資料落地總覽

總覽

本頁說明如何使用 Cloud SQL 執行資料落地規定。

資料落地是指資料的實際位置,以及控管資料儲存、加密和存取方式的當地法規。隨著各國的資料保護和隱私權法規不斷演進,瞭解如何遵守當地資料落地要求並保護使用者資料,就變得越來越重要。

在傳統的內部部署環境中,各種元件會整合並處理資料駐留。舉例來說,公司可以將權杖化閘道做為 Cloud Access Security Broker (CASB),在應用程式資料傳輸到海外之前加以保護。

Google Cloud 及其服務 (包括 Cloud SQL) 整合,可協助您控管資料位置和資料存取權 (包括 Google 或任何人的存取權),以處理資料落地問題。

雲端運算中的資料落地

以下列出您應瞭解的資料落地問題:

  • 如果公司雲端管理員不知道資料的實際位置,就無法瞭解當地法規。如要研究各個地點的資料駐留政策,管理員必須知道資料中心的位置。
  • 公司雲端管理員和供應商可使用服務水準協議 (SLA) 建立允許的位置。不過,如果必須在與服務水準協議條款不同的地區儲存資料,該怎麼辦?
  • 使用者必須確保資料,以及在雲端專案中使用的所有服務和資源,都符合主機所在國家/地區的資料存放位置法規。
    • 如果想決定資料和加密金鑰的儲存位置,該怎麼做?
    • 如果想決定使用者可存取資料的位置,該怎麼做?

Google Cloud 等服務可讓您執行下列操作,解決部分問題:

  • 設定資料的儲存位置。建立 Cloud SQL 執行個體時,您可以選取區域,也可以編輯現有執行個體來變更區域。
  • 使用 Cloud SQL 的跨區域唯讀副本功能,有助於符合指定區域的資料落地標準。
  • 控管使用者可存取資料的網路位置,以及控管雲端管理員對這類資料的存取權。

Cloud SQL 可在以下三個方面協助您因應資料落地挑戰:

儲存資料

資料落地是指在特定區域內儲存個人識別資訊 (PII),並根據該區域的法規處理這些資料。

如要儲存資料,您必須符合該國家/地區的法律和法規要求,例如資料在地化法律。舉例來說,某個國家/地區可能會規定所有政府相關資料都必須儲存在該國家/地區。或者,公司可能在合約中規定,必須將部分客戶的資料儲存在其他國家/地區。因此,公司必須符合資料儲存所在國家/地區的資料落地規定。

您可以使用 Google Cloud設定資料儲存位置,包括備份資料。包括讓您選擇資料儲存的區域。如果您選擇在這些區域為 Cloud SQL 設定資源,Google 會根據《服務專屬條款》,僅將您的靜態資料儲存在這些區域。您可以在建立執行個體時選取區域,也可以編輯現有執行個體來變更區域。

如要進一步瞭解備份位置,請參閱「自訂備份位置」。

您可以使用機構政策限制,在機構、專案或資料夾層級強制執行資料落地規定。您可以透過這些限制條件,定義使用者可為支援的服務建立資源的 Google Cloud 位置。如要限制資料落地位置,可以使用資源位置限制,限制新資源的實際位置。您也可以微調限制的政策,將多區域 (例如 asiaeurope) 或單一區域 (例如 us-east1europe-west1) 指定為允許或拒絕的位置。

如果 Google Cloud 區域發生中斷情形,您可以透過 Cloud SQL 的跨區域讀取備用資源功能,避免受到影響。建立唯讀備用資源時,您必須選擇備用資源的區域。請務必選擇符合資料落地法規的區域。因此,所選區域符合資料落地標準。

建立副本時,系統會複製主要資料庫執行個體,並近乎即時地反映主要資料庫的變更。如果發生故障,您可以將唯讀備用資源升級為主要執行個體

VPC Service Controls 可讓您限制使用 Cloud SQL API,透過 Cloud SQL Admin API 或 Cloud Storage API 匯入及匯出資料,進而強制執行資料落地。這項限制可確保資料只會留存在您選擇的網路位置。使用 VPC Service Controls 建立服務範圍,定義服務可存取的虛擬邊界,防止資料移出這些邊界。即使使用者已根據 Google Cloud IAM 政策獲得授權,您仍可強制執行這項限制。

加密資料

Google Cloud 服務 (包括 Cloud SQL) 會使用各種加密方法,將靜態和傳輸中的客戶內容加密。加密程序完全自動,客戶無須採取任何行動,

Cloud SQL 也可讓您使用客戶自行管理的加密金鑰 (CMEK),為資料新增一層加密機制。 如果貴機構有機密或管制資料,且必須自行管理加密金鑰,建議使用 CMEK。CMEK 功能可讓您使用自己的加密編譯金鑰,保護 Cloud SQL 中的靜態資料。新增 CMEK 後,每當進行 API 呼叫時,Cloud SQL 就會使用您的金鑰存取資料。

如要在部署服務的區域中儲存 CMEK,可以使用 Cloud Key Management Service (Cloud KMS)。建立金鑰時,您會設定金鑰位置。如要將這些金鑰儲存在實體的硬體安全性模組 (HSM) 中,請使用 Cloud HSM,該模組位於您選擇的區域。

如要選擇儲存 CMEK 的位置,也可以使用第三方產品。如要在 Google 基礎架構外部部署的第三方金鑰管理產品中儲存及管理金鑰,可以使用 Cloud External Key Manager (Cloud EKM)

存取資料

透過 Cloud SQL,您可以控管哪些使用者能存取資料。

Cloud SQL Identity and Access Management (IAM) 資料庫驗證提供單一介面,協助您更妥善地監控及管理使用者和服務帳戶的資料庫存取權。因此,您可以集中管理雲端資源中的資料。

設定 Cloud SQL IAM 資料庫驗證後,您就能定義哪些使用者擁有哪些資料存取權,進而控管使用者對 Cloud SQL 資料的存取權。您設定資料庫執行個體,然後將 IAM 使用者新增為執行個體的使用者,授予個人存取權。這些使用者可以透過 Cloud SQL IAM 資料庫驗證,登入 Cloud SQL 資料庫

如要為一組使用者啟用停用服務,可以使用 IAM 政策設定,合併機構政策限制。這項功能可防止員工不慎將資料儲存在錯誤的 Google Cloud 區域。

如要控管 Google 支援和工程人員的存取權,請使用 Access Approval。Access Approval 可讓您要求 Google 員工必須先獲得明確核准,才能存取 Google Cloud 上的資料或設定(如需例外狀況,請參閱「Access Approval 例外狀況」)。

當 Google 管理員與您的資料互動時,資料存取核准機制會產生近乎即時的稽核記錄,與資料存取透明化控管機制提供的資訊互補。稽核記錄會顯示管理員的辦公室位置和存取原因。您也可以為有權存取資料或設定的管理員強制執行特定屬性,包括地理區域和其他法規遵循相關屬性。

Key Access Justifications 與 Cloud KMS 和 Cloud EKM 整合。每次有人要求使用您的金鑰加密或解密資料時,「金鑰存取依據」都會提供詳細的理由,並提供機制讓您使用設定的自動化政策,核准或拒絕金鑰存取要求。

搭配使用 IAM 權限、存取權核准、資料存取透明化控管機制和金鑰存取依據,以及 Cloud KMS 和 Cloud EKM,您就能拒絕 Google 解密資料。因此,您可以全權控管自有資料的存取權。

後續步驟