Prinsip ini dalam pilar keamanan Google Cloud Framework yang Dirancang dengan Baik membantu Anda mengidentifikasi dan memenuhi persyaratan peraturan, kepatuhan, dan privasi untuk deployment cloud. Persyaratan ini memengaruhi banyak keputusan yang perlu Anda buat tentang kontrol keamanan yang harus digunakan untuk workload Anda diGoogle Cloud.
Ringkasan prinsip
Memenuhi kebutuhan peraturan, kepatuhan, dan privasi adalah tantangan yang tidak dapat dihindari oleh semua bisnis. Persyaratan peraturan cloud bergantung pada beberapa faktor, termasuk hal berikut:
- Hukum dan peraturan yang berlaku di lokasi fisik organisasi Anda
- Hukum dan peraturan yang berlaku di lokasi fisik pelanggan Anda
- Persyaratan peraturan industri Anda
Peraturan privasi menentukan cara Anda memperoleh, memproses, menyimpan, dan mengelola data pengguna Anda. Anda adalah pemilik data Anda sendiri, termasuk data yang Anda terima dari pengguna Anda. Oleh karena itu, banyak kontrol privasi yang menjadi tanggung jawab Anda, termasuk kontrol untuk cookie, pengelolaan sesi, dan mendapatkan izin pengguna.
Rekomendasi untuk menerapkan prinsip ini dikelompokkan dalam bagian berikut:
- Rekomendasi untuk mengatasi risiko organisasi
- Rekomendasi untuk memenuhi kewajiban peraturan dan kepatuhan
- Rekomendasi untuk mengelola kedaulatan data Anda
- Rekomendasi untuk memenuhi persyaratan privasi
Rekomendasi untuk mengatasi risiko organisasi
Bagian ini memberikan rekomendasi untuk membantu Anda mengidentifikasi dan mengatasi risiko terhadap organisasi Anda.
Identifikasi risiko terhadap organisasi Anda
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Sebelum Anda membuat dan men-deploy resource di Google Cloud, selesaikan penilaian risiko. Penilaian ini harus menentukan fitur keamanan yang Anda perlukan untuk memenuhi persyaratan keamanan internal dan persyaratan peraturan eksternal.
Penilaian risiko memberi Anda katalog risiko khusus organisasi, dan memberi tahu Anda tentang kemampuan organisasi Anda dalam mendeteksi dan menangkal ancaman keamanan. Anda harus melakukan analisis risiko segera setelah deployment dan setiap kali ada perubahan dalam kebutuhan bisnis, persyaratan peraturan, atau ancaman terhadap organisasi Anda.
Seperti yang disebutkan dalam prinsip Menerapkan keamanan sejak awal, risiko keamanan Anda di lingkungan cloud berbeda dengan risiko di lingkungan lokal. Perbedaan ini disebabkan oleh model tanggung jawab bersama di cloud, yang bervariasi menurut layanan (IaaS, PaaS, atau SaaS) dan penggunaan Anda. Gunakan framework penilaian risiko khusus cloud seperti Cloud Controls Matrix (CCM). Gunakan pemodelan ancaman, seperti pemodelan ancaman aplikasi OWASP, untuk mengidentifikasi dan mengatasi kerentanan. Untuk mendapatkan bantuan pakar terkait penilaian risiko, hubungi perwakilan akun Google Anda atau lihat direktori partner Google Cloud's.
Setelah membuat katalog risiko, Anda harus menentukan cara mengatasinya—yaitu, apakah Anda ingin menerima, menghindari, mentransfer, atau memitigasi risiko tersebut. Untuk mengetahui kontrol mitigasi yang dapat Anda terapkan, lihat bagian berikutnya tentang memitigasi risiko.
Mitigasi risiko Anda
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Saat mengadopsi layanan cloud publik baru, Anda dapat memitigasi risiko dengan menggunakan kontrol teknis, perlindungan kontrak, dan verifikasi atau pengesahan pihak ketiga.
Kontrol teknis adalah fitur dan teknologi yang Anda gunakan untuk melindungi lingkungan Anda. Hal ini mencakup kontrol keamanan cloud bawaan seperti firewall dan logging. Kontrol teknis juga dapat mencakup penggunaan alat pihak ketiga untuk memperkuat atau mendukung strategi keamanan Anda. Ada dua kategori kontrol teknis:
- Anda dapat menerapkan kontrol keamanan Google Cloud' untuk membantu Anda mengurangi risiko yang berlaku untuk lingkungan Anda. Misalnya, Anda dapat mengamankan koneksi antara jaringan lokal dan jaringan cloud dengan menggunakan Cloud VPN dan Cloud Interconnect.
- Google memiliki kontrol dan audit internal yang kuat untuk melindungi dari akses orang dalam ke data pelanggan. Log audit kami memberi Anda log yang mendekati real-time terkait akses administrator Google di Google Cloud.
Perlindungan kontrak mengacu pada komitmen hukum yang kami buat terkait layananGoogle Cloud . Google berkomitmen untuk mengelola dan memperluas portofolio kepatuhan kami. Adendum Pemrosesan Data Cloud (CDPA) menjelaskan komitmen kami sehubungan dengan pemrosesan dan keamanan data Anda. CDPA juga menguraikan kontrol akses yang membatasi akses engineer dukungan Google ke lingkungan pelanggan, dan menjelaskan proses persetujuan dan logging kami yang ketat. Sebaiknya tinjau kontrol kontraktual Google Clouddengan pakar hukum dan peraturan Anda, lalu verifikasi bahwa kontrol tersebut memenuhi persyaratan Anda. Jika Anda memerlukan informasi lebih lanjut, hubungi perwakilan akun teknis Anda.
Verifikasi atau pengesahan pihak ketiga mengacu pada permintaan vendor pihak ketiga mengaudit penyedia cloud untuk memastikan bahwa penyedia tersebut memenuhi persyaratan kepatuhan. Misalnya, untuk mempelajari pengesahan terkait pedoman ISO/IEC 27017, lihat ISO/IEC 27017 - Kepatuhan. Google Cloud Untuk melihat sertifikasi dan surat pengesahan saat ini, lihat Pusat referensi kepatuhan. Google Cloud
Rekomendasi untuk memenuhi kewajiban peraturan dan kepatuhan
Perjalanan kepatuhan biasanya memiliki tiga tahap: penilaian, perbaikan kesenjangan, dan pemantauan berkelanjutan. Bagian ini memberikan rekomendasi yang dapat Anda gunakan selama setiap tahap ini.
Menilai kebutuhan kepatuhan Anda
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Penilaian kepatuhan dimulai dengan peninjauan menyeluruh atas semua kewajiban peraturan Anda dan cara bisnis Anda menerapkannya. Untuk membantu Anda menilai layanan Google Cloud , gunakan Pusat referensi kepatuhan. Situs ini menyediakan informasi tentang hal berikut:
- Dukungan layanan untuk berbagai peraturan
- Google Cloud sertifikasi dan pengesahan
Untuk lebih memahami siklus proses kepatuhan di Google dan bagaimana persyaratan Anda dapat dipenuhi, Anda dapat menghubungi bagian penjualan untuk meminta bantuan dari pakar kepatuhan Google. Atau, Anda dapat menghubungi Google Cloud Account Manager Anda untuk meminta workshop kepatuhan.
Untuk mengetahui informasi selengkapnya tentang alat dan resource yang dapat Anda gunakan untuk mengelola keamanan dan kepatuhan untuk workload, lihat Memastikan Kepatuhan di Cloud. Google Cloud
Mengotomatiskan penerapan persyaratan kepatuhan
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Untuk membantu Anda tetap mematuhi peraturan yang terus berubah, tentukan apakah Anda dapat mengotomatiskan cara menerapkan persyaratan kepatuhan. Anda dapat menggunakan kemampuan yang berfokus pada kepatuhan yang disediakan Google Cloud dan cetak biru yang menggunakan konfigurasi yang direkomendasikan untuk rezim kepatuhan tertentu.
Assured Workloads dibangun berdasarkan kontrol di dalam Google Cloud untuk membantu Anda memenuhi kewajiban kepatuhan. Assured Workloads memungkinkan Anda melakukan hal berikut:
- Memilih rezim kepatuhan Anda. Kemudian, alat ini akan otomatis menetapkan kontrol akses personel dasar pengukuran untuk rezim yang dipilih.
- Menetapkan lokasi untuk data Anda menggunakan kebijakan organisasi sehingga data dalam penyimpanan dan resource Anda tetap berada di region tersebut.
- Pilih opsi pengelolaan kunci (seperti periode rotasi kunci) yang paling sesuai dengan persyaratan keamanan dan kepatuhan Anda.
- Pilih kriteria akses bagi staf dukungan Google untuk memenuhi persyaratan peraturan tertentu seperti FedRAMP Moderate. Misalnya, Anda dapat memilih apakah staf dukungan Google telah menyelesaikan pemeriksaan latar belakang yang sesuai.
- Gunakan Google-owned and Google-managed encryption keys yang sesuai dengan FIPS-140-2 dan mendukung kepatuhan FedRAMP Moderate. Untuk memberi lapisan kontrol tambahan dan memisahkan tugas, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi selengkapnya tentang kunci, lihat Mengenkripsi data dalam penyimpanan dan dalam transit.
Selain Assured Workloads, Anda dapat menggunakan cetak biru yang relevan dengan rezim kepatuhan Anda. Google CloudAnda dapat mengubah blueprint ini untuk menyertakan kebijakan keamanan ke dalam deployment infrastruktur Anda.
Untuk membantu Anda membangun lingkungan yang mendukung persyaratan kepatuhan Anda, panduan blueprint dan solusi Google mencakup konfigurasi yang direkomendasikan dan menyediakan modul Terraform. Tabel berikut mencantumkan blueprint yang membahas keamanan dan keselarasan dengan persyaratan kepatuhan.
| Persyaratan | Blueprint dan panduan solusi |
|---|---|
| FedRAMP | |
| HIPAA |
Pantau kepatuhan Anda
Rekomendasi ini relevan dengan area fokus berikut:
- Tata kelola, risiko, dan kepatuhan cloud
- Logging, pemantauan, dan audit
Sebagian besar peraturan mengharuskan Anda memantau aktivitas tertentu, yang mencakup aktivitas terkait akses. Untuk membantu Anda memantau, Anda dapat menggunakan hal berikut:
- Transparansi Akses: Melihat log mendekati real-time saat administrator mengakses konten Anda. Google Cloud
- Firewall Rules Logging: Mencatat koneksi TCP dan UDP di dalam jaringan VPC untuk setiap aturan yang Anda buat. Log ini dapat berguna untuk mengaudit akses jaringan atau memberikan peringatan dini bahwa jaringan sedang digunakan dengan cara yang tidak disetujui.
- VPC Flow Logs: Mencatat alur traffic jaringan yang dikirim atau diterima oleh instance VM.
- Security Command Center Premium: Memantau kepatuhan terhadap berbagai standar.
- OSSEC (atau alat open source lainnya): Mencatat aktivitas individu yang memiliki akses administrator ke lingkungan Anda.
- Key Access Justifications: Melihat alasan permintaan akses kunci.
- Notifikasi Security Command Center: Mendapatkan pemberitahuan saat masalah ketidakpatuhan terjadi. Misalnya, dapatkan pemberitahuan saat pengguna menonaktifkan verifikasi dua langkah atau saat akun layanan memiliki hak istimewa berlebih. Anda juga dapat menyiapkan perbaikan otomatis untuk notifikasi tertentu.
Rekomendasi untuk mengelola kedaulatan data Anda
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Kedaulatan data memberikan Anda mekanisme untuk mencegah Google mengakses data Anda. Anda hanya menyetujui akses bagi perilaku penyedia yang menurut Anda diperlukan. Misalnya, Anda dapat mengelola kedaulatan data Anda dengan cara berikut:
- Simpan dan kelola kunci enkripsi di luar cloud.
- Berikan akses ke kunci ini berdasarkan justifikasi akses yang mendetail.
- Lindungi data aktif dengan menggunakan Confidential Computing.
Mengelola kedaulatan operasional Anda
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Kedaulatan operasional memberi Anda jaminan bahwa personel Google tidak dapat membahayakan workload Anda. Misalnya, Anda dapat mengelola kedaulatan operasional dengan cara berikut:
- Batasi deployment resource baru ke region penyedia tertentu.
- Batasi akses personel Google berdasarkan atribut yang telah ditentukan sebelumnya seperti kewarganegaraan atau lokasi geografis mereka.
Mengelola kedaulatan software
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Kedaulatan software memberi Anda jaminan bahwa Anda dapat mengontrol ketersediaan workload Anda dan menjalankannya di mana pun Anda inginkan. Selain itu, Anda dapat memiliki kontrol ini tanpa bergantung atau terkunci pada satu penyedia cloud. Kedaulatan software mencakup kemampuan untuk bertahan dari peristiwa yang mengharuskan Anda untuk dengan cepat mengubah lokasi deployment workload dan tingkat koneksi luar yang diizinkan.
Misalnya, untuk membantu Anda mengelola kedaulatan software, Google Cloud mendukung deployment hybrid dan multicloud. Selain itu, GKE Enterprise memungkinkan Anda mengelola dan men-deploy aplikasi baik di lingkungan cloud maupun di lingkungan lokal. Jika Anda memilih deployment lokal karena alasan kedaulatan data, Google Distributed Cloud adalah kombinasi hardware dan software yang menghadirkan Google Cloud ke pusat data Anda. Google Cloud
Rekomendasi untuk memenuhi persyaratan privasi
Google Cloud mencakup kontrol berikut yang menunjang privasi:
- Enkripsi default ke semua data saat data tersebut dalam penyimpanan, dalam pengiriman, dan saat sedang diproses.
- Pengamanan dari akses orang dalam.
- Dukungan untuk berbagai peraturan privasi.
Rekomendasi berikut membahas kontrol tambahan yang dapat Anda terapkan. Untuk mengetahui informasi selengkapnya, lihat Pusat Referensi Privasi.
Mengontrol residensi data
Rekomendasi ini relevan dengan area fokus berikut: Tata kelola, risiko, dan kepatuhan cloud.
Residensi data menjelaskan lokasi penyimpanan data Anda saat data dalam kondisi tidak aktif. Persyaratan residensi data bervariasi berdasarkan tujuan desain sistem, masalah peraturan industri, hukum nasional, implikasi pajak, dan bahkan budaya.
Mengontrol residensi data dimulai dengan hal berikut:
- Pahami jenis data dan lokasinya.
- Menentukan risiko yang ada pada data Anda serta hukum dan peraturan yang berlaku.
- Kontrol lokasi penyimpanan data Anda atau ke mana data tersebut pergi.
Untuk membantu Anda mematuhi persyaratan residensi data, Google Cloud memungkinkan Anda mengontrol lokasi data Anda disimpan, cara data diakses, dan cara data diproses. Anda dapat menggunakan kebijakan lokasi resource untuk membatasi tempat pembuatan resource dan untuk membatasi tempat replikasi data antar-region. Anda dapat menggunakan properti lokasi resource untuk mengidentifikasi lokasi layanan di-deploy dan siapa pengelolanya. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung lokasi resource.
Klasifikasikan data rahasia Anda
Rekomendasi ini relevan dengan area fokus berikut: Keamanan data.
Anda harus menentukan data mana yang bersifat rahasia, lalu pastikan bahwa data rahasia tersebut telah terlindungi dengan benar. Data rahasia dapat mencakup nomor kartu kredit, alamat, nomor telepon, dan informasi identitas pribadi (PII) lainnya. Dengan menggunakan Sensitive Data Protection, Anda dapat menyiapkan klasifikasi yang sesuai. Anda kemudian dapat memberi tag dan men-token-kan data Anda sebelum menyimpannya di Google Cloud. Selain itu, Dataplex Universal Catalog menawarkan layanan katalog yang menyediakan platform untuk menyimpan, mengelola, dan mengakses metadata Anda. Untuk mengetahui informasi selengkapnya dan contoh klasifikasi serta de-identifikasi data, lihat De-identifikasi dan identifikasi ulang PII menggunakan Sensitive Data Protection.
Kunci akses ke data sensitif
Rekomendasi ini relevan dengan area fokus berikut:
- Keamanan data
- Pengelolaan akses dan identitas
Tempatkan data sensitif di perimeter layanannya sendiri menggunakan Kontrol Layanan VPC. Kontrol Layanan VPC meningkatkan kemampuan Anda untuk mengurangi risiko penyalinan atau transfer data tanpa izin (pemindahan data yang tidak sah) dari layanan yang dikelola Google. Dengan Kontrol Layanan VPC, Anda mengonfigurasi perimeter keamanan di sekitar resource layanan yang dikelola Google untuk mengontrol pergerakan data di seluruh perimeter. Tetapkan kontrol akses Identity and Access Management (IAM) Google untuk data tersebut. Konfigurasikan autentikasi multi-faktor (MFA) untuk semua pengguna yang memerlukan akses ke data sensitif.