Google Cloud FedRAMP 實作指南

建立 FedRAMP 法規遵循政策和控管措施
2020 年 3 月

目標對象

對於必須遵守《聯邦風險與授權管理計畫》(簡稱「FedRAMP」) 的客戶, Google Cloud Platform 可提供相關支援,確保客戶遵守當中規範。 本指南適用對象為負責實作 FedRAMP 和 Google Cloud Platform 法規遵循的資安主管、法規遵循主管、IT 管理員和其他員工。這份指南應可協助您瞭解 Google 如何支援 FedRAMP 法規遵循,以及您可透過設定哪些 Google Cloud 工具、產品和服務來符合 FedRAMP 規範的責任。

總覽

Google Cloud Platform 支援 FedRAMP 法規遵循,並透過 Google 安全性白皮書 Google 基礎架構安全性設計總覽提供有關安全性與資料保護措施的明確詳細資訊。 雖然 Google 提供安全且符合規定的雲端基礎架構,但客戶也有責任評估自己的 FedRAMP 法規遵循,並確保他們在 Google Cloud Platform 上建構的環境與應用程式已正確設定並確保資料符合 FedRAMP 規範。

本文件概要說明 FedRAMP 執行授權 (ATO) 階段、Google Cloud 責任共享模式、明訂客戶專屬責任,並說明如何在 Google Cloud Platform 上滿足這些需求與指引。

FedRAMP

聯邦風險與授權管理計畫 (FedRAMP) 適用於整個政府機構,用途為標準化美國聯邦資訊系統法案 (FISMA) 對雲端造成的影響。這套反覆做法可供相關人員對雲端式服務進行安全性評估、授權和持續監控。

採用 FedRAMP 的標準與指引,可確保雲端中的機密、任務必備和任務重要資料受到保護,並快速偵測網路安全性和安全漏洞。

整體來說,FedRAMP 的目標是:

  • 確認政府機關使用的雲端服務和系統具備充分的保護

  • 簡化重複工作並降低風險管理費用

  • 協助政府機關快速有效地採購資訊系統和服務

為遵循聯邦法 (FedRAMP) 的規定,聯邦政府機關必須:

  • 確保處理、傳輸及儲存政府機關資料的雲端系統均採用 FedRAMP 安全性控管基準

  • 透過 FISMA 授予安全授權時,請使用安全評估架構

  • 透過與雲端服務供應商 (CSP) 簽訂的合約,強制執行 FedRAMP 要求

執行授權 (ATO)

透過成功導入並執行 FedRAMP 認序,在雲端完成執行授權。FedRAMP 執行授權有兩種路徑:P-ATO 和 Agency ATO。

暫時性執行授權 (P-ATO) 是由 FedRAMP 聯合授權委員會 (JAB) 授予。JAB 由 DHS、GSA 和 DoD 的資訊長所組成,負責定義基準 FedRAMP 安全性控管機制,以及為第三方評估機構 (3PA) 建立 FedRAMP 認證標準。機構和代理機構要求 JAB 處理其資訊系統安全性套件,JAB 隨後會核發 P-ATO 以允許其使用雲端服務。

採用 Agency ATO 時,內部機構或代理機構會指定授權主管機關 (AO) 針對資訊系統安全性套件進行風險審查。AO 可以協同 3PAO 或未經認證的獨立評估機構 (IAA) 審查資訊系統安全性套件。AO 以及後續的代理機構或機構會授權資訊系統使用雲端服務。系統會將安全性套件另外傳送給 FedRAMP 計畫管理辦公室 (PMO) 進行審查;FedRAMP 的 PMO 為 GSA。經審查之後,PMO 會發布其他代理機構和機構專用的安全性套件。

安全性評估架構

代理機構和機構中的授權主管機關 (AO) 必須將 FedRAMP 安全性評估架構 (SAF) 納入內部授權程序,以確保其遵循雲端服務的 FedRAMP 需求。SAF 是透過下列四個階段實作:

安全性評估階段

階段 1:文件

根據 FIPS PUB 199 機密性、完整性和可用性的安全目標,機構或代理機構會將資訊系統分類為低、中或高度影響系統。

根據系統的 FIPS 分類,機構或代理商應選擇與 FIPS 199 分類程度低、中、高度相關的 FedRAMP 安全性控制基準

資訊系統擁有者就必須導入在個別控制基準中擷取的安全性控管機制。我們也提供替代做法及理由,說明可接受無法達成或導入控管的原因。

安全性控制實作的細節必須透過系統安全性計畫 (SSP) 進行擷取。系統擁有者應依據已實施的 FedRAMP 法規遵循等級,選取賣方平台範本:

賣方平台會說明安全性授權界線、說明系統如何解決每個 FedRAMP 安全性控管、概述系統角色與責任、定義預期的系統使用者行為、說明系統建構方式和支援基礎架構的樣貌。

使用 FedRAMP 授權審查範本來追蹤 ATO 進度。

若要進一步瞭解導入階段,請參閱 FedRAMP 的代理機構授權程序

雲端責任模型

傳統的基礎架構技術 (IT) 需要機構和代理機構購買、實體資料中心或主機代管空間、實體伺服器、網路設備、軟體、授權和其他用於建置系統與服務的服務。雲端服務供應商可透過雲端運算,投資實體硬體、資料中心和全球網路,同時提供虛擬設備、工具和服務給客戶使用。

目前有三種雲端運算模型:基礎架構式服務 (IaaS)、平台式服務 (PaaS) 和軟體式服務 (SaaS)。

在 IaaS 模型中,CSP 基本上是提供雲端環境的虛擬資料中心;提供伺服器、網路和儲存空間等虛擬化運算基礎架構。雖然 CSP 負責管理這些資源的實體設備和資料中心,但客戶會負責設定和保護他們在虛擬化基礎架構上執行的任何平台或應用程式資源。

在 PaaS 模型中,CSP 不僅提供及管理基礎架構和虛擬化層,還提供客戶預先開發、預先設定的平台,可用於建立軟體、應用程式和網路服務。PaaS 可讓開發人員輕鬆建立應用程式及中介軟體,而無須擔心基礎硬體的安全性和設定。

在軟體式服務 (SaaS) 模型中,CSP 負責管理所有實體、虛擬基礎架構以及平台層,同時也為客戶提供雲端式應用程式和服務。直接從網路瀏覽器或網站執行的網路應用程式,即為 SaaS 應用程式。透過這種模式,機構和代理機構就不必擔心應用程式安裝、更新或支援問題,因此只需要管理系統和資料存取權政策即可。

以下圖表說明雲端運算模型上的 CSP 責任和客戶內部部署責任:

FedRAMP 責任

雲端 IT 堆疊可觀察到四種層:實體基礎架構層、雲端基礎架構層、雲端平台層和雲端軟體層。

雲端 IT 堆疊層架構

就 FedRAMP 的 ATO 而言,雲端 IT 堆疊的每個層級都會被視為獨立控制界線,且每個控制界線需要獨立的 ATO。 也就是說,雖然已有 Google Cloud Platform 的 FedRAMP 法規遵循和多種 FedRAMP 涵蓋的 Google Cloud 服務,但客戶仍須實作 FedRAMP 安全性基準控管和 SAF 程序,以確保自家的雲端系統和工作負載符合 FedRAMP 規範。

「低」、「中」和「高」法規遵循基準有兩種 FedRAMP 安全性控管機制:分別是資訊系統實作的控管機制,以及機構實作的控管機制。機構和代理機構在 Google Cloud 上建構符合 FedRAMP 規範的系統時,會繼承 Google 符合 FedRAMP 認證的實體基礎架構安全性控管機制。 此外,這些裝置也會繼承任何位於 Google 符合 FedRAMP 的產品和服務中的實體基礎架構、IaaS 和 PaaS;使用 Google Workspace 時,則會繼承所有 SaaS 控管機制。但是,客戶必須透過 FedRAMP、PaaS 和 SaaS 層級強制執行所有其他安全性控制和設定。

如要使用 Google Cloud 提供的安全性控管功能,請向 JAB 要求 Google 的 ATO 套件副本,並將該套件包含在貴機構內或代理機構的安全評量文件中。此外,請附上 FedRAMP 法規遵循的 Google 認證信件

FedRAMP 實作建議

如前文所述,客戶會繼承雲端服務供應商的部分安全性控制項,而其他客戶則需另行設定。客戶必須設定多項安全性控管機制,因此代理機構和機構都必須建立符合機構定義的政策、規定與規範。本節將提供建議,協助客戶在雲端透過 GCP 工具、服務和最佳做法實作 NIST 800-53 安全性控管措施。

注意:本節列出的服務目前不含 FedRAMP,且標示為 + 的服務不在原生 Google Cloud 服務中。

存取權控制

如要管理 Google Cloud 中的存取權控管,請定義機構組織管理員,在雲端管理資訊系統帳戶。透過 Cloud Identity管理控制台或其他識別資訊提供者 (例如 Active Directory、LDAP 等),將管理員加入存取權控管群組。請確保第三方識別資訊提供者已與 Google Cloud 建立關聯。使用 Cloud Identity and Access Management (IAM) 為管理員群組指派角色與權限,並導入最低權限和授權區隔。

針對雲端的資訊系統帳戶建立全機構存取權控制政策。定義貴機構將建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。

帳戶管理、授權區隔、最低權限

存取權控制政策中,定義貴機構將建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。定義應使用資訊系統帳戶的條件。

此外,識別使用者必須登出系統運作的 閒置時間 (例如 x 分鐘、小時或天)。使用 Cloud Identity管理控制台或應用程式設定,強制使用者在指定時間範圍內強制登出並/或重新驗證。

請決定對於貴機構使用者不適合的角色指派作業時,要採取的動作。Google *Policy Intelligence 政策擁有 IAM 推薦功能,能利用機器學習技術提供智慧型存取權控管建議,協助管理員移除不必要的 GCP 資源存取權。

定義適當的帳戶群組條件。 您可以使用 Cloud Identity管理控制台建立群組或服務帳戶。使用 Cloud Identity and Access Management (IAM) 將角色和權限指派給共用群組和服務帳戶。 盡可能使用服務帳戶。

為貴機構指定資訊系統帳戶的用途,並使用 Cloud 作業套件、* Cloud Security Command Center 或 *Forseti Security,等工具針對一般用途的快訊通知系統管理員。

按照下列規範來設定下列安全性控管機制的基礎:AC-02、AC-02 (04)、AC-02 (05)、AC-02 (07)、AC-02 (09)、 AC-02 (11)、AC-02 (12)、AC-05、AC-06 (01)、AC-06 (03)、AC-06 (05)、AU-2, AU-3、AU-6、 AU-12、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、 SI-04 (22)、SI-04 (23)。

強制執行資訊傳遞、遠端存取

整個機構的存取權控管政策中,定義貴機構的資訊控制政策。識別禁止或受限制的通訊埠、通訊協定和服務。定義連至內部和外部系統的互連網路需求與限制。使用 Cloud 私人雲端 等工具建立防火牆、邏輯隔離網路和子網路。 您可以實作 Cloud 負載平衡器、*Traffic DirectorVPC Service Controls,協助控管流量。

設定資訊流程控管政策時,請先指定貴機構受管控的網路存取點。使用 Cloud Identity-Aware Proxy 等工具為遠端和現場使用者提供雲端資源的背景資訊。 使用 Cloud VPNCloud Interconnect 安全直接地存取 Cloud 虛擬私人雲端。

設定整個機構適用的政策,以便執行特殊指令,以及透過遠端存取安全資料。使用 Cloud IAM VPC Service Controls,限制對機密資料和工作負載的存取權。

按照這些指南設定採用以下安全控管的基礎:AC-04、AC-04 (08)、AC-04 (21)、AC-17 (03)、AC-17 (04)、{ 101} CA-03 (03)、CA-03 (05)、CM-07、CM-07(01)、CM-07(02)。

登入嘗試、系統使用通知、工作階段終止

存取權控制政策中,指定當使用者在 15 分鐘內嘗試登入失敗超過 3 次時,再次嘗試登入前必須等候的時間。定義可在哪些使用者工作階段終止或中斷連線的條件和觸發條件。

使用 Cloud Identity 進階版或管理控制台管理連線至您網路的行動裝置,包括自攜裝置。建立適用於行動裝置且適用於機構的安全性政策。擬定要求對行動裝置嘗試多次登入失敗後,會清除及抹除資料的規定和程序。

開發全機構通用的語言和/或系統使用通知,針對存取資訊系統的使用者,提供隱私權政策、使用條款及安全性通知。定義要向使用者顯示哪些機構通知的條件。 Cloud Pub/Sub 是一種全域訊息傳遞和事件擷取系統,可用來將通知推送至應用程式和使用者。 *Chrome Enterprise 套件 (包括 *Chrome 瀏覽器和 *Chrome 作業系統) 也可以與 *搭配使用Push API 和 *Notifications API 來向使用者傳送通知和更新。

請遵循以下規範來設定基礎安全性控制:AC-07、AC-07 (02)、AC-08、AC-12、AC-12 (01)。

允許動作、行動裝置、資訊分享

存取權控管政策會定義使用者在資訊系統上 無須進行身分識別和驗證即可執行的動作。 使用 Cloud IAM 控管使用者檢視、建立、刪除及修改特定資源的權限。

此外,請部署整個機構適用的資訊共用政策。決定哪些資訊可在哪些情況下共用,以及使用者是否需要提供共用資訊。僱用流程,以協助在整個機構中分享資訊並進行協作。 Google Workspace 是一套優質工具,可讓您管理不同團隊的協作和參與度。

請按照這些指南設定實作下列安全控制的基礎:AC-14、AC-19 (05)、AC-21。

品牌意識和訓練

建立安全性政策和相關聯的訓練教材,以每年至少一次連結機構和使用者的安全群組。 Google 提供 專業服務選項來教導使用者如何實行雲端安全防護機制,包括但不限於 Cloud 探索安全性參與度和 Google Workspace 安全性評估

至少每年更新安全性政策和訓練。

請按照這些指南操作,協助導入安全控管 AT-01。

稽核與責任

建立全機構稽核政策和權責控管機制,針對與雲端資訊系統相關的稽核人員、事件和動作制定程序和實作規範。

在全機構稽核政策中,列出應該在貴機構的資訊系統中稽核的事件,以及稽核頻率。 記錄事件的例子包括:成功和失敗的帳戶登入事件、帳戶管理事件、物件存取權、政策變更、權限函式、程序追蹤和系統事件。針對網路應用程式,範例包括:管理員活動、驗證檢查、授權檢查、資料刪除、資料存取權、資料變更和權限變更。為貴機構定義其他事件。

稽核政策也應該指出貴機構出現不當或不尋常的活動。這些活動應定期監控、記錄並標記 (至少每週)。

使用 Google 的 Cloud 作業套件 套件來管理 GCP、地端部署或其他雲端環境的記錄檔、監控及快訊功能。使用 Cloud 作業套件設定及追蹤機構中的安全性事件。此外,Cloud Monitoring 可讓使用者設定自訂指標,以監控稽核記錄中的特定稽核事件。

啟用資訊系統,在稽核處理失敗時通知管理員。您可以使用 Cloud Pub/SubCloud Alerting 等工具來實作。

設定通知期間的快訊標準 (例如 15 分鐘內);在系統或功能故障時,將稽核記錄納入指定的門檻或磁碟區上限。確定全機構的時間評估精細程度,其中應以時間戳記標示和記錄。在資訊系統稽核追蹤記錄 (例如近乎即時、20 分鐘內等) 內,針對時間戳記的記錄提供容忍度。

設定虛擬私人雲端資源配額,建立稽核記錄儲存空間的容量門檻。設定 Cloud 預算快訊,在資源使用量達到或超過指定上限時通知管理員。

定義適用於整個機構的資料和記錄,以用於稽核記錄和保留需求。 Google Cloud Storage 可用來儲存及封存稽核記錄,而 BigQuery 則可用來執行進一步記錄分析。

請遵循下列規範來設定下列安全性控管基礎:AU-01、AU-02、AU-04、AU-05、AU-05 (01)、AU-06、AU-07 (01) 、澳洲-08、AU-08 (01)、AU-09 (04)、AU-09 (04)、AU-12、AU-12 (01)、AU-12 (03)、CA-07 。

安全性評估與授權

建立全機構的安全評估和授權政策,藉此定義機構安全性評估、安全控管和授權控制的程序和實作要求。

在安全性評估與授權政策中,定義安全性評估團隊對雲端資訊系統進行局部評估的程度。應該要交由獨立評估人員評估的資訊系統。

安全性評估應應涵蓋以下主題:精細監控、安全漏洞掃描、惡意使用者測試、內部威脅評估、效能/負載測試。機構應定義其他需求及安全性評估表單。

安全性評估和授權政策應指定安全系統分類和要求,包括未分類和非跨國安全性系統的需求。

貴機構的資訊流量控制政策,列出內部和外部系統的互連網路需求與限制。設定 Cloud 虛擬私人雲端防火牆規則來允許及拒絕流量資訊系統的流量,並使用 VPC Service Controls 保護使用安全性參數的機密資料。

設定全機構 稽核和責任政策,以強制執行持續監控要求 (CA-07)。

遵循下列規範將設定實作以下安全控管機制:CA-01、CA-02、CA-02 (01)、CA-02 (02)、CA-02 (03)、CA-03 (03)、CA-03 (05)、CA-07、CA-07 (01)、CA-08、CA-09。

設定管理

建立全機構設定管理政策,定義適用於整個機構的設定管理控制項、角色、職責、範圍和法規遵循的程序。

機構資訊系統與系統元件的標準化設定設定要求。提供設定資訊系統的操作需求和程序。明確指出系統為了保留資訊復原支援而必須保留多少基準基準設定數量。使用 Google 的設定管理員 工具以程式碼的形式控制 IT 系統設定,並使用 *監控設定變更 Cloud Policy Intelligence、* Cloud Security Command Center或 *Forseti Security

為貴機構的每種資訊系統類型 (例如雲端、內部部署、混合式、未分類、CUI、已分類等) 指定設定需求。 此外,也應定義機構和自攜裝置的安全性保護措施,以識別安全和不安全的地理位置。使用 Cloud Identity-Aware Proxy 為機構資料實施以情境感知存取權為基礎的存取權控管,包括按照地理位置管理存取權控管。使用 Cloud Identity 進階版管理控制台 在連線至公司網路的行動裝置上強制執行安全性設定。

在設定管理政策中,定義整個機構的設定變更控制元素,例如變更控制委員會或會議。 記錄變更控制元素符合及符合的條件。建立正式的內文以審查及核准設定變更。

找出貴機構的設定管理核准機制;這些管理員會審查對資訊系統的變更要求。定義授權機構核准或拒絕變更要求的時程。 提供資訊變更指南,以便在資訊系統變更後通知相關主管機關。

針對整個機構的開放原始碼軟體的使用限制,納入軟體核准與禁止使用的規格。 您可以使用 Cloud Identity管理控制台,為貴機構強制執行已核准的應用程式和軟體。 如果使用 Cloud Identity 進階版,第三方應用程式也可以啟用單一登入功能。

記錄設定變更時,使用 Cloud Alerting 等工具傳送通知給安全性管理員。授予管理員工具,例如 * Cloud Security Command Center 或 *Forseti Security 等工具,以近乎即時的速度監控設定變更。使用 * Cloud Policy Intelligence 時,機器學習技術會用於查詢貴機構定義的設定,並隨著基準設定改變。

使用資訊流程控制政策,強制在機構中強制執行最低功能。

請遵循以下原則,以實作下列安全性控管基礎:CM-01、CM-02 (03)、CM-02 (07)、CM-03、CM-03 (01)、CM-05 (02)、CM-05 (03)、CM-06、CM-06 (01)、CM-06 (02)、CM-07、CM-07 (01)、CM-07 (02)、CM -07 (05)、CM-08、CM-08 (03)、CM-10 (01)、CM-11、CM-11 (01)、SA-10。

應變計畫

為機構擬定持續性準備方案,以定義整個機構的控制規劃程序和實作規定。識別跨機構元素的關鍵應變人員、角色和責任。

強調貴機構的重要任務和業務資訊系統作業。啟用強制性方案之後,請切斷復原作業所需的基本復原時間目標 (RTO) 和復原點目標 (RPO)。

記錄關鍵資訊系統和相關軟體。找出任何其他安全性相關資訊,並提供儲存重要系統元件和資料的備份與規定。部署 Google 的全球、區域及可用區資源全球位置,以實現高可用性。對於多區域、區域、備份和封存選項,請使用 Google Cloud Storage 類別。透過 Cloud 負載平衡器實作全球網路自動調整資源配置和負載平衡功能。

請遵循下列準則來設定實施下列安全性控管機制的基礎:CP-01、CP-02、CP-02 (03)、CP-07、CP-08、CP-09 (03)。

身分識別與驗證

為您的機構建立身分識別與驗證政策,並指定身分認證程序、範圍、角色、職責、管理、實體和法規遵循作業。指定貴機構必要的身分識別和驗證控制。 使用 Cloud Identity 進階版管理控制台找出能連結至您的機構資源的公司和個人裝置。使用 Cloud Identity-Aware Proxy (IAP) 為資源強制執行情境感知存取權。

內容包括貴機構的驗證者內容相關驗證作業、驗證重複使用條件、驗證驗證者標準,以及變更驗證者的驗證標準。此外,針對使用快取驗證器擷取需求條件。指定快取驗證器的到期時間,以及快取驗證器的到期時間。定義貴機構中資訊系統應強制執行的最長和最長生命週期要求以及重新整理時間範圍。

使用 Cloud Identity 或管理控制台強制執行密碼政策,以便偵測機密資訊、使用字元、建立新的密碼,或重複使用、密碼生命週期、儲存空間和傳輸需求。

為貴機構進行驗證所需的 Outline 和/或軟體符記驗證規定,包括但不限於 PIV 卡和 PKI 要求。 * Google Titan 安全金鑰可用於對管理員和特殊權限人員強制執行其他驗證要求。

識別與驗證政策列出了貴機構可接受的第三方 Federation Identity、Credentials and Access Management (FICAM) 資訊系統元件。 Google 的 Identity Platform 是客戶身分與存取權管理 (CIAM) 平台,可協助機構將外部實體存取的身分新增和存取管理功能。

遵循這些原則將會設定採用下列安全控管機制的基礎:IA-01、IA-03、IA-04、IA-05、IA-05 (01)、IA-05 (03)、IA-05 (04)、IA-05 (11)、IA-05 (13)、IA-08 (03)。

事件回應機制

為貴機構建立事件回應政策,包括協助實施和實作事件回應控制項的程序。為貴機構的機構事件回應團隊和主管機關建立安全性群組。使用 Cloud 作業套件 或 * Cloud Security Command Center 等工具來共用事件、記錄及詳細資料。 * Incident Response Management (IRM) 可讓管理員針對端對端資安系統事件,進行調查並解決。

制定事件回應測試計畫、程序和檢查清單、需求和基準,確保作業成功。指定貴機構應識別的事件類別,並概略說明因應這類事件所採取的動作。定義授權人員在事件發生時應採取的動作 (例如管理資訊外洩、網路安全漏洞和攻擊等步驟)。善用 Google 工作區的功能功能 } 掃描及隔離電子郵件內容封鎖網路詐騙嘗試設定附件限制。 使用 Cloud Data Loss Prevention 檢查、分類及去識別化機密資料,以協助限制曝光情形。

指定全機構的事件回應訓練,包括一般使用者和特殊角色與責任的訓練規定。強制執行訓練時間的需求條件 (例如加入後 30 天內、參與、每年等)。

遵循這些規範將設定實作以下安全控管機制的基礎:IR-01、IR-02、IR-03、IR-04 (03)、IR-04 (08)、IR-06、IR-08 、IR-09、IR-09 (01)、IR-09 (03)、IR-09 (04)

系統維護

為您的機構建立系統維護政策,記錄系統維護控管機制、角色、職責、管理、協調需求和法規遵循作業。定義控制維護作業的參數,包括執行現場維護和維修的核准流程,以及整個機構的更換,以取代故障的裝置和零件。 貴機構可享有以下優勢: 在 Google Cloud Platform 上刪除資料資料與設備清理作業,以及 Google 資料中心安全性與創新

請遵循下列規範來設定實作下列安全性控管機制的基礎:MA-01、MA-02、MA-06。

媒體保護

我們符合 Google Cloud 的 FedRAMP 執行授權中,針對實體基礎架構的媒體保護規範。查看 Google 的 基礎架構安全性設計 安全性總覽。 客戶也負責達成虛擬基礎架構安全性要求。

為貴機構建立媒體保護政策、記錄媒體控管機制、保護政策和程序、法規遵循需求、管理角色和責任。協助貴機構實作及實作媒體保護措施的文件程序。建立安全性群組和角色,以便管理媒體和保護措施。

為貴機構指定核准的媒體類型和存取權,包括數位與非媒體限制。此外,您也必須為貴機構全面實施媒體標記和媒體處理注意事項,包括在安全存取區域內部與外部的安全性標記需求。 使用 *Google Data Catalog 管理雲端中繼資料,簡化資料探索作業。使用 * Google Private Catalog 來控制整個機構的雲端資源法規遵循規範,管理雲端資源的分配及探索作業。

確認貴機構管理的媒體應如何受到清理和重複使用。此外,您必須要求或接受媒體對於裝置/裝置的清理、處置或重複使用這類用途和/或案例。定義貴機構接受的媒體保護方法和機制。

有了 Google,您就能利用 Google Cloud Platform 的資料刪除資料和設備,以及 Google 資料中心的安全性和創新技術。 此外,Cloud KMSCloud HSM提供符合 FIPS 的加密編譯保護,* Google Titan 安全金鑰可用來為管理員和特殊權限人員強制執行其他實體驗證要求。

請遵循以下規範來設定下列安全性控管機制的基礎:MP-01、MP-02、MP-03、MP-04、MP-06、MP-06 (03)、MP-07。

實體設施與環境保護

為遵守 Google Cloud 的 FedRAMP 執行授權,我們符合實體基礎架構的實體環境和環境保護規定。參閱 Google 的 基礎架構安全性設計 安全性總覽。 客戶也因此符合虛擬基礎架構安全性需求

為貴機構建立實體保護與環境保護政策,包括防護設定控管機制、保護實體、法規遵循標準、角色、責任和管理管理。 概述如何在機構中實作實體和環境保護作業。

建立安全性群組與角色,以管理實體和環境保護措施。管理員必須存取機密運算資源,才能使用 * Titan 安全金鑰或其他形式的 MFA 驗證機制來驗證存取權完整性。

在實體和環境保護政策中,請定義貴機構的實體存取權控管需求。識別資訊系統站和入口點的設施項目、這類設施的存取權控管保護措施以及庫存需求。利用 *Google 地圖平台之類的工具,以視覺化方式呈現並追蹤設備、進入點和離開點,以便找出對應的位置。 使用 Cloud Resource Manager 和 *Private Catalog 控制對雲端資源的存取權,使資源變得易於搜尋且易於搜尋。

使用 Cloud Monitoring 來設定可記錄的事件、存取權及事件。定義應該在 Cloud Logging 中記錄整個機構的實體存取事件。 使用 * 事件回應管理功能解決已觸發的實體安全性事件,並將發現項目合併移至 * Cloud Security Command Center

使用實體和環境保護政策來因應緊急狀況,例如關閉資訊系統、緊急電源、消防與緊急應變等。識別緊急應變聯絡窗口,包括當地緊急應變人員和貴機構的實體安全人員。概略說明替代工作地點的規定和地點。為主要和替代工作網站指定安全控管機制和人員。 部署 Google 的全球、區域及可用區資源全球位置,以實現高可用性。 對於多區域、區域、備份和封存選項,請使用 Google Cloud Storage 類別。透過 Cloud 負載平衡器實作全球網路自動調整資源配置和負載平衡功能。 建立宣告式 部署範本,建立可重複的範本導向部署程序。

按照這些準則設定實作時採用的基礎安全機制:PE-01、PE-03、PE-03 (01)、PE-04、PE-06、PE-06 (04)、PE-10 、PE-13 (02)、PE-17。

系統安全性規劃

為貴機構規劃安全性規劃政策,列出貴機構的安全性規劃控管機制、角色、職責、管理、安全性規劃實體和法規遵循需求。概述如何針對整個機構實作安全性規劃。

建立群組,以便定義安全性規劃人員。為貴機構指定安全性評估、稽核、硬體和軟體維護、修補程式管理與職責規劃等安全性群組。使用 Cloud 作業套件、* Cloud Security Command Center 或 *Forseti Security 等工具監控整個機構的安全性、法規遵循和存取權控管。

請按照這些指南設定實作下列安全控管機制的基礎:PL-01、PL-02、PL-02 (03)。

員工安全性

建立人員安全政策,概述員工人員、角色和責任、員工安全實作和人員應採取的行動控管在貴機構中推出。擷取個人需要通過安全篩選、篩選及調查的條件。 概述貴機構的安全性審查要求。

附上解僱員工離職權和工作終止指南。定義面試面試的需求和應討論的安全主題。指定貴機構安全性/管理實體何時應通知員工、轉移或重新指派 (例如 24 小時內)。指定在轉移、重新指派或終止時,員工和機構必須執行的動作。此外,也說明瞭實施正式員工制裁的需求條件。說明員工/管理員何時應知道員工制裁和制裁程序。

使用 Cloud IAM 為人員指派角色和權限。在 Cloud Identity管理控制台中新增、移除、停用及啟用人員設定檔和存取權。 使用 * Titan 安全金鑰強制管理員和具有特殊權限的人員執行實體驗證要求。

按照以下原則,以實作下列安全控制項的基礎:PS-01、PS-03、PS-04、PS-05、PS-07、PS-08。

風險評估

實施風險評估政策概述有誰負責評估風險評估人員、哪些機構應執行風險評估控制措施,以及在機構內進行風險評估的程序。指出應如何記錄和回報風險評估。 使用下列工具:*Forseti Security和 * Cloud Security Command Center 自動通知安全性風險及機構整體安全性事件。

採用 Google 的風險評估工具套件,例如Cloud Security Scanner 容器分析Cloud ArmorGoogle Workspace 網路詐騙與惡意軟體防護掃描並回報貴機構的資訊系統中的安全漏洞。將這些工具提供給風險評估人員和管理員,協助識別和排除安全漏洞。

請按照這些指南設定實作下列安全控管的基礎:RA-01、RA-03、RA-05。

系統與服務開發

開發系統和服務取得政策,概述關鍵人員的角色和職責、客戶開發與服務管理、法規遵循和實體。概述貴機構的系統和服務客戶開發程序和實作指南。定義貴機構的系統開發生命週期相關資訊和資訊安全性。規劃資訊安全性角色和職責、人員,以及貴機構風險評估政策應推動及影響系統開發生命週期活動的方式。

無法取得資訊系統說明文件和/或未定義時,應於貴機構內部執行的流程。視需要與貴機構的資訊系統管理員和/或系統服務人員聯絡。為在機構內導入或存取資訊系統的管理員定義任何必要的訓練。

使用下列工具:* Cloud Security Command Center和 *Forseti Security追蹤貴機構的安全規範、發現項目和安全性控管機制。Google 概述了所有 安全性標準、規範與認證,協助客戶瞭解在 Google Cloud 中遵循規範和法律。此外,Google 也提供一套安全性產品協助客戶持續監控雲端系統和內部部署系統中的資訊系統、通訊和資料。

指定貴機構的資料、服務和資訊處理限制,以及哪些條件資料可儲存於其他位置。 Google 在 GCP 中提供 全域、區域和可用區選項,以便提供資料儲存、處理和服務使用情形。

利用 設定管理政策控管系統和服務客戶開發控制的開發人員設定,以及使用安全性評估與授權政策強制執行開發人員安全測試和評估需求。

請按照這些指南設定實作以下安全控管機制的基礎:SA-01、SA-03、SA-05、SA-09、SA-09 (01)、SA-09 (04)、SA-09 (05)、SA-10、SA-11、SA-16。

系統和通訊防護功能

建立系統和通訊防護政策,概述主要人員的角色和職責、系統通訊政策的實作規定,以及貴機構的必要存取權控管。指出貴機構可辨識和監控的阻斷服務攻擊類型,並列出貴機構的 DoS 保護需求。

使用 Cloud 作業套件為機構記錄預先定義的安全性攻擊,並接收相關快訊和快訊。 實作下列工具: Cloud Load BalancingCloud Armor 保護雲端範圍,並 Cloud 虛擬私人雲端防火牆與網路安全性控管等服務,以保護您的內部雲端網路。

找出貴機構的資源可用性需求;定義將雲端資源的分配方式,以及各組織會實施哪些限制來限制使用率。使用 Cloud Resource Manager 等工具控管機構、資料夾、專案和個別資源層級的資源存取權。設定 Cloud 資源配額,以管理 GCP 中的 API 要求及資源使用率。

制定資訊系統與系統通訊的邊界保護規定。定義內部通訊流量的需求,以及內部流量與外部網路的互動方式。指定 Proxy 伺服器和其他網路轉送與驗證元件的需求。

利用 * Cloud Traffic Director 管理貴機構的網路流量和通訊流程。 使用 Cloud Identity-Aware Proxy 根據驗證、授權和內容,包括地理位置或裝置指紋,控管雲端資源的存取權。實作 * Google 私人存取權、*Cloud VPN 或 *Cloud Interconnect 來保護網路流量,並減少內部和外部資源之間的通訊。 Cloud 虛擬私人雲端 可用於定義及保護貴機構的雲端網路;建立子網路,進一步隔離雲端資源和網路範圍。

此外,Google 也提供具有 多區域、區域及可用區選項的全球軟體定義網路,提供高可用性和容錯移轉功能。請為貴機構定義失敗要求,以確保您的資訊系統不會進入已知狀態。擷取保留資訊系統狀態資訊的要求。使用代管執行個體群組和 Deployment Manager 範本來重新建立失敗或健康狀態不良的資源。 讓管理員存取 * Cloud Security Command Center 或 *Forseti Security 以主動監控貴機構的機密性、完整性和可用性。

政策概述貴機構的加密編譯金鑰管理需求,包括金鑰產生、發布、儲存空間、存取與銷毀的需求。 Cloud KMSCloud HSM 可用於管理、產生、使用、輪替、儲存及銷毀符合 FIPS 標準的安全性。金鑰。

根據預設,Google 會對靜態資料進行加密,但您可以 搭配 Compute Engine 和 Google Cloud Storage 使用 Cloud KMS,使用加密編譯金鑰加密資料。您也可以部署 受防護的 VM,在 Compute Engine 上強制執行核心等級的完整性控管機制

按照下列規範將設定實作下列安全控管機制的基礎:SC-01、SC-05、SC-06、SC-07 (08)、SC-07 (12)、SC-07 (13), SC-07 (20)、SC-07 (21)、SC-12、SC-24、SC-28、SC-28 (01)。

系統和資訊完整性

實作系統和資訊完整性政策,概述貴機構的重要角色與職責、完整性導入程序和要求、法規遵循標準,以及安全性控管。 為貴機構中的人員負責系統和資訊完整性。貴機構可概述貴機構的缺陷需求,包括在機構及其資訊系統中的監控、評估、授權、執行、規劃、基準化和修復安全性漏洞等規範。

利用 Google 的一系列安全性工具 (包括但不限於 Chrome 瀏覽器、Cloud Security Scanner 容器分析Google Workspace 網路詐騙與惡意軟體防護、Google 工作區安全中心和Cloud Armor防範惡意程式碼、網路攻擊和常見安全漏洞、隔離垃圾內容、設定垃圾內容與惡意軟體政策、針對安全漏洞通知管理員,以及取得貴機構內部的深入分析資料。 使用 Cloud 作業套件、* Cloud Security Command Center 或 *Forseti Security 等工具集中管理、監控及監控貴機構的安全性控管項目和發現項目。具體來說, Cloud 作業套件 應用來記錄貴機構管理員和相關人員所發生的管理動作、資料存取和系統事件。通知管理人員有關錯誤訊息和資訊系統錯誤的處理方式。

定義與貴機構的軟體、韌體和資訊相關的安全性相關事件 (例如,0 天安全漏洞、未經授權的資料刪除、安裝新硬體、軟體或韌體等)。說明發生這類安全性相關異動時應採取的步驟。您可以指定監控目標和/或攻擊指標,讓管理員特別留意,並納入重要資訊在機構中的資訊系統中監控的重要資訊。定義系統與資訊監控角色與責任,以及監控和報表頻率 (例如即時、每 15 分鐘、每小時、每季報告等)。

擷取分析資訊資訊系統的要求需求。指定尋找異常狀況的要求,包括監控系統的系統點。 *Google Network Telemetry 服務可讓您執行深入的網路效能和安全性監控作業。此外,Google 與 GCP 整合緊密的第三方合作夥伴整合服務,可用於掃描及保護 Cloud 端點和主機,例如 +Aqua Security 和 +Crowdstrike 受防護的 VM 可強化裝置、驗證驗證並確保安全啟動程序。

定義貴機構應如何檢查安全性防護機制和完整性問題。請使用下列工具:* Cloud Security Command Center、*Forseti Security 或 *Cloud Policy Intelligence 監控及偵測設定變更。 請使用 + 設定管理工具 Deployment Manager 範本重新執行,或停止對雲端資源所做的變更。

此外,在系統資訊和完整性政策中,請指定貴機構的授權及核准網路服務需求。概述網路服務的核准和授權程序。 Cloud 虛擬私人雲端是使用防火牆來定義雲端網路與子網路,藉以保護網路範圍。 VPC Service Controls 可為雲端中的機密資料強制執行額外的網路安全範圍。

此外,您將自動繼承 Google 的安全啟動堆疊和信任的 深度防禦機制基礎架構。

按照下列規範來設定下列安全性控管機制的基礎:SI-01、SI-02 (01)、SI-02 (03)、SI-03 (01)、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)、SI- 05、SI-06、SI-07、SI-07 (01)、SI-07 (05)、SI-07 (07)、SI-08 (01)、SI-10、SI-11、SI-16。

結論

雲端安全性和法規遵循是代表客戶和雲端服務供應商共同合作的技術。雖然 Google 會確保實體基礎架構和對應的服務符合《第三方法規》的 規範與認證,但前提是客戶必須確保可使用。

Google Cloud 是以客戶保護自家基礎架構的 安全性產品和功能,為 Google 提供支援,而我們也致力於提供法規遵循支援。

免責聲明

本指南僅供參考。Google 在本指南中提供的資訊或建議不構成法律建議。所有客戶都有責任視情況自行評估所需服務的特定用途,以便確保自己遵守相關法律義務。