本指南適用對象為負責實作《聯邦風險與授權管理計畫》(簡稱「FedRAMP」) 和遵循相關規定 Google Cloud的資安主管、法規遵循主管、IT 管理員和其他員工。這份指南可協助您瞭解 Google 如何支援 FedRAMP 法規遵循,以及您可透過設定哪些工具、產品和服務來符合 FedRAMP 規範的責任。 Google Cloud
總覽
Google Cloud 支援 FedRAMP 法規遵循,並在 Google 安全性白皮書和 Google 基礎架構安全性設計總覽 中,提供安全性和資料保護方法的具體詳細資訊。雖然 Google 提供安全且符合法規的雲端基礎架構,但您最終仍須負責評估自己的 FedRAMP 法規遵循情況。您也有責任確保在 Google Cloud 上建構的環境和應用程式,一律已按照 FedRAMP 規定,進行妥善設定並獲得安全保護。
本文件概略說明 FedRAMP 營運授權 (ATO) 階段,並說明 Google Cloud 共享責任模式、強調客戶特定責任,以及建議如何在 Google Cloud中符合這些規定和指南。
FedRAMP
聯邦風險與授權管理計畫 (FedRAMP) 適用於整個政府機構,用途為標準化美國聯邦資訊安全現代化法案 (FISMA) 對雲端運算的影響。這套反覆做法可供相關人員對雲端式服務進行安全性評估、授權和持續監控。
採用 FedRAMP 的標準與指引,可確保雲端中的機密、任務必備和任務重要資料受到保護,並快速偵測網路安全性和安全漏洞。
整體來說,FedRAMP 的目標如下:
- 確保政府機關使用的雲端服務和系統有足夠的安全防護措施。
- 減少重複作業並降低風險管理成本。
- 讓政府機關能以快速且具成本效益的方式採購資訊系統和服務。
聯邦政府機關必須遵守 FedRAMP 規範,並完成下列事項:
- 確保所有處理、傳輸及儲存政府資料的雲端系統都使用 FedRAMP 安全控制項基準。
- 根據 FISMA 授予安全性授權時,請使用安全性評估計畫。
- 透過與雲端服務供應商 (CSP) 簽訂的合約,強制執行 FedRAMP 規定。
執行授權 (ATO)
成功導入並執行 FedRAMP 認證程序,即可在雲端取得執行授權 (ATO)。FedRAMP 執行授權有兩種路徑:P-ATO 和 Agency ATO。
FedRAMP 聯合授權委員會 (JAB) 會核發 P-ATO,也就是暫時性執行授權。JAB 由國土安全部 (DHS)、總務署 (GSA) 和國防部 (DoD) 的 CIO 組成。委員會會定義 FedRAMP 安全控制措施基準,並為第三方評估機構 (3PAO) 建立 FedRAMP 認證標準。機構和機關可要求 JAB 處理其資訊系統安全性套件,JAB 隨後會核發 P-ATO,以便使用雲端服務。
採用 Agency ATO 時,內部機構或代理機構會指定授權主管機關 (AO) 針對資訊系統安全性套件進行風險審查。AO 可以協同 3PAO 或未經認證的獨立評估機構 (IA) 審查資訊系統安全性套件。AO 以及後續的代理機構或機構會授權資訊系統使用雲端服務。系統也會將安全性套件傳送給 FedRAMP 計畫管理辦公室 (PMO) 進行審查;FedRAMP 的 PMO 為 GSA。經審查之後,PMO 會發布其他代理機構和機構專用的安全性套件。
安全性評估計畫
機構和組織的授權官 (AO) 必須將 FedRAMP 安全性評估計畫 (SAP) 納入內部授權程序,確保符合 FedRAMP 雲端服務使用規定。SAF 的實作分為四個階段:
您或您的 AO 可以根據 FIPS PUB 199 安全性目標,將資訊系統分類為低、中或高影響系統,以確保機密性、完整性和可用性。
根據系統的 FIPS 分類,選取與 FIPS 199 分類程度低、中、高度相關的 FedRAMP 安全性控制基準。您就必須導入在個別控制基準中擷取的安全性控管機制。我們也提供替代做法及理由,說明可接受無法達成或導入控管的原因。
在系統安全性計畫 (SSP) 中記錄安全控管機制的實作詳細資訊。建議您根據 FedRAMP 法規遵循程度 (低、中或高) 選取 SSP 範本。
SSP 會執行以下作業:
- 說明安全性授權邊界。
- 說明系統導入方式如何處理每項 FedRAMP 安全控管。
- 列出系統角色和職責。
- 定義系統使用者的預期行為。
- 展示系統的架構方式,以及支援基礎架構的樣貌。
您可以使用 FedRAMP 授權審查範本追蹤 ATO 進度。
如要進一步瞭解導入階段,請參閱 FedRAMP 的代理機構授權程序。
雲端責任模式
傳統的基礎架構技術 (IT) 需要機構和代理機構購買、實體資料中心或主機代管空間、實體伺服器、網路設備、軟體、授權和其他用於建置系統與服務的服務。雲端服務供應商可透過雲端運算,投資實體硬體、資料中心和全球網路,同時提供虛擬設備、工具和服務給客戶使用。
目前有三種雲端運算模型:基礎架構式服務 (IaaS)、平台式服務 (PaaS) 和軟體式服務 (SaaS):
在 IaaS 模式中,CSP 基本上會在雲端提供虛擬資料中心,並提供伺服器、網路和儲存空間等虛擬化運算基礎架構。雖然 CSP 會管理這些資源的實體設備和資料中心,但您必須負責設定及保護在虛擬化基礎架構上執行的任何平台或應用程式資源。
在PaaS 模式中,CSP 不僅提供及管理基礎架構和虛擬化層,還會為客戶提供預先開發及預先設定的平台,用於建立軟體、應用程式和網路服務。開發人員可以透過 PaaS 輕鬆建立應用程式和中介軟體,不必擔心基礎硬體的安全性和設定。
在軟體式服務 (SaaS) 模式中,CSP 負責管理實體、虛擬基礎架構和平台層,同時也為客戶提供雲端式應用程式和服務。直接從網路瀏覽器或網站執行的網路應用程式,即為 SaaS 應用程式。透過這種模式,機構和代理機構就不必擔心應用程式安裝、更新或支援問題,因此只需要管理系統和資料存取權政策即可。
下圖說明 CSP 責任和您在內部部署和各雲端運算模型中的責任:
FedRAMP 責任
您可以根據四個層級來查看雲端 IT 堆疊:實體基礎架構層、雲端基礎架構層、雲端平台層和雲端軟體層。下圖顯示這些層。
圖表中的編號層對應如下:
- 軟體式服務Google Workspace 也通過 FedRAMP 中等風險領域規範認證。如要繼承這些 SaaS 安全性控管功能,您可以向 JAB 申請 Google 的 ATO 套件副本,並在套件中附上 Google 認證函副本。
- 平台即服務 (PaaS)。除了 Google Cloud的 FedRAMP 認證實體基礎架構,FedRAMP 也涵蓋其他 PaaS 產品和服務,包括 App Engine、Cloud Storage 和資料庫服務。盡可能使用這些預先認證的產品和服務。
- 基礎架構式服務。除了 Google Cloud的 FedRAMP 認證實體基礎架構,FedRAMP 也涵蓋其他 IaaS 產品和服務,包括 Google Kubernetes Engine (GKE) 和 Compute Engine。盡可能使用這些預先認證的產品和服務。
- 實體基礎架構。 Google Cloud 已獲得 JAB 認證,符合 FedRAMP 中等風險標準。如要繼承這些實體安全控管措施,您可以申請 Google 的 ATO 套件副本,並在套件中加入 Google 的認證函。
就 FedRAMP 的 ATO 而言,雲端 IT 堆疊的每個層級都會被視為獨立控制界線,且每個控制界線需要獨立的 ATO。也就是說,即使 Google Cloud 符合 FedRAMP 法規,且有數十項 Google Cloud 服務受 FedRAMP 涵蓋,您仍必須實作 FedRAMP 安全性基準控管機制和安全性評估程序,才能讓雲端系統和工作負載符合 FedRAMP 法規。
在低、中、高等級法規遵循基準中,FedRAMP 安全控管機制分為兩種:資訊系統實作的控管機制,以及機構實作的控管機制。當貴機構或代理商在 Google Cloud上建構符合 FedRAMP 法規的系統時,您會繼承 Google 在 FedRAMP 認證下符合的實體基礎架構安全性控管機制。您也會繼承 Google 符合 FedRAMP 規範的產品和服務,以及使用 Google Workspace 時的所有 SaaS 控管措施所內建的任何實體基礎架構、IaaS 和 PaaS 安全控管措施。不過,您必須依據 FedRAMP 安全控管機制基準定義,在 IaaS、PaaS 和 SaaS 層級實作所有其他安全控管機制和設定。
FedRAMP 導入建議
如前文所述,您會繼承 CSP 的部分安全性控制項。對於其他控管機制,您必須特別設定控管機制,並建立機構定義的政策、規則和規範,以符合各項控管機制。
本節將提供建議,協助您在雲端透過組織定義的政策,搭配使用Google Cloud 工具、服務和最佳做法,實作 NIST 800-53 安全性控管措施。
存取權控管
如要管理 Google Cloud中的存取權控管,請定義機構管理員,以便管理雲端中的資訊系統帳戶。使用 Cloud Identity、管理控制台或其他識別資訊提供者 (例如 Active Directory 或 LDAP),將這些管理員加入存取控制群組,確保第三方識別資訊提供者與Google Cloud建立聯結。使用身分與存取權管理 (IAM) 為管理群組指派角色和權限,實施最低權限和職責分離。
針對雲端資訊系統帳戶,制定全機構存取權控管政策。定義貴機構建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。
帳戶管理、職責區隔和最低權限
在存取權控管政策中,定義貴機構建立、啟用、修改、停用及移除資訊系統帳戶的參數和程序。定義應使用資訊系統帳戶的條件。
此外,請找出使用者必須登出系統運作的閒置時間 (例如 x 分鐘、小時或天)。使用 Cloud Identity、管理控制台或應用程式設定,強制使用者在指定時間範圍內強制登出或重新驗證。
定義當機構中的使用者不再適合擔任特權角色時,應採取哪些行動。Google 的 *Policy Intelligence 提供 IAM 推薦功能,可利用機器學習技術提供智慧型存取權控管建議,協助您移除不必要的Google Cloud 資源存取權。
定義群組帳戶的適當條件。使用 Cloud Identity 或管理控制台建立群組或服務帳戶。使用 IAM 將角色和權限指派給共用群組和服務帳戶。盡可能使用服務帳戶。請說明貴機構的資訊系統帳戶有哪些非典型用途。偵測到異常使用行為時,請使用 Google Cloud 觀測功能或 *Security Command Center 等工具,通知資訊系統管理員。
請遵循下列指南,協助實作下列安全控管機制:AC-02、AC-02 (04)、AC-02 (05)、AC-02 (07)、AC-02 (09)、AC-02 (11)、AC-02 (12)、AC-05、AC-06 (01)、AC-06 (03)、AC-06 (05)、AU-2、AU-3、AU-6、AU-12、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)。
強制執行資訊流程和遠端存取
在機構層級存取權控管政策中,為貴機構定義資訊流控管政策。找出禁止或受限的通訊埠、通訊協定和服務。定義與內部和外部系統連結的規定和限制。使用 虛擬私有雲 等工具建立防火牆、邏輯隔離網路和子網路。導入 Cloud Load Balancing、*Cloud Service Mesh 和 VPC Service Controls,協助控管資訊流。
設定資訊流量控管政策時,請找出貴機構的控管網路存取點。使用Identity-Aware Proxy 等工具,為遠端和現場使用者提供根據情境存取雲端資源的功能。使用 Cloud VPN 或 Cloud Interconnect,即可安全地直接存取虛擬私有雲。
設定全機構政策,執行特權指令和透過遠端存取方式存取安全資料。使用 IAM 和 VPC Service Controls 限制機密資料和工作負載的存取權。
請遵循以下指南,以便實作下列安全控管機制:AC-04、AC-04 (08)、AC-04 (21)、AC-17 (03)、AC-17 (04)、CA-03 (03)、CA-03 (05)、CM-07、CM-07(01)、CM-07(02)。
登入嘗試、系統使用通知和工作階段終止
在存取控制政策中,指定使用者在 15 分鐘內嘗試登入 3 次失敗時,應延遲多久才能存取登入提示。定義使用者工作階段終止或中斷連線的條件和觸發事件。
您可以使用 Cloud Identity 進階版或管理控制台,管理連線至網路的行動裝置,包括自攜裝置。建立適用於行動裝置的機構全體安全性政策。列出連續登入失敗後,清除和抹除行動裝置資料的相關規定和程序。
開發全公司通用的語言和系統使用通知,向存取資訊系統的使用者提供隱私權政策、使用條款和安全性通知。定義在授予使用者存取權之前,要顯示全機構通知的條件。Pub/Sub 是一項全域訊息和事件擷取系統,可用於將通知推送至應用程式和使用者。您也可以使用 *Chrome Enterprise Suite (包括 *Chrome 瀏覽器和 *ChromeOS),搭配 *Push API 和 *Notifications API 傳送通知和更新給使用者。
請遵循下列指南,協助實作下列安全控管機制:AC-07、AC-07 (02)、AC-08、AC-12、AC-12 (01)。
允許的動作、行動裝置、資訊分享
在存取權控管政策中,定義可在資訊系統上執行的使用者動作,且不需進行身分識別和驗證。使用 IAM 管制使用者查看、建立、刪除及修改特定資源的存取權。
制定全機構適用的資訊分享政策。決定可分享資訊的情況,以及使用者在何時需要自行斟酌是否要分享資訊。採用流程,協助使用者在整個機構內分享資訊和協同合作。Google Workspace 提供多項實用功能,可控管團隊間的協作與互動。
請遵循以下指南,協助實作下列安全控管機制:AC-14、AC-19 (05)、AC-21。
宣導和訓練
建立安全性政策和相關訓練教材,至少每年向機構內的使用者和安全性群組宣導一次。Google 提供專業服務選項,可針對雲端安全性教育使用者,包括但不限於 Cloud Discover Security 參與活動和 Google Workspace 安全性評估。
至少每年更新安全性政策和訓練。
請遵循這些指南,協助實施安全控管機制 AT-01。
稽核與責任
建立全機構稽核政策和權責控管機制,針對與雲端資訊系統相關的稽核人員、事件和動作制定程序和實作規範。
在全機構稽核政策中,列出貴機構資訊系統應稽核的事件,以及稽核頻率。記錄的事件範例包括成功和失敗的帳戶登入事件、帳戶管理事件、物件存取、政策變更、特殊權限功能、程序追蹤和系統事件。以網頁應用程式為例,這類活動包括管理員活動、驗證檢查、授權檢查、資料刪除、資料存取、資料變更和權限變更。定義貴機構感興趣的其他事件。
對於稽核政策,我們也建議您明確指出機構中不當或異常活動的徵兆。定期 (至少每週一次) 監控、記錄及標記這些活動。
使用 Google Cloud Observability 管理 GCP、地端部署或其他雲端環境的記錄檔、監控及快訊功能。 Google Cloud使用 Google Cloud 觀測功能設定及追蹤機構中的安全性事件。您也可以使用 Cloud Monitoring 設定自訂指標,監控稽核記錄中的特定稽核事件。
啟用資訊系統,以便在稽核處理作業失敗時通知管理員。您可以使用 Pub/Sub 和快訊等工具實作這些快訊。
設定標準,在系統或功能發生故障時,在指定時間範圍內 (例如 15 分鐘內) 通知管理員,包括稽核記錄達到指定閾值或容量時。決定全公司時間測量的精細程度,以便為稽核記錄加上時間戳記並記錄。定義資訊系統稽核記錄中時間戳記記錄的容許值 (例如,近乎即時或 20 分鐘內)。
設定VPC 資源配額,以建立稽核記錄儲存空間的容量門檻。設定預算快訊,在達到或超過資源限制的百分比時通知管理員。
定義稽核資料和記錄的機構級儲存需求,包括稽核記錄的可用性和保留規定。使用 Cloud Storage 儲存及封存稽核記錄,並使用 BigQuery 進一步分析記錄。
請遵循下列指南,協助實作下列安全控管機制:AU-01、AU-02、AU-04、AU-05、AU-05 (01)、AU-06、AU-07 (01)、AU-08、AU-08 (01)、AU-09 (04)、AU-09 (04)、AU-12、AU-12 (01)、AU-12 (03)、CA-07。
安全性評估和授權
制定全機構的安全評估和授權政策,定義機構安全評估、安全控管機制和授權控管機制的程序和實施要求。
在安全性評估和授權政策中,定義安全性評估團隊必須具備的獨立性程度,才能公正評估雲端中的資訊系統。找出需要由獨立評估人員評估的資訊系統。
安全性評估至少應涵蓋下列項目:
- 深入監控
- 安全漏洞掃描
- 惡意使用者測試
- 內部威脅評估
- 效能和負載測試
貴機構應定義額外安全評估要求和形式。
請確認安全評估和授權政策中指定的安全系統分類和規定,包括未分類和非國家安全系統的規定。
在貴機構的資訊流控管政策中,列出與內部和外部系統連結的規定和限制。設定 VPC 防火牆規則,允許或拒絕資訊系統的流量,並使用 VPC Service Controls 透過安全參數保護機密資料。
設定全機構稽核和問責政策,強制執行持續監控規定 (CA-07)。
請遵循下列指南,協助實作下列安全控管機制:CA-01、CA-02、CA-02 (01)、CA-02 (02)、CA-02 (03)、CA-03 (03)、CA-03 (05)、CA-07、CA-07 (01)、CA-08、CA-09。
設定管理
建立全機構的設定管理政策,定義全機構設定管理控管機制、角色、責任、範圍和法規遵循的程序和實作規範。
為機構擁有的資訊系統和系統元件制定設定標準。提供資訊系統設定的作業需求和程序。明確指出系統管理員必須保留多少先前版本的基準設定,以便支援資訊系統回溯功能。使用 Google 的一系列設定管理工具,以程式碼的形式控管 IT 系統設定,並使用 *Policy Intelligence 或 *Security Command Center 監控設定變更。
針對貴機構中的每種資訊系統類型 (例如雲端、內部部署、混合式、未分類、受控的未分類資訊 (CUI) 或機密) 指定設定需求。此外,請為機構擁有的裝置和自攜裝置定義安全防護要求,包括識別安全和不安全的地理位置。使用 Identity-Aware Proxy 對組織擁有的資料強制執行情境式存取權控管機制,包括依據地理位置設定存取權控管機制。使用 Cloud Identity 進階版或管理控制台,在連線至公司網路的行動裝置上強制執行安全性設定。
在設定管理政策中,定義全機構的設定變更控制元素,例如變更控制委員會或董事會。記錄委員會開會頻率和條件。建立正式機構,負責審查及核准設定變更。
找出貴機構的設定管理核准單位。這些管理員會審查資訊系統變更要求。定義主管機關核准或拒絕變更要求的時間範圍。為變更導入者提供指引,以便在資訊系統變更完成後通知核准單位。
針對貴機構的開放原始碼軟體使用行為設定限制,包括哪些軟體已獲核准,哪些軟體未獲核准。使用 Cloud Identity 或管理控制台,為貴機構強制執行已核准的應用程式和軟體。有了 Cloud Identity 進階版,您就能為第三方應用程式啟用單一登入和多重驗證。
使用快訊等工具,在記錄設定變更時傳送通知給安全性管理員。授予管理員* Security Command Center 等工具的存取權,以便近乎即時監控設定變更。透過 *Policy Intelligence,您可以運用機器學習技術研究機構定義的設定,瞭解設定是否與基準值有所變動。
使用資訊流量控制政策,在貴機構中強制執行最少的功能。
請遵循以下指南,以便實作下列安全控管機制:CM-01、CM-02 (03)、CM-02 (07)、CM-03、CM-03 (01)、CM-05 (02)、CM-05 (03)、CM-06、CM-06 (01)、CM-06 (02)、CM-07、CM-07 (01)、CM-07 (02)、CM-07 (05)、CM-08、CM-08 (03)、CM-10 (01)、CM-11、CM-11 (01)、SA-10。
應變計畫
為貴機構擬定應變計劃,定義貴機構應變計劃控制項的程序和實作規定。找出各個組織元素的關鍵應變人員、角色和職責。
請在貴機構內,突顯任務關鍵和業務關鍵資訊系統作業。列出啟用備用計畫時,復原時間目標 (RTO) 和復原點目標 (RPO),以便恢復必要作業。
記錄重要資訊系統和相關軟體。找出任何其他安全性相關資訊,並提供關鍵系統元件和資料備份副本的儲存指南和相關規定。部署 Google 的全球、區域和區域資源,以及全球位置,以確保高可用性。使用 Cloud Storage 級別,處理多區域、區域、備份和封存選項。使用 Cloud Load Balancing 實作全球網路自動調度資源與負載平衡功能。
請遵循以下指南,以利實施下列安全控管機制:CP-01、CP-02、CP-02 (03)、CP-07、CP-08、CP-09 (03)。
身分識別和驗證
為貴機構建立身分和驗證政策,指定身分和驗證程序、範圍、角色、責任、管理、實體和法規遵循。指定貴機構所需的識別和驗證控管機制。使用 Cloud Identity 進階版或管理控制台,找出可連線至貴機構資源的企業和個人裝置。使用 Identity-Aware Proxy 強制執行資源的情境感知存取權。
請提供組織的 authenticator 內容指南、驗證重複使用條件、保護 authenticator 的標準,以及變更或重新整理 authenticator 的標準。此外,請記錄使用快取驗證工具的相關規定。指定快取驗證工具的使用時間限制,並定義快取驗證工具的到期時間。定義組織內資訊系統應強制執行的最小和最大生命週期要求,以及刷新時間間隔。
使用 Cloud Identity 或管理控制台強制執行密碼政策,設定敏感度、字元使用、建立或重複使用新密碼、密碼使用期限、儲存和傳輸規定。
列出貴機構的硬體和軟體權杖驗證需求,包括但不限於 PIV 卡和 PKI 需求。您可以使用 *Titan 安全金鑰,針對管理員和特權人員強制實施額外的驗證規定。
在身分和驗證政策中,列出可接受貴機構第三方的聯邦身分、憑證和存取權管理 (FICAM) 資訊系統元件。Google Identity Platform 是客戶身分與存取權管理 (CIAM) 平台,可協助機構在外部實體存取的應用程式中加入身分與存取權管理功能。
請遵循下列指南,協助實作以下安全控管機制:IA-01、IA-03、IA-04、IA-05、IA-05 (01)、IA-05 (03)、IA-05 (04)、IA-05 (11)、IA-05 (13)、IA-08 (03)。
事件應變
為貴機構建立事件回應政策,包括便於實施事件回應控管機制的程序。為貴機構的事件回應團隊和主管機關建立安全性群組。使用 Google Cloud 觀測或 *Security Command Center 等工具,分享事件、記錄和詳細資料。
制定事件回應測試計畫、程序和檢查清單,以及成功的必要條件和基準。指定貴機構應辨識的事件類別,並概略說明針對這類事件採取的相關動作。定義事件發生時,授權人員應採取的行動。這些動作可能是管理資訊外洩、網路安全漏洞和攻擊的步驟。請善用 Google Workspace 的功能,掃描及隔離電子郵件內容、封鎖網路釣魚攻擊,以及設定附件的限制。使用 Sensitive Data Protection 檢查、分類及去識別化機密資料,以協助限制資料外洩。
指定全機構的事件回應訓練需求,包括一般使用者和特權角色的訓練需求和職責。強制執行訓練課程的時間範圍規定 (例如,加入後 30 天內、每季或每年)。
請遵循以下指南,協助實作以下安全控管機制:IR-01、IR-02、IR-03、IR-04 (03)、IR-04 (08)、IR-06、IR-08、IR-09、IR-09 (01)、IR-09 (03)、IR-09 (04)。
系統維護
為貴機構建立系統維護政策,記錄系統維護控管機制、角色、責任、管理、協調需求和法規遵循規定。定義受控維護的參數,包括進行外部維護和修理作業的核准程序,以及整個機構更換故障裝置和零件的回應時間。貴機構可以利用資料刪除功能 Google Cloud來清理資料和設備,並利用Google 的資料中心安全性和創新技術進行離站維護和維修。
請遵循以下指南,協助實作以下安全控管機制:MA-01、MA-02、MA-06。
媒體保護
Google Cloud的 FedRAMP ATO 包含實體基礎架構的媒體保護需求。請參閱 Google 的基礎架構安全性設計和安全性總覽。之後,您必須負責滿足虛擬基礎架構的安全性規定。
為貴機構制定媒體保護政策,記錄媒體控管機制、保護政策和程序、法規遵循規定,以及管理角色和職責。記錄協助及實施媒體保護措施的程序,並在貴機構內實施這些程序。建立安全性群組,用於識別管理媒體和相關保護措施的人員和角色。
指定貴機構核准的媒體類型和存取權,包括數位和非數位媒體限制。設定必須在貴機構中實作的媒體標記和媒體處理例外狀況,包括受控存取區域內外部的安全標記規定。使用 *Data Catalog 管理雲端資源中繼資料,簡化資料探索作業。透過 *Service Catalog 控管貴機構的雲端資源法規遵循情況,規範雲端資源的發布和探索作業。
找出如何清理、處置或重複使用貴機構管理的媒體。列出需要或可接受媒體和裝置的消毒、處置或重複使用情境和用途。定義貴機構認為可接受的媒體安全防護方法和機制。
使用 Google 服務,您就能享有資料刪除和 Google Cloud 設備清理功能的優勢,以及 Google 的資料中心安全性和創新技術。此外,Cloud KMS 和 Cloud HSM 提供符合 FIPS 標準的密碼編譯保護機制,您也可以使用 *Titan 安全性金鑰,為管理員和特權人員強制執行額外的實體驗證規定。
請遵循下列指南,協助實作下列安全控管機制:MP-01、MP-02、MP-03、MP-04、MP-06、MP-06 (03)、MP-07。
人身安全和環境保護
Google Cloud 的 FedRAMP ATO 符合實體基礎架構的實體和環境保護要求。請參閱 Google 的基礎架構安全性設計和安全性總覽。之後,您必須負責滿足虛擬基礎架構的安全性規定。
為貴機構建立實體和環境保護政策,其中應列出保護控管機制、保護實體、法規遵循標準、角色、職責和管理需求。概述如何在貴機構中實施實體和環境保護措施。
建立安全性群組,用於識別管理實體和環境保護措施的人員和角色。要求存取敏感運算資源的管理員使用 *Titan 安全金鑰或其他形式的多重驗證,以驗證存取完整性。
在實體和環境保護政策中,定義貴機構的實體存取控管規定。找出資訊系統網站的設施進出點、這些設施的存取權控管安全防護措施,以及商品目錄需求。善用 *Google 地圖平台等工具,以視覺化方式顯示及追蹤設施和地點對應的進出點。使用 Resource Manager 和 *Service Catalog 控管雲端資源的存取權,讓資源井然有序,方便您輕鬆查看。
使用 Cloud Monitoring 設定可記錄的事件、存取和事件。定義應記錄在 Cloud Logging 中的全組織實體存取事件。
使用實體和環境保護政策來因應緊急情況,例如緊急關閉資訊系統、緊急電源、滅火和緊急應變。找出緊急應變人員的聯絡窗口,包括當地的緊急應變人員和貴機構的實體安全人員。列出替代工作地點的規定和位置。指定主要工作地點和備用工作地點的安全控制項和人員。部署 Google 的全球、區域和可用區資源,以及全球位置,以確保高可用性。使用 Cloud Storage 級別,即可使用多區域、區域、備份和封存選項。使用 Cloud Load Balancing 實作全球網路自動調度資源與負載平衡功能。建立宣告式部署範本,以建立可重複的範本驅動部署程序。
請遵循以下指南,協助實作下列安全控管機制:PE-01、PE-03、PE-03 (01)、PE-04、PE-06、PE-06 (04)、PE-10、PE-13 (02)、PE-17。
系統安全性規劃
為貴機構制定安全性規劃政策,概述安全性規劃控管機制、角色、責任、管理、貴機構的安全性規劃實體,以及法規遵循規定。說明您希望如何在貴機構中實施安全性規劃。
建立群組,以便定義安全規劃人員。指定安全群組,用於貴機構的安全評估、稽核、硬體和軟體維護、修補管理和備用計畫。使用 Google Cloud 可觀測性或 *Security Command Center 等工具,監控貴機構的安全性、法規遵循和存取權控管。
請遵循以下規範,協助實作下列安全控管機制:PL-01、PL-02、PL-02 (03)。
員工安全性
建立人員安全性政策,說明安全人員、他們的角色和職責、您希望如何實施人員安全性,以及在整個機構中要強制執行哪些人員安全性控管機制。記錄需要個人接受機構安全審查、重新審查和調查的條件。列出貴機構的安全許可規定。
提供人事終止和轉調的相關指引。定義離職面談的需求和參數,以及應在面談中討論的安全性主題。請指定貴機構的安全和管理實體在何時收到人員解雇、轉移或重新指派的通知 (例如 24 小時內)。請指定您希望人員和機構在轉移、重新指派或終止服務時完成的動作。此外,也請說明如何執行正式員工處罰的規定。說明您希望何時通知安全人員和管理員員工處分結果,並解釋處分程序。
使用 IAM 為人員指派角色和權限。在 Cloud Identity 或管理控制台中新增、移除、停用及啟用人員個人資料和存取權。針對使用 *Titan 安全金鑰的管理員和特權人員,強制實施額外的實體驗證規定。
請遵循以下指南,協助實作下列安全控管機制:PS-01、PS-03、PS-04、PS-05、PS-07、PS-08。
風險評估
實施風險評估政策,其中應明確指出風險評估人員、您希望在整個組織中強制執行的風險評估控管,以及在貴機構中執行風險評估的程序。定義您希望風險評估作業如何記錄及回報。使用 *Security Command Center 等工具,自動通知安全人員安全性風險和貴機構的整體安全防護機制。
利用 Google 的風險評估工具套件,例如 Web Security Scanner、Artifact Analysis、Google Cloud Armor 和 Google Workspace 網路釣魚和惡意軟體防護功能,掃描貴機構的資訊系統是否有漏洞,並回報相關資訊。將這些工具提供給風險評估人員和管理員,協助他們找出並排除安全漏洞。
請遵循以下規範來設定下列安全控管機制的基礎:RA-01、RA-03、RA-05。
取得系統和服務
制定系統和服務採購政策,概述主要人員的角色和職責、採購和服務管理、法規遵循和實體。列出貴機構的系統和服務採購程序和導入指南。定義貴機構的資訊系統和資訊安全系統開發生命週期。列出資訊安全角色和職責、人員,以及您希望貴機構的風險評估政策如何推動及影響系統開發生命週期活動。
在資訊系統文件不存在或未定義的情況下,請強調您預期在機構內執行的程序。視需要與貴機構的資訊系統管理員和系統服務人員合作。為實施或存取貴機構資訊系統的管理員和使用者,定義任何必要的訓練。
使用 *Security Command Center 等工具,追蹤貴機構的安全性法規遵循、發現項目和安全控制政策。Google 會列出所有安全標準、法規和認證,協助客戶瞭解如何遵守Google Cloud的相關法規和法規要求。此外,Google 也提供一系列安全產品,協助客戶持續監控雲端和內部部署的資訊系統、通訊和資料。
指定機構的資料、服務和資訊處理作業的任何地理位置限制,以及資料可儲存在其他位置的條件。Google 在 Google Cloud提供全球、區域和區域選項,可用於儲存、處理資料,以及使用服務。
利用設定管理政策來規範系統和服務取得控管的開發人員設定管理,並使用安全性評估和授權政策來強制執行開發人員的安全性測試和評估要求。
請遵循以下規範,協助實作下列安全控管機制:SA-01、SA-03、SA-05、SA-09、SA-09 (01)、SA-09 (04)、SA-09 (05)、SA-10、SA-11、SA-16。
系統和通訊保護
建立系統和通訊保護政策,概述主要人員的角色和職責、系統通訊保護政策的實施要求,以及貴機構所需的保護控管機制。找出貴機構所辨識及監控的阻斷服務攻擊類型,並列出貴機構的 DoS 防護需求。
使用 Google Cloud Observability 記錄、監控及發出貴機構遭受預先定義安全性攻擊的快訊。導入 Cloud Load Balancing 和 Google Cloud Armor 等工具,保護雲端範圍,並運用防火牆和網路安全控管機制等 VPC 服務,保護內部雲端網路。
請找出貴機構的資源可用性需求,定義您希望在貴機構中如何分配雲端資源,以及要實施哪些限制來限制過度使用。您可以使用 Resource Manager 等工具,控管機構、資料夾、專案和個別資源層級的資源存取權。設定資源配額,即可管理 Google Cloud中的 API 要求和資源使用率。
為資訊系統和系統通訊建立邊界保護需求。定義內部通訊流量的需求,以及內部流量與外部網路互動的預期方式。指定 Proxy 伺服器和其他網路路由和驗證元件的要求。
運用 *Cloud Service Mesh 管理貴機構的網路流量和通訊流程。使用 Identity-Aware Proxy 控管雲端資源存取權,依據驗證、授權和情境 (包括地理位置或裝置指紋) 進行控管。實作 *私人 Google 存取權、*Cloud VPN 或 *Cloud Interconnect,以保護內部和外部資源之間的網路流量和通訊。使用虛擬私人雲端定義及保護貴機構的雲端網路;建立子網路,進一步隔離雲端資源和網路範圍。
Google 提供全球軟體定義網路,提供多區域、區域和可用區選項,可確保高可用性和容錯功能。請為貴機構定義失敗條件,確保資訊系統在發生故障時會進入已知狀態。擷取保存資訊系統狀態資訊的相關規定。使用代管執行個體群組和Deployment Manager 範本,重新建立失敗或不健康的資源。讓管理員存取* Security Command Center,主動監控貴機構的機密性、完整性和可用性。
在政策中,列出貴機構管理加密編譯金鑰的相關規定,包括金鑰產生、發布、儲存、存取和銷毀的規定。使用 Cloud KMS 和 Cloud HSM 在雲端管理、產生、使用、輪替、儲存及銷毀符合 FIPS 標準的安全金鑰。
Google 預設會加密靜態資料,但您可以搭配使用 Cloud KMS、Compute Engine 和 Cloud Storage,透過加密編譯金鑰進一步加密資料。您也可以部署受防護的 VM,在 Compute Engine 上強制執行核心層級完整性控管機制
請遵循下列指南,協助實作下列安全性控制項:SC-01、SC-05、SC-06、SC-07 (08)、SC-07 (12)、SC-07 (13)、SC-07 (20)、SC-07 (21)、SC-12、SC-24、SC-28、SC-28 (01)。
系統和資訊完整性
實施系統和資訊完整性政策,概述主要人員的角色和責任、完整性實施程序和要求、法規遵循標準,以及貴機構的安全控管機制。為貴機構負責系統和資訊完整性的人員建立安全性群組。列出貴機構的缺失修正要求,包括監控、評估、授權、實施、規劃、基準測試和修正貴機構及其資訊系統的安全性缺失的規範。
善用 Google 的安全工具組合,包括但不限於:
- Chrome 瀏覽器
- Web Security Scanner
- Artifact Analysis
- Google Workspace 網路釣魚和惡意軟體防護功能
- Google Workspace 安全中心
- Google Cloud Armor
您可以使用這些工具執行下列操作:
- 防範惡意程式碼、網路攻擊和常見安全漏洞。
- 隔離垃圾郵件,並設定垃圾郵件和惡意軟體政策。
- 提醒管理員注意安全漏洞。
- 取得整個機構的洞察資訊,以便集中管理。
使用 Google Cloud 可觀測性或 *Security Command Center 等工具,集中管理、監控及監控貴機構的安全性控管項目和發現項目。具體來說,您可以使用 Google Cloud Observability 記錄機構內特權使用者和人員所發起的管理動作、資料存取和系統事件。通知管理員錯誤訊息和資訊系統錯誤處理方式。
定義與貴機構軟體、韌體和資訊相關的安全性事件 (例如零時差漏洞、未經授權的資料刪除、安裝新硬體、軟體或韌體)。說明發生這類安全性相關變更時,應採取的步驟。請指定管理員應特別留意的監控目標和攻擊指標,並納入貴機構內部資訊系統中應監控的重要資訊。定義系統和資訊監控角色和職責,以及監控和回報的頻率 (例如即時、每 15 分鐘、每小時或每季)。
記錄分析機構內部資訊系統通訊流量的相關需求。指定發現異常情況的必要條件,包括用於監控的系統點。*Google 的 Network Intelligence Center 服務可讓您深入監控網路效能和安全性。Google 也與強大的第三方合作夥伴合作,整合Google Cloud 來掃描及保護雲端端點和主機,例如 +Aqua Security 和 +Crowdstrike。受防護的 VM 可強化裝置、驗證身分驗證,並確保安全的啟動程序。
定義貴機構如何檢查及防範安全異常和完整性違規。使用 *Security Command Center 或 *Policy Intelligence 等工具,監控及偵測設定變更。使用 + 設定管理工具或 Deployment Manager 範本,重新實例化或停止雲端資源的變更。
在系統資訊和完整性政策中,指定授權及核准貴機構網路服務的相關規定。列出網路服務的核准和授權程序。如要使用防火牆保護網路範圍,定義雲端網路和子網路,就必須使用 VPC。透過 VPC Service Controls,您可以為雲端中的機密資料強制實施額外的網路安全範圍。
除了上述所有功能外,您還會自動繼承 Google 的安全啟動堆疊和可信賴的深層防禦基礎架構。
請遵循下列規範,協助實作下列安全控管機制:SI-01、SI-02 (01)、SI-02 (03)、SI-03 (01)、SI-04、SI-04 (05)、SI-04 (11)、SI-04 (18)、SI-04 (19)、SI-04 (20)、SI-04 (22)、SI-04 (23)、SI-05、SI-06、SI-07、SI-07 (01)、SI-07 (05)、SI-07 (07)、SI-08 (01)、SI-10、SI-11、SI-16。
結論
雲端安全性和法規遵循是您和 CSP 共同的責任。雖然 Google 會確保實體基礎架構和相應服務符合數十項第三方標準、法規和認證,但您必須確保在雲端建構的所有內容都符合法規。
Google Cloud 提供 Google 用於保護基礎架構的安全產品和功能,協助您遵循法規。
後續步驟
- 探索 Google Cloud 的參考架構、圖表和最佳做法。歡迎瀏覽我們的雲端架構中心。