件响应流程。

• 访问必须透明且包含客户控制：您可以使用客户管理的加密密钥 (CMEK) 来管理自己的加密密钥并控制对这些密钥的访问权限。此外，Access Transparency 可确保所有特权访问都有已记录的业务理由。借助 Access Approval，您可以批准或拒绝 Google 员工对特定数据集的访问请求。

Google 人员对客户数据的访问权限

默认情况下，Google 员工无法访问 Google Cloud 客户数据。

Google 人员必须满足以下条件才能获得访问权限：

• 是相关访问控制列表 (ACL) 的成员。
• 定期阅读并确认 Google 的数据访问政策。
• 使用可信设备。
• 使用 Titan 安全密钥通过多重身份验证登录，从而最大限度地降低凭证遭受钓鱼式攻击的风险。
• 访问可评估所提供理由（例如支持服务工单或问题 ID）、用户角色和上下文的工具。
• 如果工具要求，请从另一位符合条件的 Google 员工处获得授权批准。
• 如果您已注册 Access Approval，请获得批准。

不同的人员角色需要不同的访问权限级别。例如，支持人员角色对直接与客户支持服务工单相关的客户数据的访问权限有限。工程角色可能需要额外的系统权限，才能解决与服务可靠性或部署服务相关的更复杂问题。

当 Google 与第三方（例如客户支持供应商）合作提供 Google 服务时，我们会评估该第三方，以确保其提供适当的安全和隐私保护级别。 Google Cloud 会发布用于协助提供服务的所有子处理方的列表。

Google 人员访问客户数据的原因

虽然 Google Cloud 旨在自动执行、尽量减少或消除 Google 员工访问客户数据的需求，但在某些情况下，Google 员工可能仍需访问客户数据。这些情况包括客户发起的支持、中断或工具故障、第三方法律要求和 Google 发起的审核。

客户发起的支持

如果服务使用了 Access Transparency，则 Google 人员对客户数据的访问通常是客户发起的事件（例如联系客户服务团队）所致。当您联系客户服务人员来解决问题时，客户服务人员只会获得对低敏感度数据的访问权限。例如，如果您无法再访问某个存储桶，客户服务人员只能访问低敏感度数据，例如存储桶名称。

中断或工具故障

在服务中断或工具故障期间，Google 人员可以访问客户数据，以便根据需要执行备份或恢复操作。在这些情况下，Google 人员会使用可直接访问客户数据的工具，以尽可能提高效率并及时解决问题。这些工具会记录此访问行为以及工程师提供的理由。Google 安全响应团队还会审核和记录访问情况。受支持的 Google Cloud服务会在中断期间生成您可查看的 Access Transparency 日志。在服务中断期间，工程师无法绕过资源的许可名单；不过，他们可以在未经您批准的情况下访问数据。

第三方法律要求

第三方法律要求很少见，只有法律团队才能生成有效的法律访问权限正当理由。法律团队会审核该要求，以确保其符合法律要求和 Google 政策；在法律允许的情况下，会向您发送通知；并会在法律允许的范围内考虑您对披露数据的异议。如需了解详情，请参阅关于云客户数据的政府要求 (PDF)。

Google 发起的审核

Google 发起的审核也很少见。如果发生此类事件，他们会确保客户数据安全无虞，且未遭到泄露。进行这些审核的主要原因是存在安全问题、欺诈行为、滥用行为或需要进行合规性审核。例如，如果自动比特币挖矿检测器检测到某个虚拟机正在用于比特币挖矿，Google 会审核该问题，并确认虚拟机设备上的恶意软件正在耗尽虚拟机的容量。Google 会移除恶意软件，以便虚拟机使用情况恢复正常。

Google 如何控制和监控对客户数据的访问权限

Google 的内部控制措施包括：

• 覆盖整个基础设施的控制系统，可防止未经授权的访问
• 通过持续控制来检测和补救未经授权的访问
• 内部审核团队和独立第三方审核机构的监控、违规提醒和定期审核

如需详细了解 Google 如何保护物理基础设施，请参阅 Google 基础设施安全设计概览。

基础设施范围的控制措施

Google 在构建基础设施时，将安全性放在核心地位。由于 Google 的全球基础设施相当同质化，因此 Google 可以使用自动化基础设施来实施控制措施并限制特权访问。以下部分介绍了一些有助于实现我们的特权访问原则的控制措施。

针对所有访问权限的加强型身份验证

Google 对用户（例如员工）和角色（例如服务）访问数据的身份验证要求非常严格。在生产环境中运行的作业使用这些身份来访问其他服务的数据存储区或远程过程调用 (RPC) 方法。多项作业可以使用同一身份运行。我们的基础设施具有以下限制：只有负责运行相关服务的人员才能使用特定身份部署或修改作业，这类人员通常是我们的站点可靠性工程师 (SRE)。作业启动时，系统会为其预配加密凭证。作业在（使用应用层传输安全[ALTS]）发出其他服务的请求时，会使用这些凭证来证明其身份。

情境感知访问权限

为了实现零信任安全性，Google 的基础设施会使用上下文来对用户和设备进行身份验证和授权。访问决策并非完全基于静态凭证或决策是否源自公司内网。系统会评估请求的完整上下文（例如用户身份、位置、设备所有权和配置以及精细的访问权限政策），以确定请求的有效性，并防范钓鱼式攻击以及窃取凭证的恶意软件。

通过使用上下文，每个身份验证和授权请求都必须使用包含安全令牌或其他双重身份验证协议的安全系数高的密码。经过身份验证的用户和可信设备会被授予对必要资源的有限临时访问权限。安全地维护机器清单，并评估每个连接设备的状态（例如，操作系统更新、安全补丁、设备证书、已安装的软件、病毒扫描和加密状态）是否存在潜在的安全风险。

例如，Chrome 企业进阶版可帮助确保员工凭证不会被盗或被滥用，并确保连接的设备不会受到入侵。通过将访问权限控制措施从网络边界转移至具体的用户和设备的上下文，Chrome 企业进阶版还让 Google 人员可以更安全地在几乎任何地点工作，而不必借助于 VPN。

审核并授权所有生产软件

我们的基础设施使用名为 Borg 的集群管理系统实现了容器化管理。适用于 Borg 的 Binary Authorization 可确保在部署生产软件之前对其进行审核和批准，尤其是在代码可以访问敏感数据时。适用于 Borg Binary Authorization有助于确保代码和配置部署满足特定标准，并在不满足这些要求时提醒服务所有者。通过要求代码先满足某些标准和变更管理做法，然后才能访问用户数据，适用于 Borg 的 Binary Authorization 可以降低 Google 人员（或被盗用的账号）擅自以编程方式访问用户数据的可能性。

访问日志文件

Google 基础设施会记录数据访问和代码更改。日志记录类型包括以下几种：

• 客户日志：可通过 Cloud Audit Logs 获取。

• 管理员访问日志：可通过 Access Transparency 获取。

• 部署完整性日志：有关中央安全团队（专门负责审核对客户数据的访问）监控的异常情况的内部日志。异常监控有助于保护敏感数据并提高生产环境的可靠性。异常监控有助于确保未经审核或未提交的源代码不会在特权环境中运行，无论是意外运行还是因蓄意攻击而运行。

突发事件检测和响应

为了检测和应对可疑的访问违规行为，Google 组建了专业的内部调查团队，并采用人工控制和自动化控制相结合的方式，将机器学习、高级数据处理流水线和威胁情报突发事件结合起来。

信号开发

Google 检测和响应功能的核心是威胁情报，通过持续分析过往突发事件、网络流量、内部数据、系统访问日志、异常行为模式、攻击性安全演练的结果以及许多其他专有提醒来增强威胁情报。此数据由专门的团队进行分析，以生成包含整个 Google 的动态信号数据库（即威胁指标）。工程团队使用威胁指标开发专门的检测系统，以监控内部系统中的恶意活动、提醒相关人员，并实施自动化响应（例如，撤销对资源的访问权限）。

威胁检测

威胁主要是通过扫描日志并将日志条目与威胁指标进行匹配来检测的。借助强身份验证，Google 可以在日志中区分人为事件、服务事件和服务模拟事件，从而优先调查实际的人为访问。涉及访问用户数据、源代码和敏感信息的活动会被记录下来，并且需要提供业务理由或例外情况。威胁可能包括个人试图对敏感系统采取单方面行动，或试图在没有正当业务理由的情况下访问用户数据。这些类型的活动具有明确的提醒程序。

突发事件调查

检测到违规行为后，独立于核心工程和运营团队的安全团队会提供独立监督并进行初步调查。安全团队需要完成以下任务：

• 查看突发事件的详细信息，并确定访问是蓄意、无意、意外、由 bug 或配置错误导致，还是因控制措施不足而导致（例如，外部攻击者窃取并使用遭入侵的员工的凭证）。
• 如果访问是无意或意外的（例如，Google 人员不知道[即错误地违反了]访问协议），相关团队可以立即采取措施来解决问题（例如，恢复知识产权）。
• 如果怀疑存在恶意行为，安全团队会升级突发事件并收集更多信息（包括数据和系统访问日志），以确定突发事件的范围和影响。
• 根据该查询的结果，安全团队会提交突发事件以供进一步调查、记录和解决，或者在极端情况下，将突发事件提交给外部机构或执法部门。

纠正

安全团队会利用过往突发事件来发现和解决漏洞，并提升检测能力。所有突发事件都会记录在案，并提取元数据以确定攻击者每次利用漏洞的具体策略、技术和流程。该团队会使用这些数据来开发新的威胁指标、加强现有保护措施，或提出有关安全改进的功能请求。

用于监控和控制 Google 对数据访问权限的服务

以下 Google Cloud 服务可让您选择如何了解和控制 Google 对您数据的访问权限。

Google Cloud 服务	说明
Access Approval	如果您有高度敏感或受限的数据，则可以使用 Access Approval，要求授权的 Google 管理员在访问您的数据以提供支持之前，必须先获得您的批准。获批的访问请求会记录在与审批请求相关联的 Access Transparency 日志中。您批准请求后，必须在 Google 中正确授予访问权限，然后才能允许访问。如需查看支持 Access Approval 的Google Cloud 服务列表，请参阅支持的服务。
Access Transparency	Access Transparency 会记录 Google 授权人员在为您的组织提供支持或维护服务可用性时进行的管理访问。如需查看支持 Access Transparency 的 Google Cloud 服务列表，请参阅支持的服务。
Assured Workloads	如果您的企业需要专属的区域支持、经过认证的监管计划（例如 FedRAMP 或 ITAR）或“欧盟主权控制”等计划，请使用 Assured Workloads。Assured Workloads 为 Google Cloud 用户提供了一个启用工作流，用于创建和监控所需的控制软件包的生命周期。
Cloud KMS	将 Cloud KMS 与 Cloud EKM 搭配使用，以控制加密密钥。Cloud KMS 与 Cloud EKM 搭配使用时，您可以使用加密密钥对数据进行加密，这些加密密钥是在 Google 基础设施外部部署的第三方密钥管理系统中进行存储和管理的。借助 Cloud EKM，您可以隔离静态数据和加密密钥，同时仍可使用云计算和分析的强大功能。
机密计算	使用机密计算来加密使用中的数据。 Google Cloud 包含以下可实现机密计算的服务： 机密虚拟机：为使用虚拟机的工作负载启用使用中的数据加密 机密 Google Kubernetes Engine 节点：为使用容器的工作负载启用使用中的数据加密 Dataflow 数据加密：为流式分析和机器学习实现对使用中的数据的加密 机密 Dataproc：为数据处理实现对使用中的数据的加密理 Confidential Space：为联合数据分析和机器学习实现对使用中的数据的加密 借助这些服务，您可以缩小信任边界，从而减少有权访问机密数据的资源数量。如需了解详情，请参阅在 Google Cloud上实现机密计算。
Key Access Justifications	使用Key Access Justifications来实现数据主权和发现。 每次使用外部托管的密钥解密数据时，Key Access Justifications 都会为您提供正当理由。Key Access Justifications 需要搭配 Cloud KMS with Cloud HSM 或 Cloud KMS with Cloud EKM 使用，才能大幅提高您对数据的控制力。您必须先批准访问权限，Google 人员才能解密静态数据。

后续步骤

• 如需详细了解我们对保护客户数据隐私权的承诺，请参阅Google Cloud 和通用隐私权原则。

• 如需了解可防止未经授权的管理员访问的控制措施的核心原则，请参阅管理员访问权限控制概览。

• 如需查看 Google 员工可以请求访问客户数据的业务理由列表，请参阅理由原因代码。