Google Cloud Well-Architected Framework 中的“安全性、隐私权和合规性”支柱提供了相关建议，可帮助您设计、部署和运行符合安全性、隐私权和合规性要求的云工作负载。

本文档旨在提供有价值的见解，并满足各种安全专业人员和工程师的需求。下表说明了本文档的目标受众群体：

受众群体	本文档提供的内容
首席信息安全官 (CISO)、业务部门领导和 IT 经理	一个通用框架，用于在云端建立并保持卓越的安全性，并确保全面了解安全领域，以便就安全投资做出明智的决策。
安全架构师和工程师	设计和运营阶段的关键安全实践，有助于确保解决方案在设计时就考虑到安全性、效率和可伸缩性。
DevSecOps 团队	有关纳入总体安全控制措施的指南，可帮助您规划自动化，从而实现安全可靠的基础设施。
合规官和风险管理人员	关键安全建议，可帮助您采用结构化方法进行风险管理，并采取有助于履行合规性义务的保护措施。

为确保 Google Cloud 工作负载满足安全性、隐私保护和合规性要求，组织中的所有利益相关者都必须采取协作方式。此外，您必须认识到，云安全是您和 Google 共同承担的责任。如需了解详情，请参阅 Google Cloud上的责任共担和命运共担。

此支柱中的建议分为多个核心安全原则。每项基于原则的建议都与一个或多个对您的组织可能至关重要的关键部署云安全重点领域相关联。每项建议都会重点介绍有关使用和配置Google Cloud 产品和功能的指南，以帮助改善组织的安全状况。

核心原则

此支柱中的建议分为以下核心安全原则。此支柱中的每项原则都很重要。根据组织和工作负载的要求，您可以选择优先考虑某些原则。

• 从设计上保证安全性：从应用和基础设施的初始设计阶段开始，就将云安全和网络安全考虑因素纳入其中。 Google Cloud 提供架构蓝图和建议，帮助您应用此原则。
• 实施零信任：采用绝不信任，一律验证的方法，根据对信任的持续验证来授予资源访问权限。 Google Cloud通过 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等产品支持此原则。
• 实现提前确保安全性：在软件开发生命周期的早期阶段实现安全控制措施。在进行系统更改之前避免出现安全缺陷。在提交系统更改后，尽早、快速、可靠地检测并修复安全 bug。 Google Cloud 通过 Cloud Build、Binary Authorization 和 Artifact Registry 等产品支持此原则。
• 实施先发制人的网络防御：通过实施威胁情报等强大的基本措施，采取主动的安全防护方法。这种方法有助于您为更有效地检测和应对威胁奠定基础。 Google Cloud的分层安全控制方法符合这一原则。
• 以安全、负责任的方式使用 AI：以负责任且安全的方式开发和部署 AI 系统。此原则的建议与 Google 安全 AI 框架 (SAIF) 和架构完善框架的 AI 和机器学习视角中的指导保持一致。
• 利用 AI 提升安全性：通过 Gemini in Security 和整体平台安全功能，利用 AI 功能改进现有的安全系统和流程。将 AI 用作一种工具，提高补救工作的自动化程度，确保安全防护水平，从而使其他系统更加安全。
• 满足法规、合规性和隐私权需求：遵守行业特定的法规、合规性标准和隐私权要求。 Google Cloud 通过 Assured Workloads、组织政策服务和合规性资源中心等产品，帮助您履行这些义务。

组织安全思维模式

以安全为中心的组织思维对于成功采用和运营云至关重要。这种思维模式应深深融入组织文化中，并体现在组织实践中，而组织实践应遵循前面所述的核心安全原则。

组织安全思维模式强调在系统设计期间考虑安全性、假设零信任，并在整个开发过程中集成安全功能。在这种思维模式下，您还会主动考虑网络防御措施，安全地使用 AI 并将 AI 用于安全目的，同时考虑法规、隐私保护和合规性要求。通过秉持这些原则，您的组织可以培养“安全第一”的文化，主动应对威胁、保护宝贵资产，并帮助确保负责任地使用技术。

云安全重点领域

本部分介绍了在规划、实施和管理应用、系统和数据安全时应重点关注的方面。此支柱中每个原则的建议都与上述一个或多个重点领域相关。在本文档的其余部分中，建议会指定相应的安全重点领域，以提供更清晰的说明和背景信息。

对焦区域	活动和组件	相关 Google Cloud 产品、功能和解决方案
基础架构安全	保护网络基础架构。 对传输中的数据和静态数据进行加密。 控制流量。 保护 IaaS 和 PaaS 服务。 防范未经授权的访问。	防火墙政策 VPC Service Controls Google Cloud Armor Cloud 新一代防火墙 安全 Web 代理
身份和访问权限管理	使用身份验证、授权和访问权限控制。 管理云身份。 管理身份和访问权限管理政策。	Cloud Identity Google 的 Identity and Access Management (IAM) 服务 员工身份联合 工作负载身份联合
数据安全	以 Google Cloud 方式安全地存储数据。 控制对数据的访问权限。 发现数据并对其进行分类。 设计必要的控制措施，例如加密、访问权限控制和数据泄露防护。 保护静态数据、传输中的数据和使用中的数据。	Google 的 IAM 服务 Sensitive Data Protection VPC Service Controls Cloud KMS 机密计算
AI 和机器学习安全性	在 AI 和 ML 基础架构和流水线的不同层级应用安全控制措施。 确保模型安全。	Google 的 SAIF Model Armor
安全运维 (SecOps)	采用现代化的 SecOps 平台和实践，以实现高效的事件管理、威胁检测和响应流程。 持续监控系统和应用，以发现安全性事件。	Google Security Operations
应用安全	保护应用免受软件漏洞和攻击的威胁。	Artifact Registry Artifact Analysis Binary Authorization 有保障的开源软件 Google Cloud Armor Web Security Scanner
云治理、风险与合规性	制定政策、程序和控制措施，以便有效且安全地管理云资源。	组织政策服务 Cloud Asset Inventory Security Command Center Enterprise Resource Manager
日志记录、审核和监控	分析日志以识别潜在威胁。 跟踪和记录系统活动，以便进行合规性和安全性分析。	Cloud Logging Cloud Monitoring Cloud Audit Logs VPC 流日志

贡献者

作者：

• Wade Holmes | 全球解决方案总监
• Hector Diaz | 云安全架构师
• Carlos Leonardo Rosario | Google Cloud 安全专家
• John Bacon | 合作伙伴解决方案架构师
• Sachin Kalra | 全球安全解决方案经理

其他贡献者：

• Anton Chuvakin | 安全顾问，首席信息安全官办公室
• Daniel Lees | 云安全架构师
• Filipe Gracio 博士 | 客户工程师
• Gary Harmson | 首席架构师
• Gino Pelliccia | 首席架构师
• Jose Andrade | 企业基础架构客户工程师
• Kumar Dhanagopal | 跨产品解决方案开发者
• Laura Hyatt | 企业云架构师
• Marwan Al Shawi | 合作伙伴客户工程师
• Nicolas Pintaux | 客户工程师，应用现代化改造专家
• Noah McDonald | 云安全顾问
• Osvaldo Costa | 网络专家客户工程师
• Radhika Kanakam | 高级计划经理，Cloud GTM
• Samantha He | 技术文档工程师
• Susan Wu | 对外产品经理

从设计上保证安全

Google Cloud 架构完善框架的安全支柱中的这一原则提供了相关建议，可帮助您在云应用、服务和平台的设计中融入强大的安全功能、控制措施和实践。从创意构想到运营，将安全性作为设计流程每个阶段的组成部分嵌入其中，可更有效地提升安全性。

原则概览

如“设计安全”理念概述中所述，默认安全和设计安全经常可以互换使用，但它们代表了构建安全系统的不同方法。这两种方法都旨在最大限度地减少漏洞并增强安全性，但在范围和实现方面有所不同：

• 默认安全：侧重于确保将系统的默认设置设为安全模式，从而最大限度地减少用户或管理员为确保系统安全而需要采取的操作。此方法旨在为所有用户提供基本级别的安全性。
• 设计即安全：强调在整个系统开发生命周期中主动纳入安全考虑因素。这种方法旨在尽早预测潜在威胁和漏洞，并做出可降低风险的设计选择。这种方法包括使用安全编码实践、进行安全审核，以及在整个设计过程中嵌入安全性。“从设计上保证安全”是一种总体理念，可指导开发流程，并有助于确保安全性不是事后考虑的因素，而是系统设计中不可或缺的一部分。

建议

如需为云工作负载实现“安全设计”原则，请考虑以下各部分中的建议：

• 选择有助于保护工作负载安全的系统组件
• 构建分层安全方法
• 使用强化型和经过认证的基础设施和服务
• 对静态数据和传输中的数据进行加密

选择有助于保护工作负载安全的系统组件

此建议适用于所有重点领域。

若要实现有效的安全性，一项基本决策是选择构成平台、解决方案或服务的强大系统组件，包括硬件和软件组件。为了缩小安全攻击面并限制潜在损害，您还必须仔细考虑这些组件的部署模式及其配置。

在应用代码中，我们建议您使用简单、安全且可靠的库、抽象和应用框架，以消除各类漏洞。如需扫描软件库中的漏洞，您可以使用第三方工具。您还可以使用 Assured Open Source Software，该服务可使用 Google 使用和保护的开源软件 (OSS) 软件包来帮助降低软件供应链的风险。

您的基础设施必须使用支持安全运行的网络、存储和计算选项，并符合您的安全要求和风险接受程度。基础设施安全对于面向互联网的工作负载和内部工作负载都非常重要。

如需了解支持此建议的其他 Google 解决方案，请参阅实施左移安全。

构建分层安全方法

此建议与以下重点领域相关：

• AI 和机器学习安全性
• 基础架构安全
• 身份和访问权限管理
• 数据安全

我们建议您在应用和基础架构堆栈的每个层级实施安全措施，并应用深度防御方法。

使用平台中每个组件的安全功能。为了限制访问权限并确定发生安全事件时潜在影响的范围（即爆炸半径），请执行以下操作：

• 尽可能简化系统设计以适应灵活性。
• 记录每个组件的安全要求。
• 纳入强大的安全机制，以满足弹性和恢复要求。

设计安全层时，请进行风险评估，以确定您需要哪些安全功能才能满足内部安全要求和外部监管要求。我们建议您使用适用于云环境且与您的监管要求相关的行业标准风险评估框架。例如，云安全联盟 (CSA) 提供了 Cloud Controls Matrix (CCM)。风险评估为您提供了一系列风险以及用于缓解这些风险的相应安全控制措施。

在执行风险评估时，请谨记您与云提供商签订了共担责任方案。因此，云环境中的风险与本地环境中的风险有所不同。例如，在本地环境中，您需要减少硬件堆栈的漏洞。相比之下，在云环境中，云提供商会承担这些风险。另请注意，对于每家云服务提供商，IaaS、PaaS 和 SaaS 服务之间的共同责任界限各不相同。

确定潜在风险后，您必须设计并制定缓解计划，其中要使用技术、管理和运营控制措施，以及合同保护和第三方证明。此外，OWASP 应用威胁建模方法等威胁建模方法可帮助您识别潜在的漏洞，并建议您采取措施来解决这些漏洞。

使用强化型和经过证明的基础设施和服务

此建议适用于所有重点领域。

成熟的安全计划可减少安全公告中所述的新漏洞。安全计划还应提供补救措施，以修复现有部署中的漏洞并保护您的虚拟机和容器映像。您可以使用特定于映像的操作系统和应用的强化指南，以及互联网安全中心 (CIS) 提供的基准等基准。

如果您为 Compute Engine 虚拟机使用自定义映像，则需要自行修补映像。或者，您也可以使用 Google 提供的精选操作系统映像，这些映像会定期修补。如需在 Compute Engine 虚拟机上运行容器，请使用 Google 精心挑选的容器优化操作系统映像。Google 会定期修补和更新这些映像。

如果您使用的是 GKE，我们建议您启用节点自动升级，以便 Google 使用最新的补丁程序更新您的集群节点。Google 负责管理 GKE 控制层面，这些控制层面会自动进行更新和修补。如需进一步缩小容器的攻击面，您可以使用 distroless 映像。Distroless 映像非常适合对安全性要求较高的应用、微服务，以及需要尽可能减小映像大小和攻击面的情况。

对于敏感工作负载，请使用安全强化型虚拟机，该虚拟机可防止在虚拟机启动周期内加载恶意代码。安全强化型虚拟机实例可提供启动安全性，监控完整性并使用虚拟可信平台模块 (vTPM)。

为了帮助确保 SSH 访问的安全性，OS Login 可让您的员工使用 Identity and Access Management (IAM) 权限作为可靠来源而不是依赖 SSH 密钥来连接虚拟机。因此，您不必管理整个组织的 SSH 密钥。OS Login 将管理员的访问权限与其员工生命周期相关联，因此当员工更改角色或离开您的组织时，即会撤消其账号的访问权限。OS Login 还支持 Google 双重身份验证，从而增加一层额外的安全保障以防范账号盗用攻击。

在 GKE 中，应用实例在 Docker 容器中运行。如需启用已定义的风险概况并限制员工更改容器，请确保您的容器为无状态且不可变。不变性原则意味着您的员工不会修改容器或以互动方式访问容器。如果必须更改容器，则您需要构建新映像并重新部署该映像。仅在特定调试场景中启用对底层容器的 SSH 访问。

为了帮助您在全球范围内保护环境中的配置，您可以使用组织政策来为影响云资产行为的资源设置限制条件或安全措施。例如，您可以定义以下组织政策，并将其全局应用于整个 Google Cloud 组织，或选择性地应用于文件夹或项目级：

• 停用向虚拟机分配外部 IP 地址的功能。
• 将资源创建限制在特定地理位置。
• 禁止创建服务账号或其密钥。

对静态数据和传输中的数据进行加密

此建议与以下重点领域相关：

• 基础架构安全
• 数据安全

数据加密是保护敏感信息的基础性控制措施，也是数据治理的关键部分。有效的数据保护策略包括访问权限控制、数据分段和地理位置驻留、审核，以及基于对要求的仔细评估而实施的加密。

默认情况下， Google Cloud会加密静态存储的客户数据，您无需执行任何操作。除了默认加密之外，Google Cloud 还提供信封加密和加密密钥管理选项。无论您选择的是用于存储、计算还是大数据工作负载的密钥，都必须确定最适合密钥生成、存储和轮替要求的解决方案。例如，客户管理的加密密钥 (CMEK) 可以在 Cloud Key Management Service (Cloud KMS) 中创建。CMEK 可以是基于软件的密钥，也可以是受 HSM 保护的密钥，以满足您的监管或合规性要求，例如需要定期轮换加密密钥。借助 Cloud KMS Autokey，您可以自动执行 CMEK 的预配和分配。此外，您还可以使用 Cloud External Key Manager (Cloud EKM) 引入来自第三方密钥管理系统的自有密钥。

我们强烈建议对传输中的数据进行加密。 如果数据将移出物理边界，脱离 Google 或 Google 授权代理方的控制范围，Google 会在一个或多个网络层级对传输中的数据进行加密和身份验证。系统会对 VPC 网络内以及对等互连的 VPC 网络之间的所有虚拟机到虚拟机流量进行加密。您可以使用 MACsec 来加密通过 Cloud Interconnect 连接的流量。IPsec 可为通过 Cloud VPN 连接传输的流量提供加密。您可以使用安全功能（例如 Apigee 中的 TLS 和 mTLS 配置以及适用于容器化应用的 Cloud Service Mesh）来保护云端应用到应用的流量。

默认情况下， Google Cloud 会对静态数据和网络传输中的数据进行加密。不过，默认情况下，系统不会在内存中加密使用中的数据。如果您的组织要处理机密数据，则您需要减少会破坏应用或系统内存中数据的机密性和完整性的威胁。为缓解这些威胁，您可以使用机密计算，它可为计算工作负载提供可信的执行环境。如需了解详情，请参阅机密虚拟机概览。

实现零信任

Google Cloud 架构完善框架的安全支柱中的这一原则可帮助您确保云工作负载的全面安全性。零信任原则强调以下实践：

• 消除隐式信任
• 将最小权限原则应用于访问权限控制
• 强制对所有访问请求进行明确验证
• 采用假设已遭入侵的心态，以实现持续验证和安全状况监控

原则概览

零信任模型将安全重点从基于边界的安全措施转移到一种不认为任何用户或设备天生值得信任的方法。相反，无论访问请求来自何处，都必须进行验证。此方法涉及对每个用户和设备进行身份验证和授权，验证其上下文（位置和设备姿态），并仅授予对必要资源的最小权限访问权限。

实施零信任模型有助于组织增强安全状况，具体做法是最大限度地减少潜在违规行为的影响，并保护敏感数据和应用免遭未经授权的访问。零信任模型有助于确保云端数据和资源的保密性、完整性和可用性。

建议

如需为云工作负载实现零信任模型，请考虑以下部分中的建议：

• 保护您的网络
• 明确验证每次访问尝试
• 监控和维护网络

保护您的网络

此建议与以下重点领域相关：基础架构安全性。

从传统的基于边界的安全措施过渡到零信任模型需要多个步骤。您的组织可能已将某些零信任控制措施纳入其安全态势。不过，零信任模型并非单一的产品或解决方案。相反，它全面整合了多个安全层和最佳实践。本部分介绍有关实现零信任网络安全的建议和技巧。

• 访问权限控制：使用 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等解决方案，根据用户身份和情境强制执行访问权限控制。这样一来，您就可以将安全性从网络边界转移至各个用户和设备。这种方法可实现精细的访问权限控制并缩小攻击面。
• 网络安全：保护本地、 Google Cloud和多云环境之间的网络连接。
  • 使用 Cloud Interconnect 和 IPsec VPN 提供的专用连接方法。
  • 为了帮助确保对 Google Cloud 服务和 API 的访问安全，请使用 Private Service Connect。
  • 为了帮助保护从部署在 GKE Enterprise 上的工作负载发出的出站流量，请使用 Cloud Service Mesh 出站流量网关。
• 网络设计：删除现有项目中的默认网络，并禁止在新项目中创建默认网络，以防范潜在的安全风险。
  • 为避免冲突，请仔细规划网络和 IP 地址分配。
  • 为了有效强制执行访问权限控制，请限制每个项目的 Virtual Private Cloud (VPC) 网络数量。
• 分段：隔离工作负载，但保持集中式网络管理。
  • 如需细分网络，请使用共享 VPC。
  • 在组织、文件夹和 VPC 网络级层定义防火墙政策和规则。
  • 如需防止数据渗漏，请使用 VPC Service Controls 围绕敏感数据和服务建立安全边界。
• 边界安全：防范 DDoS 攻击和 Web 应用威胁。
  • 如需防范威胁，请使用 Google Cloud Armor。
  • 配置安全政策，以允许、拒绝或重定向Google Cloud 边缘的流量。
• 自动化：采用基础架构即代码 (IaC) 原则并使用 Terraform、Jenkins 和 Cloud Build 等工具，实现基础设施预配自动化。 Iac 有助于确保安全配置的一致性、简化部署，并在出现问题时快速回滚。
• 安全基础：使用企业基础蓝图建立安全的应用环境。此蓝图提供规范性指导和自动化脚本，可帮助您实现安全最佳实践并安全地配置Google Cloud 资源。

明确验证每次访问尝试

此建议与以下重点领域相关：

• 身份和访问权限管理
• 安全运维 (SecOps)
• 日志记录、审核和监控

针对尝试访问您的云资源的任何用户、设备或服务，实施强大的身份验证和授权机制。不要依赖位置或网络边界作为安全控制措施。不自动信任任何用户、设备或服务，即使它们已经位于网络内也是如此。相反，每次尝试访问资源时都必须经过严格的身份验证和授权。您必须实施高强度的身份验证措施，例如多重身份验证 (MFA)。您还必须确保访问权限的授予取决于细粒度的政策，这些政策会考虑各种情境因素，例如用户角色、设备姿态和位置。

如需实施此建议，请使用以下方法、工具和技术：

• 统一身份管理：使用单一身份提供方 (IdP) 确保整个组织内的身份管理保持一致。
  • Google Cloud 支持与大多数 IdP（包括本地 Active Directory）进行联合。 通过联合，您可以将现有的身份管理基础架构扩展到 Google Cloud ，并为用户启用单点登录 (SSO)。
  • 如果您没有现成的 IdP，不妨考虑使用 Cloud Identity 专业版或 Google Workspace。
• 服务账号权限有限：请谨慎使用服务账号，并遵守最小权限原则。
  • 仅授予每个服务账号执行指定任务所需的必要权限。
  • 对于在 Google Kubernetes Engine (GKE) 上运行或在Google Cloud 外部运行的应用，请使用 Workload Identity Federation 来安全地访问资源。
• 完善的流程：更新您的身份流程，使其符合云安全最佳实践。
  • 为帮助确保符合法规要求，请实施身份治理来跟踪访问权限、风险和违反政策的行为。
  • 查看并更新您现有的流程，以便授予和审核访问权限控制角色和权限。
• 增强型身份验证：为用户身份验证实现 SSO，并为特权账号实现 MFA。
  • Google Cloud 支持各种 MFA 方法，包括 Titan 安全密钥，以增强安全性。
  • 对于工作负载身份验证，请使用 OAuth 2.0 或签名的 JSON Web 令牌 (JWT)。
• 最小权限：通过强制执行最小权限和职责分离原则，最大限度地降低未经授权的访问和数据泄露风险。
  • 避免过度配置用户访问权限。
  • 考虑为敏感操作实现即时特权访问权限。
• 日志记录：启用管理员和数据访问活动的审核日志记录。
  • 如需进行分析和威胁检测，请使用 Security Command Center Enterprise 或 Google Security Operations 扫描日志。
  • 配置适当的日志保留政策，以在安全需求和存储费用之间取得平衡。

监控和维护网络

此建议与以下重点领域相关：

• 日志记录、审核和监控
• 应用安全
• 安全运维 (SecOps)
• 基础架构安全

在规划和实施安全措施时，请假设攻击者已进入您的环境。这种主动式方法涉及使用以下多种工具和技术来提供网络的可视性：

• 集中日志记录和监控：通过集中式日志记录和监控，收集并分析所有云资源的安全日志。

  • 为正常网络行为建立基准，检测异常情况，并识别潜在威胁。
  • 持续分析网络流量，以识别可疑模式和潜在攻击。

• 深入了解网络性能和安全性：使用网络分析器等工具。 监控流量，查看是否存在异常协议、意外连接或数据传输突然激增的情况，这些情况可能表明存在恶意活动。

• 漏洞扫描和修复：定期扫描网络和应用是否存在漏洞。

  • 使用 Web Security Scanner，该工具可以自动识别 Compute Engine 实例、容器和 GKE 集群中的漏洞。
  • 根据漏洞的严重程度及其对系统的潜在影响，确定修复工作的优先顺序。

• 入侵检测：使用 Cloud IDS 和 Cloud NGFW 入侵防御服务监控网络流量中的恶意活动，并自动阻止可疑事件或针对可疑事件获取提醒。

• 安全分析：考虑实施 Google SecOps，以关联来自各种来源的安全事件、提供安全提醒的实时分析，并促进突发事件响应。

• 一致的配置：使用配置管理工具确保整个网络中的安全配置保持一致。

实现提前确保安全性

Google Cloud 架构完善框架的安全支柱中的这一原则可帮助您确定可在软件开发生命周期早期实施的实用控制措施，以改善安全状况。它会提供一些建议，有助于您实施预防性安全保障措施和部署后安全控制措施。

原则概览

安全左移是指在软件开发生命周期的早期阶段就采用安全实践。此原则旨在实现以下目标：

• 在进行系统更改之前避免出现安全缺陷。实施预防性安全措施，并采用基础架构即代码 (IaC)、政策即代码和 CI/CD 流水线中的安全检查等实践。 您还可以在 Google Cloud中使用其他平台专属功能，例如组织政策服务和强化型 GKE 集群。
• 在提交任何系统更改后，尽早、快速且可靠地检测并修复安全 bug。采用代码审核、部署后漏洞扫描和安全测试等实践。

实现设计中的安全性和“提前确保安全性”原则相关，但范围不同。安全性设计原则有助于您避免需要重新设计整个系统的基本设计缺陷。例如，威胁建模练习显示，当前设计不包含授权政策，如果没有授权政策，所有用户将具有相同的访问权限级别。左移安全性有助于您在应用更改之前避免实现缺陷（bug 和配置错误），并能在部署后快速可靠地修复问题。

建议

如需为云工作负载实施左移安全原则，请考虑以下各部分中的建议：

• 采用预防性安全控制措施
• 自动预配和管理云资源
• 自动发布安全应用版本
• 确保应用部署遵循批准的流程
• 在部署应用之前扫描已知漏洞
• 监控应用代码是否存在已知漏洞

采用预防性安全控制措施

此建议与以下重点领域相关：

• 身份和访问权限管理
• 云治理、风险与合规性

预防性安全控制对于在云端保持强大的安全态势至关重要。这些控制措施可帮助您主动降低风险。您可以防止错误配置和未经授权的资源访问，使开发者能够高效工作，并有助于确保符合行业标准和内部政策。

如果使用基础架构即代码 (IaC) 来实现预防性安全控制措施，效果会更佳。借助 IaC，预防性安全控制措施可以在部署更改之前对基础设施代码进行更自定义的检查。与自动化功能结合使用时，预防性安全控制措施可以作为 CI/CD 流水线自动检查的一部分运行。

以下产品和 Google Cloud 功能可帮助您在环境中实施预防性控制措施：

• 组织政策服务限制条件：通过集中式控制配置预定义限制条件和自定义限制条件。
• VPC Service Controls：围绕 Google Cloud 服务创建边界。
• Identity and Access Management (IAM)、Privileged Access Manager 和主账号访问边界政策：限制对资源的访问权限。
• Policy Controller 和 Open Policy Agent (OPA)：在 CI/CD 流水线中强制执行 IaC 限制条件，避免云配置错误。

借助 IAM，您可以根据权限授权哪些人可以对特定资源执行操作。如需了解详情，请参阅使用 IAM 对组织资源进行访问权限控制。

组织政策服务可让您设置对资源的限制，以指定资源的配置方式。例如，您可以使用组织政策执行以下操作：

• 根据网域限制资源共享。
• 限制服务账号的使用。
• 限制新创建的资源的实际位置。

除了使用组织政策之外，您还可以使用以下方法限制对资源的访问：

• 使用 IAM 的标记：为一组资源分配一个标记，然后为该标记本身设置访问权限定义，而不是为每个资源定义访问权限。
• IAM Conditions：为资源定义基于属性的条件访问权限控制。
• 深度防御：使用 VPC Service Controls 进一步限制对资源的访问。

如需详细了解资源管理，请参阅确定 Google Cloud 着陆区的资源层次结构。

自动预配和管理云资源

此建议与以下重点领域相关：

• 应用安全
• 云治理、风险与合规性

如果您还采用声明式 IaC（而非命令式脚本），则可以更有效地自动预配和管理云资源及工作负载。IaC 本身并不是一种安全工具或实践，但有助于提高平台的安全性。采用 IaC 可让您创建可重复的基础设施，并为运营团队提供已知良好状态。Iac 还可以提高回滚、审核更改和问题排查的效率。

与 CI/CD 流水线和自动化相结合时，Iac 还使您能够通过 OPA 等工具采用政策即代码等实践。您可以随时审核基础架构变更，并在部署变更之前对基础架构代码运行自动检查。

如需自动部署基础架构，您可以使用 Config Controller、Terraform、Jenkins 和 Cloud Build 等工具。为了帮助您使用 IaC 和自动化功能构建安全的应用环境，Google Cloud 提供了企业基础蓝图。此蓝图是 Google 的专业设计，遵循了我们所有的推荐实践和配置。该蓝图提供了分步说明，指导您使用 Terraform 和 Cloud Build 配置和部署 Google Cloud 拓扑。

您可以修改企业基础蓝图的脚本，以配置符合 Google 建议并满足您自身安全要求的环境。您可以基于该蓝图和其他蓝图构建自动化功能，也可以设计自己的自动化功能。Google Cloud 架构中心提供了其他可在企业基础蓝图之上实现的蓝图。以下是这些蓝图的一些示例：

• 在 Google Cloud上部署企业开发者平台
• 使用 Cloud Run 部署安全的无服务器架构
• 在企业中构建和部署生成式 AI 和机器学习模型
• 将 Google Cloud 中的数据导入安全的 BigQuery 数据仓库

自动发布安全应用

此建议与以下重点领域相关：应用安全。

如果没有自动化工具，可能很难在部署、更新和修补复杂的应用环境时，确保满足一致的安全要求。我们建议您为软件开发生命周期 (SDLC) 构建自动化的 CI/CD 流水线。借助自动化 CI/CD 流水线，您可以消除手动错误、提供标准化开发反馈环并实现高效的产品迭代。持续交付是 DORA 框架建议的最佳实践之一。

使用 CI/CD 流水线自动发布应用有助于提高您尽早、快速、可靠地检测和修复安全 bug 的能力。例如，您可以在创建制品时自动扫描安全漏洞，缩小安全审核范围，并回滚到已知且安全的版本。您还可以为不同的环境（例如开发、测试或生产环境）定义相应的政策，以便仅部署经过验证的制品。

为帮助您自动执行应用发布流程并在 CI/CD 流水线中嵌入安全检查， Google Cloud 提供了多种工具，包括 Cloud Build、Cloud Deploy、Web Security Scanner 和 Binary Authorization。

如需建立一个可在 SDLC 中验证多项安全要求的流程，请使用 Google 定义的软件制品的供应链等级 (SLSA) 框架。SLSA 要求对源代码、构建流程和代码出处进行安全检查。许多此类要求都可以纳入自动化 CI/CD 流水线中。如需了解 Google 如何在内部应用这些实践，请参阅 Google Cloud的变革方法。

确保应用部署遵循批准的流程

此建议与以下重点领域相关：应用安全。

如果攻击者破解了 CI/CD 流水线，则整个应用堆栈可能会受到影响。为了帮助保护流水线，您应在将代码部署到生产环境之前实施已确定的批准流程。

如果您使用 Google Kubernetes Engine (GKE)、GKE Enterprise 或 Cloud Run，则可以使用 Binary Authorization 来建立审批流程。Binary Authorization 会将可配置的签名关联到容器映像。这些签名（也称为证明）可用来验证关联的映像。在部署时，Binary Authorization 会使用这些证明来确定是否已完成相应流程。例如，您可以使用 Binary Authorization 执行以下操作：

• 验证特定构建系统或 CI 流水线是否已创建容器映像。
• 验证容器映像是否符合漏洞签名政策。
• 验证容器映像是否将提升标准传递到下一个部署环境，例如从开发环境到质量检查环境。

通过使用 Binary Authorization，您可以强制规定只有受信任的代码才能在目标平台上运行。

在部署应用之前扫描已知漏洞

此建议与以下重点领域相关：应用安全。

建议您在应用制品部署到生产环境之前使用自动化工具，以便持续对应用制品执行漏洞扫描。

对于容器化应用，请使用 Artifact Analysis 自动运行容器映像的漏洞扫描。Artifact Analysis 会在新映像上传到 Artifact Registry 时扫描这些映像。此扫描可提取有关容器中系统软件包的信息。初始扫描后，Artifact Analysis 会持续监控 Artifact Registry 中所扫描映像的元数据以查找新漏洞。当 Artifact Analysis 从漏洞来源收到新的和更新后的漏洞信息时，它会执行以下操作：

• 更新已扫描映像的元数据，使其保持最新。
• 为新的版本说明创建新的漏洞发生实例。
• 删除不再有效的漏洞发生实例。

监控应用代码是否存在已知漏洞

此建议与以下重点领域相关：应用安全。

使用自动化工具持续监控应用代码是否存在已知漏洞（例如 OWASP 十大风险）。如需详细了解支持 OWASP 十大风险缓解技术的 Google Cloud 产品和功能，请参阅 Google Cloud上的 OWASP 十大风险缓解选项。

使用 Web Security Scanner 可帮助识别 App Engine、Compute Engine 和 GKE Web 应用中的安全漏洞。此扫描程序会抓取您的应用，跟踪起始网址范围内的所有链接，并尝试执行尽可能多的用户输入和事件处理脚本。它可自动扫描和检测常见漏洞，包括跨站脚本攻击、代码注入、混合内容以及过时或不安全的库。Web Security Scanner 可让您尽早识别这些类型的漏洞，而不会因出现误报而让您分心。

此外，如果您使用 GKE Enterprise 管理 Kubernetes 集群舰队，安全状况信息中心会显示切实可行的建议，以帮助改善舰队的安全状况。

实施先发制人的网络安全防御

Google Cloud 架构完善框架安全支柱中的这一原则提供了相关建议，可帮助您构建强大的网络防御计划，将其作为整体安全策略的一部分。

此原则强调使用威胁情报来主动指导您在核心网络防御功能（如《The Defender's Advantage：网络防御体系建立指南》中所述）方面所做的努力。

原则概览

在防御网络攻击时，您拥有一个显著但未得到充分利用的优势，可以用来对抗攻击者。正如 Mandiant 的创始人所说：“您肯定比任何攻击者都更了解自己的业务、系统、拓扑和基础设施。这是一项不可多得的优势。”为帮助您利用这一固有优势，本文档提供了有关主动且战略性的网络防御实践的建议，这些实践与“防御者优势”框架相对应。

建议

如需为云工作负载实现抢先式网络防御，请考虑以下部分中的建议：

• 整合网络防御的各项职能
• 在网络防御的各个方面使用情报功能
• 了解并利用防御者的优势
• 持续验证和改进防御措施
• 管理和协调网络防御工作

集成网络防御功能

此建议适用于所有重点领域。

The Defender's Advantage 框架确定了网络防御的六个关键功能：情报、检测、响应、验证、搜寻和任务控制。每项职能都侧重于网络防御任务的独特部分，但这些职能必须协调一致，共同发挥作用，才能提供有效的防御。专注于构建一个稳健的集成系统，使每个功能都能支持其他功能。如果您需要分阶段采用，请考虑以下建议的顺序。 根据您当前的云成熟度、资源拓扑和具体威胁形势，您可能需要优先考虑某些功能。

1. 智能：智能功能可指导所有其他功能。了解威胁形势（包括最有可能的攻击者、其策略、技术和流程 [TTP] 以及潜在影响）对于确定整个计划中各项行动的优先级至关重要。情报职能部门负责利益相关者识别、情报需求定义、数据收集、分析和传播、自动化以及创建网络威胁概况。
2. 检测和响应：这些功能构成了主动防御的核心，包括识别和处理恶意活动。 这些函数对于根据智能函数收集的情报采取行动至关重要。检测功能需要一种有条不紊的方法，该方法可将检测结果与攻击者的 TTP 相对应，并确保记录详尽的日志。“响应”功能必须侧重于初始分诊、数据收集和事件补救。
3. 验证：“验证”功能是一个持续的过程，可确保您的安全控制生态系统是最新的，并且按设计运行。此功能可确保您的组织了解攻击面，知道漏洞存在的位置，并衡量控制措施的有效性。安全验证也是检测工程生命周期中的一个重要组成部分，必须用于识别检测差距并创建新的检测。
4. 主动搜索：主动搜索功能是指主动搜索环境中的活跃威胁。当组织在“检测”和“响应”功能方面达到基准成熟度时，必须实现此功能。“搜索”功能可扩展检测功能，并有助于识别控制措施中的缺口和弱点。搜索功能必须基于特定威胁。此高级功能得益于强大的情报、检测和响应功能。
5. 任务控制中心：任务控制中心功能充当连接所有其他功能的中央枢纽。此职能负责制定网络防御计划的策略、沟通和果断行动。它可确保所有功能协同运作，并与组织的业务目标保持一致。在使用 Mission Control 功能连接其他功能之前，您必须先明确了解该功能的用途。

在网络防御的各个方面使用情报功能

此建议适用于所有重点领域。

此建议强调了情报功能是强大的网络防御计划的核心组成部分。威胁情报可提供有关威胁行为者、其 TTP 和失陷指标 (IOC) 的知识。这些知识应为所有网络防御职能部门的行动提供信息并确定优先级。借助情报驱动的方法，您可以调整防御措施，以应对最有可能影响贵组织的威胁。这种方法还有助于高效分配和确定资源优先级。

以下 Google Cloud 产品和功能可帮助您利用威胁情报来指导安全运维。使用这些功能可识别潜在的威胁、漏洞和风险并确定其优先级，然后规划并实施适当的措施。

• Google Security Operations (Google SecOps) 可帮助您集中存储和分析安全数据。使用 Google SecOps 将日志映射到通用模型中，丰富日志，并将日志关联到时间轴，以便全面了解攻击情况。 您还可以创建检测规则，设置 IoC 匹配，以及执行威胁搜寻活动。该平台还提供精选检测规则，这些规则是预定义的代管式规则，可帮助您找出威胁。Google SecOps 还可以与 Mandiant 一线情报集成。Google SecOps 独特地集成了行业领先的 AI，以及 Mandiant 的威胁情报和 Google VirusTotal。这种集成对于评估威胁至关重要，有助于了解谁在针对您的组织以及潜在影响。

• Security Command Center Enterprise 由 Google AI 提供支持，可帮助安全专业人员高效评估、调查和应对多个云环境中的安全问题。安全运营中心 (SOC) 分析师、漏洞和安全状况分析师以及合规性经理等安全专业人员可以从 Security Command Center 中受益。Security Command Center Enterprise 可丰富安全数据、评估风险并确定漏洞的优先级。此解决方案可为团队提供所需的信息，以便他们解决高风险漏洞并补救当前存在的威胁。

• Chrome Enterprise Premium 提供威胁防范和数据保护功能，可帮助用户避免渗漏风险，并防止恶意软件进入企业管理的设备。Chrome 企业进阶版还可让您了解浏览器中可能发生的不安全或潜在不安全活动。

• 通过 Network Intelligence Center 等工具进行网络监控，可让您了解网络性能。网络监控还可以帮助您检测异常流量模式或可能表明存在攻击或数据渗漏尝试的数据传输量。

了解并利用防御者的优势

此建议适用于所有重点领域。

如前所述，如果您透彻了解自己的业务、系统、拓扑和基础设施，就能比攻击者更具优势。为了充分利用这种知识优势，请在网络防御规划期间利用有关您环境的这些数据。

Google Cloud 提供以下功能，帮助您主动了解情况，以便及时发现威胁、了解风险并采取应对措施，从而减轻潜在损害：

• Chrome Enterprise 进阶版可帮助您保护用户免受数据渗漏风险的侵害，从而增强企业设备的安全性。它将 Sensitive Data Protection 服务扩展到浏览器，并可防范恶意软件。它还提供恶意软件和钓鱼式攻击防护等功能，有助于防止用户接触不安全的内容。此外，它还可让您控制扩展程序的安装，以帮助防止不安全或未经审核的扩展程序。这些功能可帮助您为运营建立安全的基础。

• Security Command Center Enterprise 提供持续的风险引擎，可进行全面且持续的风险分析和管理。风险引擎功能可丰富安全数据、评估风险并确定漏洞的优先级，从而帮助您快速解决问题。借助 Security Command Center，组织可以主动识别弱点并实施缓解措施。

• Google SecOps 可集中管理安全数据，并提供包含时间轴的丰富日志。这样，防御者就可以主动识别正在进行的入侵，并根据攻击者的行为调整防御措施。

• 网络监控有助于识别可能表明存在攻击的异常网络活动，并提供可用于采取行动的早期指标。为了帮助您主动保护数据免遭窃取，请持续监控数据渗漏情况并使用提供的工具。

持续验证和改进防御措施

此建议适用于所有重点领域。

此建议强调了有针对性的测试和持续验证控制措施的重要性，以便了解整个攻击面的优势和劣势。这包括通过以下方法验证控制措施、运营和员工的有效性：

• 渗透测试
• 红蓝对抗和紫队演练
• 沙盘演练

您还必须主动搜索威胁，并利用搜索结果来提高检测能力和可见性。使用以下工具持续测试和验证您的防御措施是否能抵御实际威胁：

• Security Command Center Enterprise 提供持续的风险引擎来评估漏洞并确定补救措施的优先级，从而持续评估您的总体安全状况。通过确定问题的优先级，Security Command Center Enterprise 可帮助您确保资源得到有效利用。

• Google SecOps 提供威胁搜寻和精选检测功能，可让您主动发现控制措施中的弱点。此功能可让您持续测试和提升检测威胁的能力。

• Chrome Enterprise Premium 提供威胁和数据保护功能，可帮助您应对不断出现的新威胁，并持续更新防御措施，防范数据渗漏风险和恶意软件。

• Cloud 新一代防火墙 (Cloud NGFW) 提供网络监控和数据渗漏监控功能。这些功能可帮助您验证当前安全状况的有效性，并找出潜在的薄弱环节。数据渗出监控有助于您验证组织数据保护机制的强度，并在必要时主动进行调整。将 Cloud NGFW 的威胁发现结果与 Security Command Center 和 Google SecOps 集成后，您可以优化基于网络的威胁检测、优化威胁响应并自动执行手册。如需详细了解此集成，请参阅统一云防御：Security Command Center 和 Cloud NGFW Enterprise。

管理和协调网络防御工作

此建议适用于所有重点领域。

如整合网络防御功能中所述，任务控制功能可将网络防御计划的其他功能相互关联起来。此函数可实现整个计划的协调和统一管理。它还有助于您与不从事网络安全工作的其他团队进行协调。任务控制功能可增强赋能和责任感，提高敏捷性和专业性，并推动责任和透明度。

以下产品和功能可帮助您实现 Mission Control 功能：

• Security Command Center Enterprise 可作为协调和管理网络防御运营的中央枢纽。它将工具、团队和数据整合在一起，并提供内置的 Google SecOps 响应功能。Security Command Center 可清晰显示组织的安全状态，并能够识别不同资源中的安全配置错误。
• Google SecOps 提供了一个平台，供团队通过映射日志和创建时间轴来应对威胁。您还可以定义检测规则并搜索威胁。
• Google Workspace 和 Chrome Enterprise Premium 可帮助您管理和控制最终用户对敏感资源的访问权限。您可以根据用户身份和请求的情境来定义精细的访问权限控制。
• 网络监控可让您深入了解网络资源的性能。您可以将网络监控数据洞见导入 Security Command Center 和 Google SecOps，以便集中监控并与其他基于时间轴的数据点进行关联。此集成有助于您检测和应对恶意活动可能导致的网络使用情况变化。
• 数据渗漏监控有助于识别可能的数据丢失事件。借助此功能，您可以高效地调动突发事件响应团队，评估损失并限制进一步的数据渗漏。您还可以改进当前的政策和控制措施，以确保数据受到保护。

产品摘要

下表列出了本文档中介绍的产品和功能，并将其与相关的建议和安全功能对应起来。

Google Cloud 产品	适用的建议
Google SecOps	在网络防御的各个方面使用情报功能： 支持威胁搜寻和 IoC 匹配，并与 Mandiant 集成以进行全面的威胁评估。 了解并充分利用防御者的优势：提供精选的检测结果，并集中管理安全数据，以便主动识别入侵行为。 持续验证和改进防御措施： 支持持续测试和改进威胁检测功能。 通过任务控制中心管理和协调网络防御工作：提供用于威胁响应、日志分析和时间轴创建的平台。
Security Command Center Enterprise	在网络防御的各个方面使用情报功能： 利用 AI 评估风险、确定漏洞优先级，并提供可用于补救的实用分析洞见。 了解并利用防御者的优势：提供全面的风险分析、漏洞优先级划分和主动识别弱点。 持续验证和改进防御措施：持续评估安全状况并确定资源优先级。 通过任务控制中心管理和协调网络防御工作：充当管理和协调网络防御运营的中央枢纽。
Chrome 企业进阶版	在网络防御的各个方面使用智能功能： 保护用户免受数据渗漏风险的侵害，防止恶意软件，并提供对不安全浏览器活动的可见性。 了解并充分利用防御者的优势：通过数据保护、恶意软件防范和扩展程序控制，增强企业设备的安全防护能力。 持续验证和改进防御措施： 通过持续更新防御措施来应对新的和不断演变的威胁，防范数据渗漏风险和恶意软件。 通过任务控制中心管理和协调网络防御工作：管理和控制最终用户对敏感资源的访问权限，包括精细的访问权限控制。
Google Workspace	通过任务控制中心管理和协调网络防御工作：管理和控制最终用户对敏感资源的访问权限，包括精细的访问权限控制。
Network Intelligence Center	在网络防御的各个方面使用智能功能： 可提供网络性能方面的可见性，并检测异常流量模式或数据传输。
Cloud NGFW	持续验证和改进防御措施：通过与 Security Command Center 和 Google SecOps 集成，优化基于网络的威胁检测和响应。

安全且负责任地使用 AI

Google Cloud 架构完善框架安全支柱中的这一原则提供了相关建议，可帮助您保护 AI 系统的安全。这些建议与 Google 的安全 AI 框架 (SAIF) 相一致，该框架提供了一种切实可行的方法来解决 AI 系统的安全和风险问题。SAIF 是一个概念框架，旨在为负责任地构建和部署 AI 提供行业范围内的标准。

原则概览

为确保 AI 系统满足安全性、隐私保护和合规性要求，您必须采取全面的策略，从初始设计阶段开始，一直延伸到部署和运营阶段。您可以应用 SAIF 的六个核心要素来实现这一整体策略。

Google 利用 AI 来增强安全措施，例如识别威胁、自动执行安全任务和提高检测能力，同时让人员参与关键决策。

Google 强调采用协作方式来提升 AI 安全性。这种方法包括与客户、行业和政府合作，以增强 SAIF 指南并提供切实可行的资源。

以下各部分中汇总了有关如何实现此原则的建议：

• 安全使用 AI 的建议
• AI 治理建议

安全使用 AI 的建议

如需安全地使用 AI，您需要同时采取基础安全控制措施和 AI 专用安全控制措施。本部分概述了相关建议，可确保您的 AI 和 ML 部署满足组织的安全、隐私权和合规性要求。 如需简要了解 Google Cloud中针对 AI 和机器学习工作负载的架构原则和建议，请参阅 Well-Architected 框架中的 AI 和机器学习视角。

明确定义 AI 用途的目标和要求

此建议与以下重点领域相关：

• 云治理、风险与合规性
• AI 和机器学习安全性

此建议与 SAIF 中关于结合周边业务流程背景评估 AI 系统风险的要素相符。在设计和改进 AI 系统时，请务必了解您的具体业务目标、风险和合规性要求。

确保数据安全并防止数据丢失或被误用

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全性

此建议与以下 SAIF 元素相符：

• 为 AI 生态系统奠定坚实的安全基础。此元素包括数据收集、存储、访问权限控制以及针对数据中毒的保护。
• 结合周边业务流程背景评估 AI 系统风险。强调数据安全性，以支持业务目标和合规性。

确保 AI 流水线安全可靠，免遭篡改

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全性

此建议与以下 SAIF 元素相符：

• 为 AI 生态系统奠定坚实的安全基础。作为建立安全 AI 系统的关键要素，请保护您的代码和模型制品。
• 调整控制措施，以加快反馈环。由于跟踪资产和流水线运行情况对于缓解和突发事件响应非常重要，因此请务必这样做。

使用安全工具和工件在安全系统上部署应用

此建议与以下重点领域相关：

• 基础架构安全
• 身份和访问权限管理
• 数据安全
• 应用安全
• AI 和机器学习安全性

在基于 AI 的应用中使用安全系统和经过验证的工具及工件，符合 SAIF 中关于为 AI 生态系统和供应链奠定坚实安全基础的要素。您可以通过以下步骤解决此建议所指出的问题：

• 为机器学习训练和部署实现安全的环境
• 使用经过验证的容器映像
• 应用软件工件的供应链级别 (SLSA) 指南

保护和监控输入

此建议与以下重点领域相关：

• 日志记录、审核和监控
• 安全运维
• AI 和机器学习安全性

此建议与 SAIF 元素一致，即扩展检测和响应能力，将 AI 引入组织的威胁防控体系。为防止出现问题，必须管理生成式 AI 系统的提示、监控输入内容并控制用户访问权限。

AI 治理建议

本部分中的所有建议都与以下重点领域相关：云治理、风险和合规性。

Google Cloud 提供了一套强大的工具和服务，可用于构建负责任且合乎道德的 AI 系统。我们还提供了一套政策、程序和伦理考量框架，可为 AI 系统的开发、部署和使用提供指导。

正如我们的建议所反映的那样，Google 的 AI 治理方法遵循以下原则：

• 公平性
• 透明度
• 问责机制
• 隐私权
• 安全

使用 Fairness Indicators

Vertex AI 可以在数据收集或训练后评估过程中检测偏差。Vertex AI 提供模型评估指标（例如数据偏差和模型偏差），可帮助您评估模型是否存在偏差。

这些指标与不同类别（例如种族、性别和阶级）之间的公平性有关。不过，解读统计偏差并非易事，因为不同类别之间的差异可能并非偏差所致，也可能不是有害信号。

使用 Vertex Explainable AI

如需了解 AI 模型如何做出决策，请使用 Vertex Explainable AI。此功能可帮助您识别模型逻辑中可能隐藏的潜在偏差。

此可解释性功能与 BigQuery ML 和 Vertex AI 集成，可提供基于特征的解释。您可以在 BigQuery ML 中执行可解释性分析，也可以在 Vertex AI 中注册模型，然后在 Vertex AI 中执行可解释性分析。

跟踪数据沿袭

跟踪 AI 系统中所用数据的来源和转换情况。 这种跟踪有助于您了解数据的来源，并找出潜在的偏差或错误来源。

数据沿袭是一项 Dataplex Universal Catalog 功能，可让您跟踪数据在系统中的移动方式：数据来自何处、传递到何处以及对其应用了哪些转换。

明确责任

明确 AI 系统的开发、部署和结果责任。

使用 Cloud Logging 记录 AI 系统做出的关键事件和决策。日志提供审核轨迹，可帮助您了解系统性能并确定需要改进的方面。

使用 Error Reporting 系统地分析 AI 系统产生的错误。此分析可以揭示指向潜在偏差或模型需要进一步改进的方面的模式。

实现差分隐私

在模型训练期间，向数据添加噪声，以便难以识别单个数据点，但仍能让模型有效地学习。借助 BigQuery 中的 SQL，您可以使用差分隐私聚合来转换查询结果。

将 AI 用于安全领域

Google Cloud 架构完善框架的安全支柱中的这一原则提供了一些建议，可帮助您利用 AI 提高云工作负载的安全性。

由于网络攻击的数量和复杂程度不断增加，因此有必要利用 AI 的潜力来帮助提高安全性。AI 可以帮助减少威胁数量，减少安全专业人员所需的人工工作量，并帮助弥补网络安全领域专家短缺的问题。

原则概览

利用 AI 功能改进现有的安全系统和流程。 您可以使用 Gemini in Security，以及内置于 Google Cloud 服务中的固有 AI 功能。

这些 AI 功能可在安全生命周期的每个阶段提供帮助，从而转变安全性。例如，您可以使用 AI 执行以下操作：

• 分析和说明潜在恶意代码，而无需进行逆向工程。
• 减少网络安全从业者的重复性工作。
• 使用自然语言生成查询并与安全性事件数据进行互动。
• 显示相关信息。
• 提供快速回复建议。
• 帮助修正事件。
• 汇总针对错误配置和漏洞的高优先级提醒，突出显示潜在影响，并建议缓解措施。

安全自主性级别

在应对不断演变的网络安全威胁时，AI 和自动化技术可帮助您取得更好的安全成效。通过将 AI 用于安全防护，您可以实现更高级别的自主性，从而检测和防范威胁，并改善整体安全状况。Google 在将 AI 用于安全用途时定义了四种自主程度，并概述了 AI 在协助和最终主导安全任务方面的作用日益增强：

1. 手动：人类用户在整个安全生命周期内运行所有安全任务（预防、检测、确定优先级和响应）。
2. 辅助：Gemini 等 AI 工具可通过总结信息、生成数据洞见和提供建议来提高人类的工作效率。
3. 半自主化：AI 承担许多安全任务的主要职责，仅在必要时将任务委托给人类。
4. 自主：AI 充当可信赖的助理，根据组织的目标和偏好推动安全生命周期，而无需过多的人工干预。

建议

以下部分介绍了有关将 AI 用于安全方面的建议。 这些部分还说明了建议如何与 Google 的安全 AI 框架 (SAIF) 的核心要素保持一致，以及这些建议如何与安全自主性级别相关。

• 利用 AI 增强威胁检测和响应能力
• 专家和非专家都能掌握安全技能
• 利用 AI 自动执行耗时的安全任务
• 将 AI 纳入风险管理和治理流程
• 为 AI 系统实施安全开发实践

利用 AI 增强威胁检测和响应能力

此建议与以下重点领域相关：

• 安全运维 (SecOps)
• 日志记录、审核和监控

AI 可以分析大量安全数据，提供有关威胁行为者行为的分析洞见，并自动分析可能包含恶意内容的代码。此建议与以下 SAIF 要素相符：

• 扩展检测和响应能力，将 AI 引入组织的威胁防控体系。
• 实现防御自动化，紧跟现有威胁和新威胁的步伐。

根据您的实现，此建议可能适用于以下自主程度：

• 辅助：AI 可帮助进行威胁分析和检测。
• 半自主：AI 在安全任务中承担更多责任。

Google Threat Intelligence 使用 AI 分析威胁行为者行为和恶意代码，可帮助您实施此建议。

专家和非专家都能掌握安全技能

此建议与以下重点领域相关：

• 安全运维 (SecOps)
• 云治理、风险与合规性

依托 AI 技术的工具可以总结提醒并推荐缓解措施，这些功能可让更多人员能够轻松使用安全功能。 此建议与以下 SAIF 元素相符：

• 实现防御自动化，紧跟现有威胁和新威胁的步伐。
• 统一平台级控制措施，确保整个组织的安全措施保持一致。

根据您的实现，此建议可能适用于以下自主程度：

• 辅助：AI 可帮助您提高安全信息的无障碍性。
• 半自主：AI 可帮助所有用户更有效地实施安全实践。

Gemini in Security Command Center 可以提供有关错误配置和漏洞的提醒摘要。

利用 AI 自动执行耗时的安全任务

此建议与以下重点领域相关：

• 基础架构安全
• 安全运维 (SecOps)
• 应用安全

AI 可以自动执行分析恶意软件、生成安全规则和识别配置错误等任务。这些功能有助于减轻安全团队的工作负担并缩短响应时间。此建议与 SAIF 要素“实现防御自动化，紧跟现有威胁和新威胁的步伐”相一致。

根据您的实现，此建议可能适用于以下自主程度：

• 辅助：AI 帮助您自动执行任务。
• 半自主化：AI 主要负责安全任务，仅在必要时请求人类提供协助。

Google SecOps 中的 Gemini 可以通过协助分析师、检索相关背景信息和提供后续步骤建议来帮助自动执行高工作量任务。

将 AI 纳入风险管理和治理流程

此建议与以下重点领域相关：云治理、风险与合规性。

您可以使用 AI 构建模型清单和风险配置文件。您还可以使用 AI 来实施数据隐私、网络风险和第三方风险方面的政策。此建议与 SAIF 中关于结合周边业务流程背景评估 AI 系统风险的要素相符。

根据您的实现情况，此建议可能适用于半自动驾驶级别的自动驾驶。在此级别，AI 可以编排安全代理，这些代理会运行流程来实现您的自定义安全目标。

为 AI 系统实施安全的开发实践

此建议与以下重点领域相关：

• 应用安全
• AI 和机器学习安全性

您可以使用 AI 来实现安全编码、清理训练数据，以及验证工具和制品。此建议与 SAIF 要素“为 AI 生态系统奠定坚实的安全基础”相符。

此建议适用于所有安全自主性级别，因为在有效利用 AI 来保障安全之前，必须先建立安全的 AI 系统。此建议最适合辅助级，在该级别下，安全实践会通过 AI 得到增强。

如需实施此建议，请遵循 AI 制品的软件工件的供应链级别 (SLSA) 指南，并使用经过验证的容器映像。

满足监管、合规性和隐私权需求

Google Cloud 优秀架构框架的安全支柱中的这一原则可帮助您确定并满足云部署的监管、合规性和隐私权要求。这些要求会影响许多决策，您需要针对Google Cloud中的工作负载使用哪些安全控制措施来做出这些决策。

原则概览

满足监管、合规性和隐私权需求是所有企业都必须面对的挑战。云监管要求取决于多种因素，包括：

• 适用于组织实际位置的法律法规
• 适用于客户实际位置的法律法规
• 您所在行业的监管要求

隐私权法规定义了如何获取、处理、存储和管理用户数据。您拥有自己的数据，包括从用户那里收到的数据。因此，许多隐私控制由您负责，包括 Cookie 控制、会话管理和获取用户权限控制。

以下部分中列出了实现此原则的建议：

• 解决组织风险的建议
• 有关如何履行监管和合规义务的建议
• 管理数据主权的建议
• 有关如何满足隐私权要求的建议

解决组织风险的建议

本部分提供了一些建议，可帮助您识别和应对组织面临的风险。

识别组织的风险

此建议与以下重点领域相关：云治理、风险与合规性。

在 Google Cloud上创建和部署资源之前，请先完成风险评估。此评估应确定您需要哪些安全功能才能满足内部安全要求和外部监管要求。

风险评估为您提供了一系列特定于组织的风险，并告知您组织在检测和应对安全威胁方面的能力。您必须在部署后立即执行风险分析，并且在业务需求、监管要求或组织面临的威胁发生变化时执行风险分析。

如实施设计时安全性原则中所述，云环境中的安全风险与本地风险有所不同。这种差异是由于云中的责任共担模型而造成的，该模型因服务（IaaS、PaaS 或 SaaS）和您的使用情况而异。使用特定于云的风险评估框架，例如 Cloud Controls Matrix (CCM)。使用威胁建模（例如 OWASP 应用威胁建模）来识别和解决漏洞。如需有关风险评估的专家帮助，请联系您的 Google 客户代表或查阅 Google Cloud的合作伙伴名录。

为风险编制目录后，您必须确定如何解决这些风险，也就是说，您要接受、避免、转移还是缓解风险。如需了解您可以实施的缓解控制措施，请参阅下一部分，了解如何缓解风险。

缓解风险

此建议与以下重点领域相关：云治理、风险与合规性。

在采用新的公有云服务时，您可以使用技术控制、合同保护以及第三方验证或证明来缓解风险。

技术控制是指您用于保护环境的功能和技术。其中包括内置的云安全控制机制，例如防火墙和日志记录。技术控制还可包括使用第三方工具来加强或支持您的安全策略。技术控制分为两类：

• 您可以实施 Google Cloud的安全控制措施，以帮助您缓解适用于您环境的风险。例如，您可以使用 Cloud VPN 和 Cloud Interconnect 来确保本地网络和云网络之间的连接安全无虞。
• Google 拥有强大的内部控制和审核机制，可防止内部人员访问客户数据。我们的审核日志可向您提供有关 Google Cloud上 Google 管理员访问的近乎实时日志。

合同保护是指我们针对Google Cloud 服务作出的法律承诺。Google Cloud 致力于维护和扩展我们的合规产品组合。《云端数据处理附录》(CDPA) 介绍了我们在数据处理和安全方面的承诺。CDPA 还概述了现有的访问权限控制机制，用来限制 Google 支持工程师对客户环境的访问权限，并介绍了我们严格的日志记录和批准流程。建议您在查看 Google Cloud的合同控制时咨询法律和法规专家，并验证它们是否满足您的要求。如需了解详情，请与您的技术客户代表联系。

第三方验证或证明是指让第三方供应商审核云服务商，以确保云服务商满足合规性要求。例如，如需了解与 ISO/IEC 27017 指南相关的 Google Cloud 证明，请参阅 ISO/IEC 27017 - 合规性。 如需查看当前的 Google Cloud 认证和证明函，请参阅合规性资源中心。

有关如何履行监管和合规义务的建议

典型的合规流程分为三个阶段：评估、差距弥合和持续监控。本部分提供了可在每个阶段中使用的建议。

评估您的合规性需求

此建议与以下重点领域相关：云治理、风险与合规性。

在合规性评估中，首先需要全面查看所有监管义务以及您的企业如何履行这些义务。为帮助您评估 Google Cloud 服务，请使用合规性资源中心。本网站提供以下方面的信息：

• 适用于各种法规的服务支持
• Google Cloud 认证和证明

如需更好地了解 Google 的合规性生命周期以及如何满足您的要求，您可以联系销售团队，请求 Google 合规专家提供帮助。或者，您也可以联系自己的Google Cloud 客户经理，申请参加合规性研讨会。

如需详细了解可用于管理 Google Cloud 工作负载的安全性和合规性的工具和资源，请参阅确保云中的合规性。

自动实现合规性要求

此建议与以下重点领域相关：云治理、风险与合规性。

为了帮助您遵守不断变化的法规，请确定您是否可以自动执行合规性要求。您可以同时使用 Google Cloud 提供的以合规性为中心的功能，以及针对特定合规性制度使用推荐配置的蓝图。

Assured Workloads 基于 Google Cloud 中的控制措施构建，可帮助您履行合规性义务。借助 Assured Workloads，您可以执行以下操作：

• 选择您的合规制度。然后，该工具会自动为所选政权设置基准人员访问权限控制。
• 使用组织政策设置数据的位置，以确保静态数据和资源仅保留在该区域中。
• 选择最符合您的安全和合规性要求的密钥管理选项（例如密钥轮替周期）。
• 选择 Google 支持人员的访问条件，以满足某些监管要求，例如 FedRAMP Moderate。例如，您可以选择 Google 支持人员是否已完成适当的背景调查。
• 使用符合 FIPS-140-2 标准并支持 FedRAMP 中等风险级别合规性的 Google-owned and Google-managed encryption keys 。为了增强控制层和职责分离，您可以使用客户管理的加密密钥 (CMEK)。如需详细了解密钥，请参阅加密静态数据和传输中的数据。

除了 Assured Workloads 之外，您还可以使用与您的合规性制度相关的蓝图 Google Cloud。您可以修改这些蓝图，将安全政策纳入基础架构部署中。

为了帮助您构建符合合规性要求的环境，Google 的蓝图和解决方案指南包含推荐的配置并提供 Terraform 模块。下表列出了满足安全性和合规性要求的蓝图。

要求	蓝图和解决方案指南
FedRAMP	Google Cloud FedRAMP 实施指南 在 Google Cloud上设置符合 FedRAMP 要求的三层工作负载
HIPAA	在 Google Cloud上保护医疗保健数据 使用数据保护工具包设置遵从 HIPAA 法规的工作负载

监控合规性

此建议与以下重点领域相关：

• 云治理、风险与合规性
• 日志记录、监控和审核

大多数法规要求您监控特定活动，包括与访问权限相关的活动。为帮助您进行监控，您可以使用以下方法：

• Access Transparency：查看 Google Cloud 管理员访问您的内容时生成的近乎实时的日志。
• 防火墙规则日志记录：针对您创建的任何规则记录 VPC 网络内的 TCP 和 UDP 连接。这些日志可用于审核网络访问权限，或者针对以未经批准的方式使用网络提供早期警告。
• VPC 流日志：记录虚拟机实例发送和接收的网络流量流。
• Security Command Center Premium：监控是否符合各种标准。
• OSSEC（或其他开源工具）：记录对您的环境具有管理员访问权限的个人的活动。
• 密钥访问理由：查看密钥访问请求的原因。
• Security Command Center 通知：在出现不合规问题时收到提醒。 例如，当用户停用两步验证或服务账号的权限过高时，您会收到提醒。 您还可以针对特定通知设置自动纠正功能。

管理数据主权的建议

此建议与以下重点领域相关：云治理、风险与合规性。

数据主权提供了一种机制，可阻止 Google 访问您的数据。您只为自己认可的必要提供商行为批准访问请求。例如，您可以通过以下方式管理数据主权：

• 在云之外存储和管理加密密钥。
• 根据详细的访问理由授予对这些密钥的访问权限。
• 通过使用机密计算保护使用中的数据。

管理运营主权

此建议与以下重点领域相关：云治理、风险与合规性。

运营主权能够保证 Google 员工无法损害您的工作负载。例如，您可以通过以下方式管理运营主权：

• 将新资源的部署限制到特定提供商区域。
• 基于预定义的特性（例如，公民身份或地理位置）限制 Google 员工访问权限。

管理软件主权

此建议与以下重点领域相关：云治理、风险与合规性。

软件主权能够保证您可以控制工作负载的可用性并在任何位置运行它们。此外，您还可以实现这种控制，而无需依赖或受限于单个云提供商。软件主权包括可承受需要您快速更改工作负载部署位置和允许的外部连接级别的事件的功能。

例如，为了帮助您管理软件主权， Google Cloud支持混合云和多云部署。此外，GKE Enterprise 还可让您在云环境和本地环境中管理和部署应用。如果您出于数据主权方面的考虑而选择本地部署，Google Distributed Cloud 是一种将 Google Cloud 引入您数据中心的硬件和软件组合。

有关如何满足隐私权要求的建议

Google Cloud 包括以下保护隐私权的控制措施：

• 默认加密所有静态数据、传输中的数据和处理中的数据。
• 防范内部人员访问。
• 支持众多隐私权法规。

以下建议介绍了您可以实施的其他控制措施。如需了解详情，请参阅隐私权资源中心。

控制数据驻留

此建议与以下重点领域相关：云治理、风险与合规性。

数据驻留描述静态存储数据的位置。数据驻留要求会因系统设计目标、行业监管问题、国家法律、税务影响甚至文化而异。

如需控制数据驻留，请从下列操作开始：

• 了解数据类型及数据位置。
• 确定数据存在哪些风险以及适用哪些法律和法规。
• 控制数据的存储位置或流向位置。

为了帮助您遵守数据驻留要求， Google Cloud 允许您控制数据的存储位置、访问方式和处理方式。您可以使用资源位置政策来限制资源的创建位置，并限制数据在区域之间的复制位置。您还可以使用资源的位置属性来标识服务的部署位置及其维护者。如需了解详情，请参阅资源位置支持的服务。

对机密数据进行分类

此建议与以下重点领域相关：数据安全性。

您必须定义哪些数据是机密数据，然后确保机密数据得到适当的保护。机密数据可能包括信用卡号码、地址、手机号码和其他个人身份信息 (PII)。 您可以使用敏感数据保护来设置适当的分类。然后，您可以对数据添加标记和进行令牌化，再存储到 Google Cloud。此外，Dataplex Universal Catalog 还提供目录服务，该服务提供了一个用于存储、管理和访问元数据的平台。如需详细了解数据分类和去标识化，请参阅使用 Sensitive Data Protection 对个人身份信息进行去标识化和重标识处理。

锁定对敏感数据的访问

此建议与以下重点领域相关：

• 数据安全
• 身份和访问权限管理

使用 VPC Service Controls 将敏感数据放置在自己的服务边界内。 VPC Service Controls 可帮助您降低未经授权从 Google 代管的服务中复制或转移数据（数据渗漏）的风险。借助 VPC Service Controls，您可以为 Google 代管的服务的资源配置安全边界，并控制跨边界的数据移动。对该数据设置 Google Identity and Access Management (IAM) 访问权限控制。为需要访问敏感数据的所有用户配置多重身份验证 (MFA)。

Google Cloud上的共担责任和命运共同体

本文档介绍了 Google Cloud中责任共担模型和命运共同体之间的差异。文中讨论了共担责任模型的挑战和细微差别。本文档介绍了什么是命运共同体，以及我们如何与客户合作解决云安全挑战。

在确定如何最好地保护 Google Cloud上的数据和工作负载时，了解共担责任模型非常重要。共担责任模型描述了在云端涉及安全性时的任务，以及这些任务对于云提供商的不同之处。

但是，了解共担责任可能具有挑战性。此模型需要深入了解您使用的每项服务、每项服务提供的配置选项，以及 Google Cloud为保护该服务而执行的操作。每项服务都有不同的配置文件，并且可能很难确定最佳安全配置。Google 认为，共担责任模型无法帮助云客户获得更好的安全结果。我们依靠命运共同体，而不是共担责任。

共同命运体包括要我们可帮助您为工作负载构建和运营受信任的云平台。我们提供最佳做法指导和安全的经过证明的基础架构代码，可用于以安全方式部署工作负载。我们发布了各种 Google Cloud 服务解决方案，以解决复杂的安全问题，并提供创新的保险方案，帮助您衡量和缓解必须接受的风险。在您保护Google Cloud上的资源时，命运共同体的关键在于我们能够更密切地与您互动。

共担责任

您非常了解企业的安全和监管要求，也非常了解保护机密数据和资源的要求。在 Google Cloud上运行工作负载时，必须确定您需要在 Google Cloud 中配置的安全控制措施，以帮助保护机密数据和每个工作负载。如需确定要实现的安全控制措施，您必须考虑以下因素：

• 法规遵从义务
• 组织的安全标准和风险管理计划
• 客户和供应商的安全要求

由工作负载定义

传统上，责任是根据您运行的工作负载类型和所需的云服务定义的。云服务包括以下类别：

云服务	说明
基础架构即服务 (IaaS)	IaaS 服务包括 Compute Engine、Cloud Storage 以及 Cloud VPN、Cloud Load Balancing 和 Cloud DNS 等网络服务。 IaaS 以随用随付的价格提供计算、存储和网络服务。如果您计划使用直接原样迁移将现有本地工作负载迁移到云端，或者希望使用特定数据库在特定虚拟机上运行应用，则可以使用 IaaS：网络配置。 在 IaaS 中，大部分安全责任属于您，我们的责任侧重于底层基础架构和物理安全。
平台即服务 (PaaS)	PaaS 服务包括 App Engine、Google Kubernetes Engine (GKE) 和 BigQuery。 PaaS 提供了您可以在其中开发和运行应用的运行时环境。如果您正在构建应用（例如网站），并且希望专注于开发而不是底层基础设施，则可以使用 PaaS。 在 PaaS 中，我们负责比 IaaS 中更多的控制。通常，这会因您使用的服务和功能而异。您与我们共同负责应用级控制和 IAM 管理。您仍需负责您的数据安全和客户端保护。
软件即服务 (SaaS)	SaaS 应用包括 Google Workspace、Google Security Operations 和 Google Cloud Marketplace 中提供的第三方 SaaS 应用。 SaaS 提供在线应用，您可以通过某种方式订阅或付费。如果您的企业对构建应用本身不具备内部专业知识或业务需求，但需要处理工作负载的能力，则可以使用 SaaS 应用。 在 SaaS 中，我们担负大部分安全责任。您仍需负责您的访问权限控制以及您选择存储在应用中的数据。
函数即服务 (FaaS) 或无服务器	FaaS 为开发者提供了运行单一用途的小型代码（称为函数）的平台，用于响应特定事件。如果您希望特定事件发生特定情况，则可以使用 FaaS。例如，您可以创建一个函数，该函数在数据上传到 Cloud Storage 时就会运行以便对其进行分类。 FaaS 具有与 SaaS 类似的共担责任列表。Cloud Run functions 是一种 FaaS 应用。

下图展示了云服务并定义了云提供商与客户应如何共担责任。

如图所示，云提供商始终负责底层网络和基础架构，并且客户始终负责其访问政策和数据。

由行业和监管框架定义

各个行业都有监管框架，用于定义必须落实的安全控制措施。将工作负载迁移到云端时，您必须了解以下内容：

• 哪些安全控制措施由您负责
• Cloud 产品提供哪些安全控制措施
• 继承的默认安全控制有哪些

继承的安全控制措施（例如我们的默认加密和基础架构控制）是您可以作为安全状况证据的一部分提供给审计员和监管机构的控制措施。例如，支付卡行业数据安全标准 (PCI DSS) 定义了付款处理方的法规。将业务迁移到云端后，这些法规会在您和 CSP 之间共享。如需了解如何在您与Google Cloud之间共担 PCI DSS 责任，请参阅 Google Cloud：PCI DSS 共担责任表。

再举一个例子，在美国，《健康保险流通与责任法案》(HIPAA) 规定了处理电子个人健康信息 (PHI) 的标准。这些责任还会在 CSP 与您之间共担。如需详细了解 Google Cloud 如何履行了 HIPAA 规定的责任，请参阅 HIPAA - 合规性。

其他行业（例如金融或制造）也有法规来规定收集、处理和存储数据的方式。如需详细了解与这类事项相关的共担责任以及Google Cloud 如何履行我们的责任，请参阅合规性资源中心。

由位置定义

根据您的业务场景，您可能需要根据公司办公室的位置、客户和数据来考虑您的职责。不同的国家和地区制定了相应的法规，指导您如何处理和存储客户数据。例如，如果您的企业有欧盟境内的客户，则您的企业可能需要遵守一般数据保护条例 (GDPR) 中所述的要求，您可能有义务将客户数据保存在欧盟境内。在这种情况下，您需负责确保您收集的数据会保留在Google Cloud 欧盟的区域中。如需详细了解我们如何履行 GDPR 义务，请参阅 GDPR 和 Google Cloud。

如需了解与您的区域相关的要求，请参阅符合的法规和标准。 如果您的场景特别复杂，建议您与我们的销售团队或我们的合作伙伴联系，以帮助您评估安全责任。

共担责任所面临的挑战

虽然共担责任有助于定义您或云提供商具有的安全角色，但依赖共担责任仍然可以产生挑战。以下面几种情况为例：

• 大多数云安全事故都属于配置错误直接导致的结果（在 Cloud Security Alliance 的 Pandemic 11 报告中被列为编号 3），此趋势预计会增加。云产品不断变化，并且新产品也在不断发布。跟上不断变化似乎很困难。客户需要云服务提供商为他们提供可靠的最佳做法，以帮助其适应变化，从默认的最佳做法开始，并具有基准安全配置。
• 虽然按云服务划分内容非常有用，但许多企业的工作负载需要多种云服务类型。在这种情况下，您必须考虑这些服务的各种安全控制措施如何交互，包括它们在服务之间是否重叠。例如，您可能有一个要迁移到 Compute Engine 的本地应用，使用 Google Workspace 处理公司电子邮件，同时运行 BigQuery 来分析数据以改进您的产品。
• 随着法规的改变，当您进入新市场或者是收购其他公司时，您的业务和市场都会不断变化。您的新市场可能有不同的要求，而新的收购可能会将其工作负载托管在另一个云平台上。为了管理不断变化，您必须不断重新评估您的风险概况，并能够快速实施新的控制措施。
• 数据加密密钥的管理方式和位置是与您保护数据职责相关的重要决策。您选择的选项取决于您的监管要求（无论您是运行混合云环境还是仍然具有本地环境），以及您要处理和存储的数据的敏感性。
• 事件管理是一项重要而又经常被忽视的领域，在此您的责任和云服务商责任不易定义。许多事件都需要云提供商密切合作和支持，以帮助调查和缓解它们。其他事件可能由于云资源配置不当或凭据被盗而造成，并且确保您满足保护资源和账号的最佳做法非常困难。
• 高级持续威胁 (APT) 和新漏洞会影响您开始云转换时可能不会考虑的工作负载。确保您及时了解最新的变化情况并负责威胁缓解工作，尤其是在您的企业没有大型安全团队的情况下。

共进退

我们在 Google Cloud 中开发了命运共同体，以开始解决共担责任模型无法解决的难题。命运共同体希望侧重于所有各方可以更好地互动，以持续提高安全性。 命运共同体基于共担责任模型，因为它将云提供商与客户之间的关系视为持续改善的合作伙伴关系。

命运共同体就是要我们负责确保 Google Cloud更安全。命运共同体包括帮助您从安全的着陆可用区开始，并清晰、明确、公开地介绍推荐的安全控制措施、设置和关联的最佳实践。它包括使用我们的风险防范计划，帮助您更好地量化和管理网络保险的风险。通过命运共同体，我们希望从标准的共担责任框架转变为更好的模型，帮助您保护企业并在 Google Cloud中建立信任。

以下部分介绍了命运共同体的各种组件。

使用入门帮助

命运共同体的一个重要组件是我们提供的资源，可帮助您在 Google Cloud中以安全配置入门。从安全配置开始有助于减少配置错误的问题，而配置错误是大多数安全事故的根本原因。

资源包括以下内容：

• 企业基础蓝图：讨论主要安全问题和我们的主要建议。

• 安全蓝图：可让您使用基础架构即代码 (IaC) 部署和维护安全解决方案。蓝图默认启用我们的安全建议。许多蓝图由 Google 安全团队创建并作为产品进行管理。此支持意味着它们会定期更新，通过严格的测试流程，并获得了第三方测试组的证明。蓝图包括企业基础蓝图和安全数据仓库蓝图。

• Google Cloud Well-Architected Framework 最佳实践，解决了如何将安全性纳入设计中的热门建议。架构完善框架包括安全部分和可用于与专家和同行联系的社区可用区。

• 着陆可用区导航指南，逐步介绍了为工作负载构建安全基础所需做出的主要决策，包括资源层次结构、身份入门、安全性密钥管理和网络结构。

Risk Protection Program

命运共同体还包括 Risk Protection Program（目前为预览版），可帮助您将 Google Cloud 的强大功能用作管理风险的平台，而不仅仅是将云工作负载视为您需要管理的风险的另一个来源。Risk Protection Program 是 Google Cloud 与两家领先的网络保险公司 Munich Re 和 Allianz Global & Corporate Speciality 的合作项目。

Risk Protection Program 包含网络保险中心，它提供数据驱动的数据分析，可用于更好地了解云安全状况。如需寻找网络承保责任范围，您可以直接与我们的保险合作伙伴分享来自网络保险中心的数据洞见，以获取报价。如需了解详情，请参阅Google Cloud Risk Protection Program 现提供预览版。

部署和治理方面的帮助

命运共同体还有助于您持续治理环境。例如，我们专注并致力于如下产品：

• Assured Workloads，可帮助您履行合规性义务。
• Security Command Center Premium，使用威胁情报、威胁检测、网页扫描和其他高级方法监控并检测威胁。它还提供了一种快速自动解决许多此类威胁的方法。
• 组织政策和资源设置，可让您在整个文件夹和项目的层次结构中配置政策。
• Policy Intelligence 工具，可让您深入了解账号和资源的访问权限。
• 机密计算：可用于加密使用中的数据。
• 合作伙伴提供的主权控制，适用于特定国家/地区，有助于强制执行数据驻留要求。

实践共担责任和命运共同体

在规划流程中，请考虑以下操作，以帮助您理解和实施适当的安全控制措施：

• 创建将在Google Cloud中托管的工作负载类型的列表，以及它们是否需要 IaaS、PaaS 和 SaaS 服务。您可以使用共担责任图作为核对清单，以确保您了解需要考虑的安全控制措施。
• 创建您必须遵守的监管要求列表，并访问合规性资源中心中与这些要求相关的资源。
• 查看架构中心的可用蓝图和架构列表，了解特定工作负载所需的安全控制措施。蓝图提供推荐控制措施的列表以及部署该架构所需的 IaC 代码。
• 使用着陆区文档和企业基础指南中的建议来设计符合您需求的资源层次结构和网络架构。您可以使用专用的工作负载蓝图（如安全数据仓库）来加快开发过程。
• 部署工作负载后，请使用网络保险中心、Assured Workloads、Policy Intelligence 工具和 Security Command Center Premium 等服务验证您是否履行了安全责任。

如需了解详情，请参阅 CISO 的云转型指南论文。

后续步骤

• 查看核心安全原则。
• 及时了解命运共同体资源方面的最新动态。
• 熟悉可用的蓝图，包括安全基础蓝图和安全数据仓库等工作负载示例。
• 详细了解命运共同体。
• 阅读 Google 基础架构安全设计概览，了解我们的底层安全基础架构。
• 了解如何在 Google Cloud 中实施 NIST Cybersecurity Framework 最佳实践(PDF)。