Questo argomento descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando utilizzi T-Systems Sovereign Cloud.
Panoramica
T-Systems Sovereign Cloud (TSI Sovereign Cloud) fornisce funzionalità di residenza e sovranità dei dati per i servizi Google Cloud coperti. Per fornire queste funzionalità, alcune funzionalità di questi servizi sono limitate o non disponibili. La maggior parte di queste modifiche viene applicata durante la procedura di onboarding quando la tua organizzazione viene gestita da T-Systems International (TSI), ma alcune possono essere modificate in un secondo momento modificando le policy dell'organizzazione.
È importante capire in che modo queste limitazioni modificano il comportamento di un determinato servizio Google Cloud o influiscono sulla sovranità o sulla residenza dei dati. Ad esempio, alcune funzionalità o capacità potrebbero essere disattivate automaticamente per garantire la sovranità e la residenza dei dati. Inoltre, se viene modificata un'impostazione dei criteri dell'organizzazione, la conseguenza indesiderata potrebbe essere la copia dei dati da una regione all'altra.
API e servizi inclusi nell'ambito
Servizi
- Compute Engine
- Persistent Disk
- Cloud Storage
- Cloud SQL
- Cloud Key Management Service (Cloud KMS)
- Google Kubernetes Engine
- Cloud Logging
API
I seguenti endpoint API sono disponibili in TSI Sovereign Cloud:
accessapproval.googleapis.comaccesscontextmanager.googleapis.comaxt.googleapis.comclientauthconfig.googleapis.comcloudbilling.googleapis.comcloudkms.googleapis.comcloudnotifications.googleapis.comcloudresourcemanager.googleapis.comcloudsql.googleapis.comcloudsupport.googleapis.comcompute.googleapis.comcontainer.googleapis.comessentialcontacts.googleapis.comiam.googleapis.comlogging.googleapis.commonitoring.googleapis.comorgpolicy.googleapis.comservicenetworking.googleapis.comserviceusage.googleapis.comstackdriver.googleapis.comstorage.googleapis.comsts.googleapis.comvpcaccess.googleapis.com
Criteri dell'organizzazione
Questa sezione descrive in che modo ogni servizio è interessato dai valori predefiniti dei vincoli delle norme dell'organizzazione quando vengono create cartelle o progetti utilizzando TSI Sovereign Cloud. Altri vincoli applicabili, anche se non impostati per impostazione predefinita, possono fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
I seguenti limiti delle norme dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Imposta in:tsi-sovereign come elemento dell'elenco allowedValues.Questo valore limita la creazione di nuove risorse solo al gruppo di valori TSI. Se impostato, non è possibile creare risorse in altre regioni, regioni multiple o località al di fuori di quelle definite dal TSI. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori delle norme dell'organizzazione. |
gcp.restrictNonCmekServices |
Impostato su un elenco di tutti i nomi dei servizi API in ambito, tra cui:
Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La chiave CMEK consente di criptare i dati a riposo con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore mediante la rimozione di uno o più servizi inclusi nell'elenco potrebbe minare la sovranità dei dati, poiché i nuovi dati a riposo verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati at-rest esistenti rimarranno criptati dalla chiave che hai fornito. |
gcp.restrictCmekCryptoKeyProjects |
Impostato su under:organizations/your-organization-name, ovvero la tua organizzazione TSI Sovereign Cloud. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella.Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce alle cartelle o ai progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità sui dati per i dati a riposo dei servizi inclusi nell'ambito. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire una protezione aggiuntiva dei contenuti della memoria in caso di guasto dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati. |
compute.disableSerialPortLogging
| Imposta su True. Disattiva il logging delle porte seriali in Stackdriver dalle VM di Compute Engine nella cartella o nel progetto in cui è applicato il vincolo. La modifica di questo valore potrebbe influire sulla residenza dei dati o sulla sovranità dei dati. |
compute.disableInstanceDataAccessApis
| Imposta su True. Disattiva a livello globale le API instances.getSerialPortOutput() e
instances.getScreenshot(). |
compute.restrictNonConfidentialComputing |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità. Per ulteriori informazioni, consulta la
documentazione di Confidential VM. |
compute.trustedImageProjects |
(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire un'ulteriore difesa in profondità.
L'impostazione di questo valore limita lo spazio di archiviazione delle immagini e l'istanziazione dei dischi all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'uso di immagini o agenti non autorizzati. |
Vincoli dei criteri dell'organizzazione di Cloud Storage
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
storage.uniformBucketLevelAccess |
Imposta su True. L'accesso ai nuovi bucket viene gestito utilizzando i criteri IAM anziché gli elenchi di controllo dell'accesso (ACL) di Cloud Storage. Questo vincolo fornisce autorizzazioni granulari per i bucket e i relativi contenuti. Se un bucket viene creato con questo vincolo attivo, l'accesso non potrà mai essere gestito utilizzando le ACL. In altre parole, il metodo di controllo dell'accesso per un bucket è impostato definitivamente sull'utilizzo dei criteri IAM anziché degli ACL di Cloud Storage. |
storage.restrictAuthTypes |
Impostato per impedire l'autenticazione mediante codice HMAC (Hash-based Message Authentication Code). I seguenti due tipi HMAC sono specificati nel valore di questo vincolo:
La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo vivamente di mantenere il valore impostato. |
Limitazioni dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Viene utilizzato per disattivare l'analisi aggregata dei problemi del kernel, necessaria per mantenere il controllo sovrano di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel tuo carico di lavoro. Ti consigliamo vivamente di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Cloud Key Management Service
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
cloudkms.allowedProtectionLevels |
Imposta su EXTERNAL e EXTERNAL_VPC.Limita i tipi di chiavi CryptoKey di Cloud Key Management Service che possono essere creati ed è impostato per consentire solo i tipi di chiavi EXTERNAL e EXTERNAL_VPC.
|
Funzionalità interessate
Questa sezione elenca l'impatto di TSI Sovereign Cloud sulle funzionalità di ciascun servizio.
Funzionalità di Compute Engine
| Funzionalità | Descrizione |
|---|---|
| Sospensione e ripresa di un'istanza VM | Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono spazio di archiviazione su disco permanente e attualmente lo spazio di archiviazione su disco permanente utilizzato per memorizzare lo stato della VM sospesa non può essere criptato utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| SSD locali | Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptate utilizzando CMEK. Consulta il vincolo delle norme dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati derivanti dall'attivazione di questa funzionalità.
|
| Visualizzazione dell'output della porta seriale | Questa funzionalità è disattivata; non potrai visualizzare l'output
tramite codice o Cloud Logging. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableSerialPortLogging in False per attivare l'output della porta seriale.
|
| Ambiente guest |
È possibile che script, demoni e file binari inclusi nell'ambiente guest accedano a dati at-rest e in uso non criptati.
A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere
installati per impostazione predefinita. Consulta
Ambiente guest per informazioni specifiche su
i contenuti, il codice sorgente e altro ancora di ciascun pacchetto. Questi componenti ti aiutano a garantire la sovranità dei dati tramite controlli e procedure di sicurezza interni. Tuttavia, per i clienti che vogliono un controllo aggiuntivo, puoi anche organizzare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo delle norme dell'organizzazione compute.trustedImageProjects.
Per ulteriori informazioni, consulta l'argomento Creazione di un'immagine personalizzata. |
instances.getSerialPortOutput() |
Questa API è disattivata. Non potrai ottenere l'output della porta seriale
dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
questo argomento.
|
instances.getScreenshot() |
Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo dei criteri dell'organizzazione compute.disableInstanceDataAccessApis in False per attivare questa API. Puoi anche attivare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in
Questo argomento.
|
Funzionalità di Cloud Logging
Configurazione aggiuntiva richiesta di Cloud Logging per CMEK
Per utilizzare Cloud Logging con le chiavi di crittografia gestite dal cliente (CMEK), devi completare i passaggi descritti nell'argomento Attivare le chiavi CMEK per un'organizzazione della documentazione di Cloud Logging.
Funzionalità di Cloud Logging interessate
| Funzionalità | Descrizione |
|---|---|
| Destinazioni dei log | I filtri non devono contenere dati dei clienti. I canali di log includono filtri archiviati come configurazione. Non creare filtri che contengono dati dei clienti. |
| Voci di log di monitoraggio in tempo reale | I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. La funzionalità di monitoraggio dei log non memorizza i dati voce di log, ma può eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengono dati dei clienti. |
| Avvisi basati su log | Questa funzionalità è disattivata. Non puoi creare avvisi basati su log nella console Google Cloud . |
| URL abbreviati per le query di Esplora log | Questa funzionalità è disattivata. Non puoi creare URL abbreviati delle query nella console Google Cloud . |
| Salvataggio delle query in Esplora log | Questa funzionalità è disattivata. Non puoi salvare query nella console Google Cloud . |
| Analisi dei log con BigQuery | Questa funzionalità è disattivata. Non puoi utilizzare la funzionalità Log Analytics. |