Google Cloud Well-Architected Framework 的「安全性、隱私權和法規遵循」支柱提供相關建議，協助您設計、部署及運作雲端工作負載，同時滿足安全性、隱私權和法規遵循需求。

本文旨在提供實用洞察資訊，滿足各種安全專業人員和工程師的需求。下表說明這份文件的目標對象：

目標對象	本文件提供的內容
資訊安全長 (CISO)、業務部門主管和 IT 經理	這個一般架構可協助您在雲端建立並維持卓越的安全性，全面掌握安全領域的狀況，進而做出明智的安全性投資決策。
安全架構師和工程師	設計和營運階段的關鍵安全做法，有助於確保解決方案的設計兼顧安全性、效率和可擴充性。
DevSecOps 團隊	提供整合全面性安全控管機制的指引，協助您規劃自動化作業，打造安全可靠的基礎架構。
法規遵循主管和風險管理人員	遵循重要安全性建議，以有條不紊的方式管理風險，並採取安全措施，確保符合法規遵循義務。

為確保工作負載符合安全性、隱私權和法規遵循規定，貴機構的所有利害關係人都必須採取協作方式。 Google Cloud 此外，您必須瞭解雲端安全是您與 Google 共同的責任。詳情請參閱「Shared responsibilities and shared fate on Google Cloud」。

這個支柱的建議會依核心安全原則分組。每項原則建議都會對應到一或多個雲端安全性的重要部署重點領域，這些領域對貴機構可能至關重要。每項建議都會著重說明如何使用及設定Google Cloud 產品和功能，以提升貴機構的安全防護能力。

核心原則

這個支柱中的建議會依據下列安全核心原則分組。這個支柱中的每項原則都很重要。視貴機構和工作負載的需求而定，您可能會選擇優先採用特定原則。

• 採用融入安全考量的設計： 從應用程式和基礎架構的初始設計階段開始，整合雲端安全性和網路安全考量。 Google Cloud 提供架構藍圖和建議，協助您套用這項原則。
• 實行零信任機制： 採用「絕不輕信，一律驗證」方法，根據持續驗證的信任度授予資源存取權。 Google Cloud 支援這項原則的產品包括 Chrome Enterprise Premium 和 Identity-Aware Proxy (IAP)。
• 實作「提早測試」的安全性原則： 在軟體開發生命週期的早期階段實作安全性控管措施。 在系統變更前避免安全缺陷。在系統變更提交後，盡早、快速且可靠地偵測及修正安全錯誤。 Google Cloud 透過 Cloud Build、二進位授權和 Artifact Registry 等產品支援這項原則。
• 實施先發制人的網路防禦措施： 採取主動式安全防護做法，實施強大的基本措施，例如威脅情報。這種做法有助於奠定基礎，進而更有效地偵測及因應威脅。Google Cloud的多層安全控管措施符合這項原則。
• 以安全且負責任的方式使用 AI： 以負責任且安全的方式開發及部署 AI 系統。這項原則的建議與 Well-Architected Framework 的 AI 和機器學習觀點，以及 Google 的安全 AI 架構 (SAIF) 指引一致。
• 運用 AI 提升安全性： 透過 Gemini in Security 和整體平台安全防護功能，運用 AI 功能改善現有的安全系統和程序。運用 AI 做為工具，提高補救作業的自動化程度，確保安全衛生，讓其他系統更加安全。
• 滿足法規、法規遵循和隱私權需求： 遵守產業專屬法規、法規遵循標準和隱私權規定。 Google Cloud 可透過 Assured Workloads、機構政策服務和法規遵循資源中心等產品，協助您履行這些義務。

組織安全思維

以安全為重的組織思維，是成功採用及運作雲端服務的關鍵。這種思維應深植於貴機構的文化中，並反映在實務做法上，而這些做法應以先前所述的核心安全原則為依據。

組織安全思維強調在系統設計期間考量安全性、假設零信任，以及在整個開發過程中整合安全功能。抱持這種心態時，您也會主動思考網路防禦措施、安全地使用 AI 和將 AI 用於安全防護，並考量法規、隱私權和法規遵循要求。貴機構可以秉持這些原則，培養以安全為優先的文化，主動防範威脅、保護重要資產，並確保負責任地使用技術。

雲端安全重點領域

本節說明規劃、導入及管理應用程式、系統和資料安全時，應著重的領域。這個支柱的每個原則都包含與上述一或多個重點領域相關的建議。在本文的其餘部分，建議會指定對應的安全重點領域，進一步提供清楚的說明和情境。

對焦區域	活動和元件	相關 Google Cloud 產品、功能和解決方案
基礎架構安全性	確保網路基礎架構安全無虞。 加密傳輸中的資料和靜態資料。 控管流量。 保護 IaaS 和 PaaS 服務。 防範未經授權的存取行為。	防火牆政策 VPC Service Controls Google Cloud Armor Cloud Next Generation Firewall Secure Web Proxy
身分與存取權管理	使用驗證、授權和存取權控管機制。 管理雲端身分。 管理身分與存取權管理政策。	Cloud Identity Google 的身分與存取權管理 (IAM) 服務 員工身分聯盟 Workload Identity 聯盟
資料安全性	安全地儲存資料。 Google Cloud 控管資料存取權。 探索及分類資料。 設計必要的控制項，例如加密、存取權控管和資料遺失防護。 保護靜態、傳輸中和使用中的資料。	Google 的 IAM 服務 Sensitive Data Protection VPC Service Controls Cloud KMS 機密運算
AI 和機器學習安全性	在 AI 和機器學習基礎架構和管道的不同層級套用安全控管措施。 確保模型安全。	Google 的 SAIF Model Armor
資安營運 (SecOps)	採用現代化 SecOps 平台和做法，有效管理事件、偵測威脅及制定應變程序。 持續監控系統和應用程式，找出安全性事件。	Google Security Operations
應用程式安全防護	保護應用程式，防範軟體漏洞和攻擊。	Artifact Registry Artifact Analysis 二進位授權 Assured Open Source Software Google Cloud Armor Web Security Scanner
雲端管理、風險與法規遵循	制定政策、程序和控管措施，有效且安全地管理雲端資源。	機構政策服務 Cloud Asset Inventory Security Command Center Enterprise Resource Manager
記錄、稽核和監控	分析記錄檔，找出潛在威脅。 追蹤及記錄系統活動，以利進行法規遵循和安全性分析。	Cloud Logging Cloud Monitoring Cloud 稽核記錄 虛擬私有雲流量記錄

貢獻者

作者：

• Wade Holmes | 全球解決方案總監
• 赫克托迪亞茲 | 雲端安全架構師
• Carlos Leonardo Rosario | Google Cloud 安全專家
• John Bacon | 合作夥伴解決方案架構師
• Sachin Kalra | 全球安全解決方案經理

其他貢獻者：

• Anton Chuvakin | 資安顧問，資安長辦公室
• Daniel Lees | 雲端安全架構師
• Filipe Gracio 博士 | 客戶工程師
• Gary Harmson | 首席架構師
• Gino Pelliccia | 首席架構師
• Jose Andrade | 企業基礎架構客戶工程師
• Kumar Dhanagopal | 跨產品解決方案開發人員
• Laura Hyatt | Enterprise Cloud Architect
• Marwan Al Shawi | 合作夥伴客戶工程師
• Nicolas Pintaux | 客戶工程師、應用程式現代化專家
• Noah McDonald | 雲端安全顧問
• Osvaldo Costa | 網路專家客戶工程師
• Radhika Kanakam | Cloud GTM 資深專案經理
• Samantha He | 技術文件撰稿者
• Susan Wu | 對外產品經理

導入融入安全考量的設計

Google Cloud Well-Architected Framework 安全性支柱的這項原則提供相關建議，協助您在雲端應用程式、服務和平台的設計中，納入強大的安全功能、控制項和做法。從發想概念到實際運作，如果將安全性納入設計流程的每個階段，就能更有效地保護系統。

原則總覽

如「Google 對安全設計的承諾簡介」一文所述，預設安全和安全設計經常交替使用，但這兩種做法代表建構安全系統的不同方法。這兩種方法都旨在盡量減少安全漏洞並提升安全性，但範圍和實作方式不同：

• 預設安全：著重於確保系統的預設設定為安全模式，盡量減少使用者或管理員採取行動來保護系統的需求。這個方法旨在為所有使用者提供基本安全防護。
• 融入安全考量的設計：強調在系統的整個開發生命週期中，主動納入安全考量。這種做法是為了及早預測潛在威脅和安全漏洞，並做出可降低風險的設計選擇。這個方法包括採用安全編碼做法、進行安全審查，以及在整個設計過程中嵌入安全防護機制。「融入安全考量的設計」是一種整體哲學，可引導開發程序，確保安全性不是事後才考慮的因素，而是系統設計不可或缺的一環。

建議

如要為雲端工作負載導入「設計安全」原則，請參考下列各節的建議：

• 選擇有助於保護工作負載安全的系統元件
• 建立多層次的安全防護策略
• 使用經過強化的認證基礎架構和服務
• 為靜態和傳輸中的資料加密

選擇有助於保護工作負載安全的系統元件

這項建議與所有重點領域相關。

如要確保安全無虞，最基本的決策就是選擇穩固的系統元件，包括構成平台、解決方案或服務的硬體和軟體元件。為縮減安全攻擊面並減少潛在損害，您也必須仔細考量這些元件的部署模式和設定。

在應用程式程式碼中，建議您使用簡單、安全且可靠的程式庫、抽象化和應用程式架構，以消除各類安全漏洞。如要掃描軟體程式庫中的安全漏洞，可以使用第三方工具。您也可以使用 Assured Open Source Software，透過 Google 使用及保護的開放原始碼軟體 (OSS) 套件，降低軟體供應鏈的風險。

基礎架構必須使用支援安全運作的網路、儲存空間和運算選項，並符合您的安全需求和風險接受程度。基礎架構安全對於面向網際網路和內部的工作負載都很重要。

如要瞭解支援這項建議的其他 Google 解決方案，請參閱「實作左移式安全防護」。

建構多層式安全防護機制

這項建議與下列重點領域相關：

• AI 和機器學習安全性
• 基礎架構安全性
• 身分與存取權管理
• 資料安全性

建議您採用深度防禦機制，從應用程式到基礎架構堆疊的每個層級都落實安全措施。

使用平台各項元件中的安全功能。如要限制存取權，並在發生安全事件時找出潛在影響範圍 (即爆破範圍)，請按照下列步驟操作：

• 盡可能簡化系統設計，以利彈性調整。
• 記錄每個元件的安全性要求。
• 納入完善的安全機制，以滿足復原和復原能力需求。

設計安全層時，請進行風險評估，確定您需要哪些安全性功能才能滿足內部安全需求和外部監管需求。建議您使用適用於雲端環境的業界標準風險評估架構，並符合相關法規要求。舉例來說，雲端安全聯盟 (CSA) 提供雲端控制矩陣 (CCM)。風險評估會提供風險目錄和相應的安全控管措施，協助您降低風險。

進行風險評估時，請記住您與雲端供應商有共同責任協議。因此，雲端環境的風險與地端環境的風險不同。舉例來說，在內部部署環境中，您需要減輕硬體堆疊的安全性弱點。相較之下，在雲端環境中，這些風險由雲端供應商承擔。此外，請注意，各雲端服務供應商的 IaaS、PaaS 和 SaaS 服務，在共同責任範圍方面有所不同。

找出潛在風險後，您必須設計及制定緩解計畫，運用技術、管理和營運控管措施，以及合約保護和第三方認證。此外，您也可以使用威脅模型化方法 (例如 OWASP 應用程式威脅模型化方法)，找出潛在缺口並建議解決缺口的行動。

使用經過強化和認證的基礎架構和服務

這項建議與所有重點領域相關。

成熟的安全性計畫可減輕安全性公告所述的新安全漏洞。此外，安全防護計畫也應提供補救措施，修正現有部署作業中的安全漏洞，並保護 VM 和容器映像檔。您可以根據映像檔的 OS 和應用程式使用專屬的強化指南，以及使用基準 (例如 Center of Internet Security (CIS) 提供的基準)。

如果您為 Compute Engine VM 使用自訂映像檔，則必須自行修補映像檔。或者，您可以使用 Google 提供的精選 OS 映像檔，這些映像檔會定期修補。如要在 Compute Engine VM 上執行容器，請使用 Google 精選的 Container-Optimized OS 映像檔。Google 會定期修補及更新這些映像檔。

如果您使用 GKE，建議啟用節點自動升級，讓 Google 為叢集節點套用最新修補程式。Google 會管理 GKE 控制層，並自動更新及修補。如要進一步縮小容器的攻擊面，可以使用無發行版本映像檔。Distroless 映像檔非常適合用於安全防護要求嚴格的應用程式、微服務，以及需要盡量縮小映像檔大小和攻擊面的情況。

對於機密工作負載，請使用 Shielded VM，防止在 VM 啟動週期載入惡意程式碼。受防護的 VM 執行個體提供啟動安全防護、監控完整性，並使用虛擬信任平台模組 (vTPM)。

為確保 SSH 存取安全，OS 登入功能可讓員工使用身分與存取權管理 (IAM) 權限連線至 VM，而不必依賴 SSH 金鑰。因此，您不需要管理整個機構的 SSH 金鑰。OS 登入會將管理員的存取權與員工生命週期綁定，因此當員工變更角色或離開貴機構時，系統會連同帳戶一併撤銷存取權。OS 登入也支援 Google 雙重驗證，可進一步防範帳戶盜用攻擊。

在 GKE 中，應用程式執行個體會在 Docker 容器中執行。如要啟用定義的風險設定檔，並限制員工變更容器，請確保容器為無狀態且不可變。不可變更原則是指員工不得修改或以互動方式存取容器。如果必須變更容器，請建構新映像檔並重新部署。僅在特定偵錯情境中，啟用對基礎容器的 SSH 存取權。

如要確保環境中的設定安全無虞，您可以透過機構政策，對影響雲端資產行為的資源設定限制或防護機制。舉例來說，您可以定義下列機構政策，並在 Google Cloud 機構中全域套用，或在資料夾或專案層級選擇性套用：

• 停用 VM 的外部 IP 位址分配功能。
• 限制僅有特定地理位置才可建立資源。
• 停用服務帳戶或其金鑰的建立功能。

為靜態和傳輸中的資料加密

這項建議與下列重點領域相關：

• 基礎架構安全性
• 資料安全性

資料加密是保護私密資訊的基本控管措施，也是資料治理的重要環節。有效的資料保護策略包括存取控管、資料區隔和地理位置落地、稽核，以及根據需求審慎評估結果實作的加密機制。

根據預設， Google Cloud Google 會為客戶存放的靜態資料加密，因此您不需採取任何動作。除了預設加密機制之外，Google Cloud 還提供信封加密和加密金鑰管理選項。無論您是為儲存空間、運算作業或大數據工作負載選擇金鑰，都必須找出最符合金鑰產生、儲存和輪替需求的解決方案。舉例來說，您可以在 Cloud Key Management Service (Cloud KMS) 中建立客戶管理加密金鑰 (CMEK)。為符合法規或法規遵循規定 (例如定期輪替加密金鑰)，CMEK 可以是軟體型，也可以受 HSM 保護。Cloud KMS Autokey 可自動佈建及指派 CMEK。此外，您也可以使用 Cloud External Key Manager (Cloud EKM)，從第三方金鑰管理系統匯入自有金鑰。

強烈建議您加密傳輸中的資料。 資料移出 Google 或 Google 代理單位控管的實體界限時，Google 會在一或多個網路層加密及驗證傳輸中的資料。虛擬私有雲網路和對等互連虛擬私有雲網路中的所有 VM 對 VM 流量都會經過加密。您可以使用 MACsec 加密 Cloud Interconnect 連線上的流量。IPsec 可為 Cloud VPN 連線的流量提供加密功能。您可以運用安全功能 (例如 Apigee 中的 TLS 和 mTLS 設定，以及適用於容器化應用程式的 Cloud Service Mesh，保護雲端中的應用程式間流量。

根據預設， Google Cloud 會加密靜態資料和網路傳輸中的資料。不過，記憶體中正在使用的資料預設不會加密。如果貴機構處理機密資料，就必須防範任何會損害應用程式或系統記憶體中資料機密性和完整性的威脅。如要防範這些威脅，可以使用機密運算，為運算工作負載提供受信任的執行環境。詳情請參閱「機密 VM 總覽」。

導入零信任機制

Google Cloud Well-Architected Framework 的安全支柱原則可協助您確保雲端工作負載的全面安全性。零信任原則強調下列做法：

• 排除自動信任
• 將最低權限原則套用至存取權控管
• 強制對所有存取要求進行明確驗證
• 採取「假設遭入侵」的心態，持續驗證並監控安全狀態

原則總覽

零信任模型會將安全防護重點從邊界式安全防護機制，轉移到不信任任何使用者或裝置的方法。無論存取要求來自何處，都必須經過驗證。這種方法包括驗證每位使用者和裝置的身分並授予授權、驗證情境 (位置和裝置狀態)，以及僅授予必要資源的最低權限存取權。

導入零信任模型有助於機構強化安全防護機制，盡量減少潛在入侵事件的影響，並防範未經授權的存取行為，保護機密資料和應用程式。零信任模型可協助確保雲端資料和資源的機密性、完整性和可用性。

建議

如要為雲端工作負載實作零信任模型，請參考下列各節的建議：

• 保護網路安全
• 明確驗證每次存取嘗試
• 監控及維護網路

保護網路安全

這項建議與下列重點領域相關：基礎架構安全性。

從傳統的邊界式安全防護機制轉移至零信任模型，需要多個步驟。貴機構可能已將特定零信任控管措施整合至安全防護設定。不過，零信任模型並非單一產品或解決方案，而是整合多個安全層和最佳做法。本節說明如何導入零信任網路安全防護機制，並提供相關建議和技術。

• 存取權控管：使用 Chrome Enterprise 進階版和 Identity-Aware Proxy (IAP) 等解決方案，根據使用者身分和情境強制執行存取權控管。這樣一來，您就能將安全防護從網路邊界轉移至個別使用者和裝置。這種做法可實現精細的存取權控管，並縮小攻擊面。
• 網路安全：保護地端部署、 Google Cloud和多雲端環境之間的網路連線。
  • 使用 Cloud Interconnect 和 IPsec VPN 的私人連線方法。
  • 如要確保服務和 API 的存取安全，請使用 Private Service Connect。 Google Cloud
  • 如要確保從 GKE Enterprise 部署的工作負載發出的連線安全無虞，請使用 Cloud Service Mesh 輸出閘道。
• 網路設計：刪除現有專案中的預設網路，並禁止在新專案中建立預設網路，以防範潛在的安全風險。
  • 為避免衝突，請仔細規劃網路和 IP 位址分配。
  • 為有效控管存取權，請限制每個專案的虛擬私有雲 (VPC) 網路數量。
• 區隔：隔離工作負載，但維持集中式網路管理。
  • 如要區隔網路，請使用共用虛擬私有雲。
  • 在機構、資料夾和虛擬私有雲網路層級定義防火牆政策和規則。
  • 如要防範資料竊取，請使用 VPC Service Controls，為機密資料和服務建立安全防護範圍。
• 邊界安全：防範分散式阻斷服務攻擊和網頁應用程式威脅。
  • 如要防範威脅，請使用 Google Cloud Armor。
  • 設定安全性政策，允許、拒絕或重新導向Google Cloud 邊緣的流量。
• 自動化：採用基礎架構即程式碼 (IaC) 原則，並使用 Terraform、Jenkins 和 Cloud Build 等工具，自動佈建基礎架構。IaC 有助於確保安全設定一致、簡化部署作業，並在發生問題時快速復原。
• 安全基礎：使用企業基礎藍圖建立安全的應用程式環境。這份藍圖提供規範性指引和自動化指令碼，協助您實作安全最佳做法，並安全地設定Google Cloud 資源。

明確驗證每次存取嘗試

這項建議與下列重點領域相關：

• 身分與存取權管理
• 資安營運 (SecOps)
• 記錄、稽核和監控

針對嘗試存取雲端資源的任何使用者、裝置或服務，實作完善的驗證與授權機制。請勿將位置或網路邊界做為安全控管機制。不要自動信任任何使用者、裝置或服務，即使對方已存在於網路內。而是每次嘗試存取資源時，都必須經過嚴格的驗證和授權。您必須導入高強度的身分驗證措施，例如多重驗證 (MFA)。此外，您也必須確保存取權決策是根據精細的政策，並考量各種情境因素，例如使用者角色、裝置狀態和位置。

如要實作這項建議，請使用下列方法、工具和技術：

• 統一身分管理：使用單一身分提供者 (IdP)，確保機構內的身分管理方式一致。
  • Google Cloud 支援與大多數 IdP 建立同盟，包括內部部署的 Active Directory。 透過聯盟，您可以將現有的身分管理基礎架構擴充至 Google Cloud ，並為使用者啟用單一登入 (SSO)。
  • 如果您沒有現有的 IdP，請考慮使用 Cloud Identity 進階版或 Google Workspace。
• 服務帳戶權限有限：請謹慎使用服務帳戶，並遵守最低權限原則。
  • 只授予每個服務帳戶執行指定工作所需的必要權限。
  • 對於在 Google Kubernetes Engine (GKE) 上執行或在Google Cloud 外部執行的應用程式，請使用工作負載身分聯盟安全存取資源。
• 完善的程序：更新身分識別程序，與雲端安全最佳做法保持一致。
  • 為確保遵守法規要求，請實作身分識別控管機制，追蹤存取權、風險和政策違規事項。
  • 請檢查並更新現有的程序，授予及稽核存取權控管角色和權限。
• 嚴格驗證：導入 SSO 進行使用者驗證，並為特殊權限帳戶導入 MFA。
  • Google Cloud 支援各種 MFA 方法，包括 Titan 安全金鑰，可提升安全性。
  • 如要進行工作負載驗證，請使用 OAuth 2.0 或已簽署的 JSON Web Token (JWT)。
• 最低權限：強制執行最低權限和職責分離原則，盡量降低未經授權存取和資料外洩的風險。
  • 避免過度佈建使用者存取權。
  • 考慮為敏感作業實作即時特殊權限存取權。
• 記錄：啟用管理員和資料存取活動的稽核記錄。
  • 如要進行分析和威脅偵測，請使用 Security Command Center Enterprise 或 Google Security Operations 掃描記錄。
  • 設定適當的記錄檔保留政策，兼顧安全性需求和儲存空間費用。

監控及維護網路

這項建議與下列重點領域相關：

• 記錄、稽核和監控
• 應用程式安全防護
• 資安營運 (SecOps)
• 基礎架構安全性

規劃及實施安全措施時，請假設攻擊者已入侵您的環境。這種主動式做法會使用下列多種工具和技術，提供網路的資訊透明度：

• 集中記錄與監控：透過集中式記錄與監控功能，收集及分析所有雲端資源的安全性記錄。

  • 建立正常網路行為的基準、偵測異常狀況，以及找出潛在威脅。
  • 持續分析網路流量，找出可疑模式和潛在攻擊。

• 深入瞭解網路效能和安全性：使用網路分析器等工具。監控流量，找出異常通訊協定、非預期連線或資料移轉量突然暴增的情況，這可能表示有惡意活動。

• 安全漏洞掃描和修復：定期掃描網路和應用程式，找出安全漏洞。

  • 使用 Web Security Scanner，自動找出 Compute Engine 執行個體、容器和 GKE 叢集中的安全漏洞。
  • 根據安全漏洞的嚴重程度，以及對系統的潛在影響，決定修復的優先順序。

• 入侵偵測：監控網路流量中的惡意活動，並使用 Cloud IDS 和 Cloud NGFW 入侵防範服務，自動封鎖可疑事件或接收相關警報。

• 安全分析：考慮導入 Google SecOps，關聯來自各種來源的安全事件、即時分析安全快訊，並簡化事件應變程序。

• 設定一致性：使用設定管理工具，確保網路安全設定一致。

導入「提早針對安全性進行測試」的做法

Google Cloud Well-Architected Framework 安全性支柱的這項原則可協助您找出實用的控制項，並在軟體開發生命週期的早期階段導入，以提升安全防護機制。並提供建議，協助您導入預防性安全防護機制和部署後安全控制措施。

原則總覽

提早測試安全性是指在軟體開發生命週期的早期階段，就採用安全防護措施。這項原則的目標如下：

• 在系統變更前避免安全缺陷。導入預防性安全防護機制，並採用基礎架構即程式碼 (IaC)、政策即程式碼，以及 CI/CD pipeline 中的安全檢查等做法。您也可以使用其他平台專屬功能，例如機構組織政策服務和強化型 GKE 叢集 Google Cloud。
• 在提交任何系統變更後，及早、快速且可靠地偵測及修正安全性錯誤。採用程式碼審查、部署後安全漏洞掃描和安全性測試等做法。

「以安全為設計宗旨」和「左移安全性」原則相關，但適用範圍不同。安全設計原則可協助您避免基本設計瑕疵，否則就必須重新建構整個系統架構。舉例來說，威脅模型化練習顯示，目前的設計不包含授權政策，因此所有使用者都具有相同的存取層級。左移安全防護可協助您在套用變更前，避免實作缺陷 (錯誤和設定錯誤)，並在部署後快速可靠地修正問題。

建議

如要為雲端工作負載實作「左移」安全原則，請參考下列各節的建議：

• 採用預防性安全控制措施
• 自動佈建及管理雲端資源
• 自動發布安全應用程式
• 部署應用程式時，務必遵循經過核准的流程
• 在部署應用程式前掃描已知的安全漏洞
• 監控應用程式程式碼是否有已知的安全漏洞

採用預防性安全控管機制

這項建議與下列重點領域相關：

• 身分與存取權管理
• 雲端管理、風險與法規遵循

預防性安全控管機制對於維持雲端安全防護機制至關重要。這些控制項可協助您主動降低風險。您可以防止設定錯誤和未經授權存取資源，讓開發人員有效率地工作，並確保符合產業標準和內部政策。

使用基礎架構即程式碼 (IaC) 實作預防性安全控管機制，效果會更顯著。透過 IaC，預防性安全性控制項可在部署變更前，對基礎架構程式碼進行更多自訂檢查。搭配自動化功能使用時，預防性安全控制措施可做為持續整合/持續推送軟體更新管道自動檢查的一部分執行。

下列產品和 Google Cloud 功能可協助您在環境中導入預防性控制措施：

• 機構政策服務限制：集中控管預先定義和自訂的限制。
• VPC Service Controls：在 Google Cloud 服務周圍建立範圍。
• 身分與存取權管理 (IAM)、Privileged Access Manager 和主體存取邊界政策：限制資源存取權。
• 政策控制器和開放式政策代理程式 (OPA)：在 CI/CD 管道中強制執行 IaC 限制，避免雲端設定錯誤。

您可以透過 IAM 授權「哪些人」可以根據權限對特定資源執行動作。詳情請參閱「使用 IAM 控管機構資源的存取權」一文。

機構政策服務可讓您針對資源設定限制，指定資源的設定方式。舉例來說，您可以使用機構政策執行下列操作：

• 依據網域限制資源共用行為。
• 限制服務帳戶的使用。
• 限制新建立資源的實際位置。

除了使用機構政策，您也可以透過下列方法限制資源存取權：

• 搭配 IAM 使用標記： 將標記指派給一組資源，然後為標記本身設定存取權定義，不必為每個資源定義存取權。
• IAM 條件： 依據屬性為資源定義條件式存取控管機制。
• 縱深防禦：使用 VPC Service Controls 進一步限制資源存取權。

如要進一步瞭解資源管理，請參閱「為登陸區決定資源階層」。 Google Cloud

自動佈建及管理雲端資源

這項建議與下列重點領域相關：

• 應用程式安全防護
• 雲端管理、風險與法規遵循

相較於命令式指令碼，採用宣告式 IaC 也能更有效地自動佈建及管理雲端資源和工作負載。IaC 本身並非安全工具或做法，但有助於提升平台安全性。採用 IaC 可建立可重複使用的基礎架構，並為作業團隊提供已知的良好狀態。IaC 也能提高回溯、稽核變更和疑難排解的效率。

結合 CI/CD 管道和自動化功能後，IaC 還能讓您採用程式碼即政策等做法，並搭配 OPA 等工具。您可以稽核一段時間內的基礎架構變更，並在部署變更前，對基礎架構程式碼執行自動檢查。

如要自動部署基礎架構，可以使用 Config Controller、Terraform、Jenkins 和 Cloud Build 等工具。為協助您使用 IaC 和自動化功能建構安全的應用程式環境，Google Cloud 提供企業基礎藍圖。這項藍圖是 Google 的具體設計，遵循所有建議做法和設定。藍圖提供逐步操作說明，引導您使用 Terraform 和 Cloud Build 設定及部署 Google Cloud 拓撲。

您可以修改企業基礎藍圖的指令碼，設定符合 Google 建議且滿足自身安全需求的環境。您可以運用其他藍圖進一步建構藍圖，或設計自己的自動化程序。Google Cloud 架構中心提供其他藍圖，可實作於企業基礎藍圖之上。以下是這類藍圖的幾個範例：

• 在 Google Cloud上部署企業開發人員平台
• 使用 Cloud Run 部署安全無虞的無伺服器架構
• 在企業中建構及部署生成式 AI 和機器學習模型
• 將資料從 Google Cloud 匯入安全的 BigQuery 資料倉儲

自動發布安全應用程式

這項建議與下列重點領域相關：應用程式安全性。

如果沒有自動化工具，要部署、更新及修補複雜的應用程式環境，以符合一致的安全性需求，可能會相當困難。建議您為軟體開發生命週期 (SDLC) 建構自動化 CI/CD 管道。自動化 CI/CD 管道可協助您消除人為錯誤、提供標準化開發意見回饋迴路，並有效率地進行產品疊代。持續推送軟體更新是 DORA 架構建議的最佳做法之一。

使用 CI/CD 管道自動發布應用程式，有助於及早、快速且可靠地偵測及修正安全錯誤。舉例來說，您可以在建立構件時自動掃描安全漏洞、縮小安全審查範圍，以及回復至已知安全版本。您也可以針對不同的環境 (例如開發、測試或實際工作環境) 定義政策，確保只有通過驗證的構件會部署到環境中。

為協助您自動發布應用程式，並在 CI/CD 管道中嵌入安全性檢查， Google Cloud 提供多種工具，包括 Cloud Build、Cloud Deploy、Web Security Scanner 和 Binary Authorization。

如要建立驗證 SDLC 中多項安全規定的程序，請使用 Google 定義的軟體構件供應鏈級別 (SLSA) 架構。SLSA 要求對原始碼、建構程序和程式碼來源進行安全檢查。許多這類需求可納入自動化 CI/CD 管道。如要瞭解 Google 內部如何套用這些做法，請參閱「Google Cloud的變更方法」。

部署應用程式時，務必遵循經過核准的流程

這項建議與下列重點領域相關：應用程式安全性。

如果攻擊者入侵 CI/CD 管道，整個應用程式堆疊都可能受到影響。為確保管道安全，您應強制執行既定的核准程序，再將程式碼部署至實際工作環境。

如果您使用 Google Kubernetes Engine (GKE)、GKE Enterprise 或 Cloud Run，可以透過二進位授權建立核准程序。二進位授權會將可設定的簽章附加至容器映像檔。這些簽章 (也稱為認證) 有助於驗證圖片。在部署時，二進位授權會使用這些認證來判斷程序是否已完成。舉例來說，您可以使用二進位授權執行下列操作：

• 確認特定建構系統或 CI 管道是否已建立容器映像檔。
• 驗證容器映像檔是否符合安全漏洞簽署政策。
• 確認容器映像檔符合升級至下一個部署環境的條件，例如從開發環境升級至品質確保環境。

使用二進位授權，即可強制規定只有受信任的程式碼才能在目標平台上執行。

在部署應用程式前掃描已知的安全漏洞

這項建議與下列重點領域相關：應用程式安全性。

建議您使用自動化工具，持續掃描應用程式構件中的安全性漏洞，再部署至正式環境。

如果是容器化應用程式，請使用 Artifact Analysis 自動執行容器映像檔的安全漏洞掃描。將新的映像檔上傳至 Artifact Registry 時，Artifact Analysis 會掃描這些映像檔。掃描作業會擷取容器中系統套件的相關資訊。完成初始掃描後，Artifact Analysis 會持續監控 Artifact Registry 中已掃描映像檔的中繼資料，找出新的安全漏洞。當構件分析收到來自安全漏洞來源的全新和更新安全漏洞資訊時，會執行下列操作：

• 更新掃描映像檔的中繼資料，確保內容符合時效性。
• 為新註記建立新的安全漏洞例項。
• 刪除不再有效的安全漏洞例項。

監控應用程式程式碼是否有已知的安全漏洞

這項建議與下列重點領域相關：應用程式安全性。

使用自動化工具持續監控應用程式程式碼，找出已知安全漏洞，例如 OWASP Top 10。如要進一步瞭解支援 OWASP 前 10 名緩解技術的產品和功能，請參閱「Google Cloud 上的 OWASP 前 10 名緩解選項 Google Cloud」。 Google Cloud

使用 Web Security Scanner 找出 App Engine、Compute Engine 和 GKE 網路應用程式中的安全漏洞。掃描器會檢索您的應用程式，追蹤起始網址涵蓋的所有連結，並嘗試盡可能執行大量的使用者輸入內容和事件處理常式。這項工具會自動掃描及偵測常見的安全漏洞，包括跨網站指令碼攻擊、程式碼注入、混合式內容，以及版本過舊或不安全的程式庫。Web Security Scanner 可及早找出這類安全漏洞，不會因為誤判而干擾您。

此外，如果您使用 GKE Enterprise 管理 Kubernetes 叢集機群，安全防護機制資訊主頁會顯示具體可行的建議，協助您提升機群的安全防護機制。

導入先發制人的網路防禦機制

Google Cloud Well-Architected Framework 的安全支柱原則提供相關建議，協助您建構強大的網路防禦計畫，做為整體安全策略的一環。

這項原則強調運用威脅情報，主動引導您在核心網路防禦功能 (如《完善防備的好處：網路防禦機制啟動指南》所述) 方面所做的努力。

原則總覽

在防禦系統抵禦網路攻擊時，您擁有對抗攻擊者的重大優勢，但這項優勢尚未充分發揮。正如Mandiant 創辦人所言：「您遠比任何攻擊者都更瞭解自家業務、系統、拓撲和基礎架構。這是無與倫比的優勢。」為協助您善用這項優勢，本文提供主動式策略性網路防禦做法的建議，並對應至《完善防備的好處》架構。

建議

如要為雲端工作負載導入先發制人的網路防禦措施，請參考下列各節的建議：

• 整合網路防禦功能
• 在網路防禦的各個層面運用情報功能
• 瞭解並善用身為防禦者的優勢
• 持續驗證及改善防禦措施
• 管理及協調網路防禦工作

整合網路防禦功能

這項建議與所有重點領域相關。

The Defender's Advantage 框架列出六大網路防禦能力：情報、偵測、應變、驗證、搜索和任務控管。各項能力分別著重於網路防禦任務的不同部分，但這些能力必須妥善協調並共同運作，才能提供有效的防禦機制。著重於建構強大且整合的系統，讓各項功能彼此支援。如需分階段採用，建議按照下列順序進行。視您目前的雲端成熟度、資源拓撲和特定威脅情勢而定，您可能需要優先處理某些功能。

1. 情報：情報功能會引導所有其他功能。瞭解威脅情勢 (包括最有可能的攻擊者、其策略、技術和程序 (TTP)，以及潛在影響) 對於整個計畫的行動優先順序至關重要。情報團隊負責識別利害關係人、定義情報需求、收集資料、分析及散布資訊、自動化作業，以及建立網路威脅設定檔。
2. 偵測及應變：這些功能是主動防禦的核心，可識別及處理惡意活動。這些函式是根據情報函式收集的情報採取行動的必要條件。偵測團隊必須採用系統化做法，根據攻擊者的戰術、技術與程序調整偵測機制，並確保記錄檔內容完整。「回應」功能必須著重於初步分類、資料收集和事件補救。
3. 驗證：驗證功能是持續進行的程序，可確保安全控管生態系統維持最新狀態，並按照設計運作。這項功能可確保貴機構瞭解攻擊面、安全漏洞位置，並衡量控管機制的成效。安全性驗證也是偵測工程生命週期的重要環節，必須用於找出偵測缺口並建立新的偵測機制。
4. 搜索：搜索功能會主動搜尋環境中的現有威脅。如果貴機構在偵測和回應功能方面已達到基本成熟度，就必須實作這項功能。搜索功能可擴大偵測範圍，協助找出控管機制中的漏洞和弱點。「搜尋」功能必須以特定威脅為依據。這項進階功能以強大的情報、偵測和回應功能為基礎。
5. 任務控管：任務控管功能是連結所有其他功能的中樞，這項功能負責制定策略、溝通，以及在網路防禦計畫中採取果斷行動。確保所有功能都能協同運作，並與貴機構的業務目標一致。您必須先清楚瞭解任務控管功能的目的，才能使用這項功能連結其他功能。

在網路防禦的各個層面運用情報功能

這項建議與所有重點領域相關。

這項建議強調情報功能是強大網路防禦計畫的核心部分。威脅情報可提供威脅發動者、其 TTP 和入侵指標 (IOC) 的相關知識。這類知識應做為所有網路防禦功能的行動依據，並決定行動優先順序。情報導向方法可協助您調整防禦機制，應對最有可能影響貴機構的威脅。這種做法也有助於有效分配及優先處理資源。

下列 Google Cloud 產品和功能可協助您運用威脅情報，引導資安作業。使用這些功能找出潛在威脅、安全漏洞和風險，並排定優先順序，然後規劃及採取適當行動。

• Google Security Operations (Google SecOps) 可協助您集中儲存及分析安全性資料，使用 Google SecOps 將記錄對應至常用模型、增補記錄，並將記錄連結至時間軸，全面掌握攻擊情況。您也可以建立偵測規則、設定 IoC 比對，以及執行威脅搜尋活動。這個平台也提供精選偵測功能，也就是預先定義及管理的規則，可協助您找出威脅。Google SecOps 也可整合 Mandiant 第一線情報。Google SecOps 獨家整合了領先業界的 AI 技術，以及 Mandiant 和 Google VirusTotal 的威脅情報。這項整合對於評估威脅至關重要，有助於瞭解誰鎖定貴機構，以及可能造成的影響。

• Security Command Center Enterprise 採用 Google AI 技術，可協助資安專業人員有效評估、調查及回應多個雲端環境中的安全問題。Security Command Center 適用於資安專業人員，包括資安營運中心 (SOC) 分析師、安全漏洞和狀態分析師，以及法規遵循經理。Security Command Center Enterprise 會擴增安全性資料、評估風險，並優先處理安全漏洞。這項解決方案可為團隊提供所需資訊，協助他們解決高風險安全漏洞，並修復現有威脅。

• Chrome Enterprise Premium 提供威脅和資料保護功能，可協助保護使用者免於資料外洩風險，並防止惡意軟體入侵企業管理的裝置。Chrome Enterprise Premium 也可讓您掌握瀏覽器中可能發生的不安全或潛在不安全活動。

• 透過 Network Intelligence Center 等工具進行網路監控，可掌握網路效能。網路監控也有助於偵測異常流量模式，或偵測可能表示攻擊或資料外洩企圖的資料傳輸量。

瞭解並善用身為防禦者的優勢

這項建議與所有重點領域相關。

如前所述，您對自家業務、系統、拓撲和基礎架構瞭若指掌，這就是您勝過攻擊者的優勢。如要善用這項知識優勢，請在規劃網路防禦時運用環境相關資料。

Google Cloud 提供下列功能，協助您主動掌握情況，識別威脅、瞭解風險，並及時採取行動，降低潛在損害：

• Chrome Enterprise Premium 可保護使用者免於資料外洩風險，進而提升企業裝置的安全性。這項擴充功能可將Sensitive Data Protection 服務延伸至瀏覽器，並防範惡意軟體。此外，這項服務還提供惡意軟體和網路釣魚防護等功能，協助您避免接觸不安全內容。此外，您也可以控管擴充功能的安裝作業，避免安裝不安全或未經審查的擴充功能。這些功能可協助您為作業建立安全基礎。

• Security Command Center Enterprise 提供持續運作的風險引擎，可進行全面且持續的風險分析和管理。風險引擎功能可擴充安全性資料、評估風險，並排定安全漏洞的優先順序，協助您快速修正問題。貴機構可透過 Security Command Center 主動找出弱點並實施緩解措施。

• Google SecOps 會集中處理安全防護資料，並提供附有時間軸的強化記錄。這有助於防禦者主動找出進行中的入侵事件，並根據攻擊者的行為調整防禦措施。

• 網路監控功能可協助您找出可能代表攻擊的異常網路活動，並提供早期指標，讓您採取行動。為主動防範資料遭竊，請持續監控資料外洩情形，並使用提供的工具。

持續驗證及強化防禦機制

這項建議與所有重點領域相關。

這項建議強調針對性測試和持續驗證控管機制的重要性，有助於瞭解整個攻擊面的優勢和弱點。包括透過下列方法驗證控管措施、作業和人員的成效：

• 滲透測試
• 紅藍隊 和 紫隊 演練
• 沙盤推演

您也必須主動搜尋威脅，並運用結果改善偵測和可視性。使用下列工具持續測試及驗證防禦措施，防範實際威脅：

• Security Command Center Enterprise 提供持續運作的風險引擎，可評估安全漏洞並優先處理修復作業，持續評估整體安全防護機制。Security Command Center Enterprise 會優先處理問題，確保資源有效運用。

• Google SecOps 提供威脅搜尋和精選偵測功能，可協助您主動找出控管機制中的弱點。這項功能可持續測試及提升威脅偵測能力。

• Chrome Enterprise Premium 提供威脅與資料防護功能，可協助您防範不斷演變的新型威脅，並持續更新防禦措施，防範資料外洩風險和惡意軟體。

• Cloud Next Generation Firewall (Cloud NGFW) 提供網路監控和資料外洩監控功能。這些功能可協助您驗證目前安全防護機制的成效，並找出潛在弱點。資料外洩監控功能可協助您驗證貴機構資料保護機制的強度，並視需要主動進行調整。將 Cloud NGFW 的威脅發現項目與 Security Command Center 和 Google SecOps 整合後，您就能改善網路威脅偵測和應變機制，並自動執行應對手冊。如要進一步瞭解這項整合功能，請參閱「整合雲端防禦機制：Security Command Center 和 Cloud NGFW Enterprise」。

管理及協調網路防禦工作

這項建議與所有重點領域相關。

如先前在「整合網路防禦功能」一節所述，任務控管功能會連結網路防禦計畫的其他功能。這項功能可讓您協調及統一管理整個計畫。此外，這項工具也能協助您與其他非網路安全團隊協調合作。任務控管團隊可促進授權和問責、提升敏捷度和專業知識，並落實責任和資訊公開。

下列產品和功能可協助您實作任務控管功能：

• Security Command Center Enterprise 是協調及管理網路防禦作業的中樞，這項服務整合了工具、團隊和資料，並內建 Google SecOps 應變功能。Security Command Center 可清楚顯示貴機構的安全性狀態，並找出不同資源的安全性設定錯誤。
• Google SecOps 提供平台，讓團隊透過對應記錄和建立時間軸，應對威脅。您也可以定義偵測規則和搜尋威脅。
• Google Workspace 和 Chrome Enterprise Premium 可協助您管理及控管使用者對機密資源的存取權。您可以根據使用者身分和要求情境，定義精細的存取權控管機制。
• 網路監控功能可深入瞭解網路資源的效能。您可以將網路監控深入分析匯入 Security Command Center 和 Google SecOps，集中監控及比對其他時間軸資料點。這項整合功能可協助您偵測及回應惡意活動造成的潛在網路用量變化。
• 資料外洩監控功能有助於找出可能發生的資料遺失事件。您可以使用這項功能有效調動事件應變團隊、評估損害，並限制資料外洩。您也可以改善現行政策和控制項，確保資料受到保護。

產品摘要

下表列出本文件中說明的產品和功能，並對應至相關建議和安全性功能。

Google Cloud 產品	適用建議
Google SecOps	在網路防禦的各個層面運用情報功能： 支援威脅搜索和入侵指標比對，並與 Mandiant 整合，進行全面威脅評估。 瞭解並善用防禦者優勢：提供精選的偵測結果，並集中管理安全資料，主動識別遭入侵的情況。 持續驗證及改善防禦措施： 持續測試及改善威脅偵測能力。 透過任務控管團隊管理及協調網路防禦作業：提供威脅回應、記錄分析和時間軸建立平台。
Security Command Center Enterprise	在網路防禦的各個層面運用情報功能： 運用 AI 評估風險、優先處理安全漏洞，並提供可做為行動依據的洞察資料，以利補救。 瞭解並善用防禦者的優勢：提供全方位的風險分析、安全漏洞優先順序，以及主動找出弱點。 持續驗證及改善防禦措施：持續評估安全防護機制，並決定資源優先順序。 透過任務控管機制管理及協調網路防禦工作：做為管理及協調網路防禦作業的中樞。
Chrome Enterprise Premium	在網路防禦的各個層面使用智慧功能： 保護使用者免於資料外洩風險、防範惡意軟體，並掌握不安全的瀏覽器活動。 瞭解並善用防禦者的優勢：透過資料保護、惡意軟體防範和擴充功能控管，提升企業裝置的安全性。 持續驗證及改善防禦措施： 持續更新防禦措施，防範資料外洩風險和惡意軟體，因應日新月異的威脅。 透過任務控制中心管理及協調網路防禦工作：管理及控管使用者對機密資源的存取權，包括精細的存取權控管機制。
Google Workspace	透過任務控制中心管理及協調網路防禦工作：管理及控管使用者對機密資源的存取權，包括精細的存取權控管機制。
Network Intelligence Center	在網路防禦的各個層面運用情報功能： 掌握網路效能，並偵測異常的流量模式或資料傳輸。
Cloud NGFW	持續驗證及改善防禦措施： 與 Security Command Center 和 Google SecOps 整合，最佳化網路威脅偵測和應變機制。

安全且負責任地使用 AI

Google Cloud Well-Architected Framework 安全性支柱的這項原則提供相關建議，協助您保護 AI 系統。這些建議與 Google 的安全 AI 架構 (SAIF) 一致，可實際解決 AI 系統的安全和風險疑慮。SAIF 是一個概念架構，旨在為業界提供負責任的 AI 建構和部署標準。

原則總覽

為確保 AI 系統符合安全性、隱私權和法規遵循規定，您必須採用全方位策略，從初始設計到部署和運作都納入考量。如要落實這項全方位策略，請應用 SAIF 的六大核心要素。

Google 會運用 AI 強化安全措施，例如識別威脅、自動執行安全工作及提升偵測能力，同時保留人工決策權，確保重要決策由人為判斷。

Google 強調以合作方式推動 AI 安全。我們與客戶、產業和政府合作，共同強化 SAIF 指南，並提供實用且可執行的資源。

實作這項原則的建議做法會歸類在下列各節中：

• 安全使用 AI 的建議
• AI 管理建議

安全使用 AI 的建議

如要安全使用 AI，您需要基礎安全控管機制和 AI 專屬安全控管機制。本節將概略介紹相關建議，確保您部署的 AI 和 ML 解決方案符合貴機構的安全、隱私權和法規遵循要求。如要瞭解 AI 和機器學習工作負載的專屬架構原則和建議，請參閱 Well-Architected Framework 中的「 Google Cloud」AI 和機器學習觀點。

明確定義 AI 使用目標和需求

這項建議與下列重點領域相關：

• 雲端管理、風險與法規遵循
• AI 和機器學習安全性

這項建議與 SAIF 要素一致，可協助您評估相關業務程序中的 AI 系統風險。設計及演進 AI 系統時，請務必瞭解具體的業務目標、風險和法規遵循規定。

確保資料安全，避免遺失或誤用

這項建議與下列重點領域相關：

• 基礎架構安全性
• 身分與存取權管理
• 資料安全性
• 應用程式安全防護
• AI 和機器學習安全性

這項建議符合下列 SAIF 元素：

• 為 AI 生態系統奠定完善安全基礎。這個元素包括資料收集、儲存、存取權控管，以及防範資料中毒。
• 根據相關業務程序評估 AI 系統風險。強調資料安全，以支援業務目標和法規遵循。

確保 AI pipeline 安全無虞，且不會遭到竄改

這項建議與下列重點領域相關：

• 基礎架構安全性
• 身分與存取權管理
• 資料安全性
• 應用程式安全防護
• AI 和機器學習安全性

這項建議符合下列 SAIF 元素：

• 為 AI 生態系統奠定完善安全基礎。建立安全 AI 系統的關鍵要素是保護程式碼和模型構件。
• 採用適用的控管機制，建立更快的回饋循環。追蹤資產和管道執行作業，有助於減輕影響和應變事件。

使用安全工具和構件，在安全系統上部署應用程式

這項建議與下列重點領域相關：

• 基礎架構安全性
• 身分與存取權管理
• 資料安全性
• 應用程式安全防護
• AI 和機器學習安全性

在 AI 應用程式中使用安全系統和經過驗證的工具與構件，符合 SAIF 要素，可為 AI 生態系統和供應鏈奠定完善安全基礎。如要解決這項問題，請按照下列步驟操作：

• 實作安全的機器學習訓練和部署環境
• 使用經過驗證的容器映像檔
• 套用軟體構件供應鏈級別 (SLSA) 指南

保護及監控輸入內容

這項建議與下列重點領域相關：

• 記錄、稽核和監控
• 資安營運
• AI 和機器學習安全性

這項建議與 SAIF 元素一致，可擴大偵測和應變機制，將 AI 納入機構的威脅防禦範圍。為避免發生問題，請務必管理生成式 AI 系統的提示、監控輸入內容，以及控管使用者存取權。

AI 管理建議

本節中的所有建議都與下列重點領域相關：雲端管理、風險和法規遵循。

Google Cloud 提供一系列強大的工具和服務，可協助您建構負責任且符合道德規範的 AI 系統。我們也提供政策、程序和倫理考量架構，引導 AI 系統的開發、部署和使用。

如建議所示，Google 的 AI 控管機制遵循下列原則：

• 公平性
• 透明度
• 可靠性
• 隱私權
• 安全性

使用公平性指標

Vertex AI 可在資料收集或訓練後評估程序中偵測偏誤。Vertex AI 提供模型評估指標，例如資料偏誤和模型偏誤，協助您評估模型偏誤。

這些指標與不同類別 (例如種族、性別和班級) 的公平性有關。不過，解讀統計偏差並不容易，因為各類別之間的差異可能不是偏誤所致，也不代表有害。

使用 Vertex Explainable AI

如要瞭解 AI 模型如何做出決策，請使用 Vertex Explainable AI。這項功能有助於找出模型邏輯中可能潛藏的偏誤。

這項可解釋性功能已整合至 BigQuery ML 和 Vertex AI，您可以在 BigQuery ML 中執行可解釋性作業，也可以在 Vertex AI 中註冊模型，然後在 Vertex AI 中執行可解釋性作業。

追蹤資料歷程

追蹤 AI 系統所用資料的來源和轉換情形。 這項追蹤功能可協助您瞭解資料的歷程，並找出潛在的偏誤或錯誤來源。

資料歷程是 Dataplex Universal Catalog 的功能，可讓您追蹤資料在系統中的移動方式，包括資料來源、傳遞至何處，以及套用的轉換。

建立當責文化

明確劃分 AI 系統的開發、部署和結果責任。

使用 Cloud Logging 記錄 AI 系統的重要事件和決策。記錄檔提供稽核追蹤記錄，可協助您瞭解系統效能，並找出需要改進的地方。

使用 Error Reporting 系統性分析 AI 系統造成的錯誤。這項分析可找出模式，指出潛在偏誤或模型需要進一步修正的領域。

實作差異化隱私

在模型訓練期間，加入雜訊至資料，讓模型難以識別個別資料點，但仍能有效學習。使用 BigQuery 中的 SQL，您可以透過差異隱私權匯總轉換查詢結果。

運用 AI 提升安全性

Google Cloud Well-Architected Framework 安全性支柱的這項原則提供相關建議，說明如何運用 AI 提升雲端工作負載的安全性。

網路攻擊的數量和複雜程度日益增加，因此請務必善用 AI 的潛力，協助提升安全性。AI 有助於減少威脅數量、減輕資安專業人員的手動作業負擔，並彌補網路安全領域專家不足的問題。

原則總覽

運用 AI 功能改善現有的安全系統和程序。 您可以使用 Gemini in Security，以及服務內建的 Google Cloud AI 功能。

這些 AI 功能可在安全防護生命週期的每個階段提供協助，進而革新安全防護措施。舉例來說，你可以使用 AI 執行下列操作：

• 分析及說明潛在惡意程式碼，不必執行反向工程。
• 減少網路安全從業人員的重複性工作。
• 使用自然語言產生查詢，並與安全性事件資料互動。
• 顯示相關資訊。
• 提供快速回覆建議。
• 協助修正事件。
• 摘要列出錯誤設定和安全漏洞這類高優先順序的快訊、醒目顯示可能的影響，並建議緩解措施。

安全自主性等級

面對不斷演進的網路安全威脅，AI 和自動化功能可協助您提升安全成效。運用 AI 技術提升安全性，可實現更高程度的自主性，偵測及防範威脅，並改善整體安全防護機制。Google 將使用 AI 執行安全防護工作時的自主程度分為四個等級，並說明 AI 在協助和最終主導安全防護工作時，所扮演的角色會日益重要：

1. 手動：人員在整個安全防護生命週期中，執行所有安全防護工作 (預防、偵測、決定優先順序和回應)。
2. 輔助：Gemini 等 AI 工具可歸納資訊、產生洞察資料及提供建議，進而提升人類工作效率。
3. 半自動化：許多安全性工作主要將由 AI 處理，只有在必要時才需要人員協助。
4. 自主：AI 會根據貴機構的目標和偏好設定，以值得信賴的助理身分推動安全生命週期，盡量減少人為介入。

建議

以下各節說明如何運用 AI 提升安全性。各節也會說明這些建議如何與 Google 的安全 AI 架構 (SAIF)核心要素保持一致，以及這些建議與安全自主程度的關聯性。

• 運用 AI 強化威脅偵測與應變
• 為專家和非專家簡化安全性程序
• 透過 AI 自動執行耗時的安全性工作
• 將 AI 納入風險管理和治理程序
• 為 AI 系統導入安全開發做法

運用 AI 強化威脅偵測與回應

這項建議與下列重點領域相關：

• 資安營運 (SecOps)
• 記錄、稽核和監控

AI 可以分析大量安全防護資料、深入瞭解威脅行為者的行為，並自動分析潛在的惡意程式碼。這項建議符合下列 SAIF 元素：

• 擴大偵測和應變機制，將 AI 納入機構的威脅防禦範圍。
• 運用自動防禦機制有效抵擋現有或新興威脅。

視實作方式而定，這項建議可能適用於以下自主程度：

• 輔助：AI 可協助分析及偵測威脅。
• 半自動化：AI 承擔更多資安工作責任。

Google Threat Intelligence 會運用 AI 分析威脅發動者的行為和惡意程式碼，協助您落實這項建議。

為專家和非專家簡化安全性程序

這項建議與下列重點領域相關：

• 資安營運 (SecOps)
• 雲端管理、風險與法規遵循

AI 輔助工具可以摘要說明快訊內容並建議緩解措施，讓更多人員都能輕鬆掌握安全狀況。這項建議符合下列 SAIF 元素：

• 運用自動防禦機制有效抵擋現有或新興威脅。
• 統合不同平台的控管機制，確保整個機構享有一致的安全防護。

視實作方式而定，這項建議可能適用於以下自主程度：

• 輔助：AI 可協助您提升安全性資訊的易讀性。
• 半自動：AI 可協助所有使用者提升資安做法的成效。

Gemini 版 Security Command Center 可以提供錯誤設定和安全漏洞的快訊摘要。

運用 AI 自動執行耗時的安全性工作

這項建議與下列重點領域相關：

• 基礎架構安全性
• 資安營運 (SecOps)
• 應用程式安全防護

AI 可自動執行分析惡意軟體、產生安全規則和找出設定錯誤等工作。這些功能可協助減輕安全團隊的工作量，並縮短回應時間。這項最佳化建議與安全 AI 架構的元素一致，可自動防禦現有或新興威脅。

視實作方式而定，這項建議可能適用於以下自主程度：

• 輔助：AI 協助您自動執行工作。
• 半自動化：AI 主要負責安全防護工作，只有在必要時才需要人員協助。

Gemini 版 Google SecOps 可協助分析師、擷取相關情境資訊，並建議後續步驟，自動執行高耗工的工作。

將 AI 納入風險管理和治理程序

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

您可以運用 AI 建立模型目錄和風險資料。您也可以使用 AI 實施資料隱私權、網路風險和第三方風險政策。這項建議與 SAIF 元素一致，可協助您評估相關業務程序中的 AI 系統風險。

視實作方式而定，這項建議可能與半自動駕駛層級的自主性相關。在這個層級，AI 可以協調安全代理程式執行程序，達成自訂安全目標。

為 AI 系統導入安全的開發做法

這項建議與下列重點領域相關：

• 應用程式安全防護
• AI 和機器學習安全性

您可以使用 AI 進行安全編碼、清除訓練資料，以及驗證工具和構件。這項建議與 SAIF 要素一致，可為 AI 生態系統奠定完善安全基礎。

這項建議適用於所有安全自主程度，因為必須先建立安全的 AI 系統，才能有效運用 AI 提升安全性。這項建議最適合輔助等級，因為 AI 會強化安全防護措施。

如要落實這項建議，請遵循 AI 構件的軟體構件供應鏈級別 (SLSA) 指南，並使用經過驗證的容器映像檔。

滿足法規、法規遵循和隱私權需求

Google Cloud Well-Architected Framework 的安全支柱中，這項原則可協助您找出並滿足雲端部署的法規、法規遵循和隱私權要求。您必須根據這些需求，決定要針對Google Cloud中的工作負載使用哪些安全控管機制。

原則總覽

所有商家都必須面對法規、法規遵循和隱私權需求帶來的挑戰。雲端法規要求取決於多項因素，包括：

• 貴機構實體據點適用的法律和法規
• 客戶實體位置適用的法律和法規
• 您所在產業的法規要求

隱私權法規規定您如何取得、處理、儲存及管理使用者的資料。您擁有自己的資料，包括從使用者收到的資料。因此，您必須負責許多隱私權控制項，包括 Cookie、工作階段管理和取得使用者權限的控制項。

實作這項原則的建議做法會歸類在下列各節中：

• 解決機構風險的建議
• 針對法規和法規遵循義務的建議
• 管理資料主權的建議
• 因應隱私權規定的建議

解決機構風險的建議

本節提供建議，協助您找出並解決貴機構的風險。

找出貴機構面臨的風險

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

在 Google Cloud上建立及部署資源前，請先完成風險評估。這項評估應判斷您需要哪些安全性功能，才能滿足內部安全需求和外部監管需求。

風險評估會提供貴機構專屬的風險目錄，並說明貴機構偵測及防範安全威脅的能力。部署後，以及業務需求、法規要求或貴機構面臨的威脅有任何變更時，您都必須立即執行風險分析。

如「實作設計安全」原則所述，雲端環境中的安全風險與地端風險不同。這是因為雲端中的共同責任模式會因服務 (IaaS、PaaS 或 SaaS) 和您的用量而異。使用雲端專屬的風險評估架構，例如 Cloud Controls Matrix (CCM)。使用威脅模型 (例如 OWASP 應用程式威脅模型) 找出並解決安全漏洞。如需風險評估方面的專家協助，請與 Google 帳戶代表聯絡，或參考 Google Cloud合作夥伴目錄。

列出風險後，您必須決定如何處理這些風險，也就是要接受、避免、轉移或降低風險。如要瞭解可採取的風險緩解措施，請參閱下一節。

降低風險

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

採用新的公有雲服務時，您可以運用技術控管、合約保障，以及第三方驗證或認證，降低風險。

技術控管措施是指您用來保護環境的功能和技術。包括防火牆和記錄等內建雲端安全控管機制。技術控管措施也包括使用第三方工具，加強或支援您的安全策略。技術控管措施分為兩類：

• 您可以實作 Google Cloud的安全性控制項，協助您降低環境適用的風險。舉例來說，您可以使用 Cloud VPN 和 Cloud Interconnect，確保內部部署網路與雲端網路之間的連線安全無虞。
• Google 擁有健全的內部控管和稽核機制，能防止公司內部人員存取客戶資料。我們的稽核記錄會提供Google 管理員存取 Google Cloud的近乎即時記錄。

合約保障是指我們對Google Cloud 服務做出的法律承諾。Google 致力於維護及擴大我們的法規遵循組合。《Cloud 資料處理修訂條款》(CDPA)說明我們對資料處理和安全性的承諾。CDPA 也列出存取控管措施，限制 Google 支援工程師存取客戶環境，並說明我們嚴格的記錄和核准程序。建議您與法律和監管專家一同檢視合約管理措施，並確認這些措施符合您的需求。 Google Cloud如需更多資訊，請與技術帳戶代表聯絡。

第三方驗證或認證是指讓第三方供應商稽核雲端服務供應商，確保其符合法規遵循需求。舉例來說，如要瞭解有關 ISO/IEC 27017 規範的認證，請參閱「ISO/IEC 27017 - 法規遵循」。 Google Cloud 如要查看目前的 Google Cloud 認證和證書，請前往法規遵循資源中心。

建議：處理法規遵循義務

一般的法規遵循流程分為三個階段：評估、修復缺口及持續監控。本節提供各階段的建議。

評估法規遵循需求

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

法規遵循評估的第一步，是全面檢視您所有的監管義務，以及您的企業如何履行這些義務。您可以使用法規遵循資源中心，評估 Google Cloud 服務。這個網站提供下列資訊：

• 支援各項法規
• Google Cloud 認證和證明

如要進一步瞭解 Google 的法規遵循生命週期，以及如何滿足您的需求，請與銷售團隊聯絡，要求 Google 法規遵循專家提供協助。或者，您也可以聯絡Google Cloud 帳戶管理員，要求舉辦法規遵循研討會。

如要進一步瞭解可用於管理 Google Cloud 工作負載安全性和法規遵循的工具和資源，請參閱「確保雲端環境符合法規」。

自動導入法規遵循規定

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

為協助您遵守不斷變化的法規，請判斷是否能自動化實作法規遵循要求。您可以同時使用 Google Cloud 提供的法規遵循功能，以及針對特定法規遵循制度使用建議設定的藍圖。

Assured Workloads 以 Google Cloud 中的控管機制為基礎，協助您履行法規遵循義務。Assured Workloads 可讓您執行下列操作：

• 選取法規遵循制度。然後，這項工具會自動為所選制度設定基本人員存取控制措施。
• 使用機構政策設定資料位置，確保靜態資料和資源只會保留在該區域。
• 選取最符合安全性和法規遵循需求的金鑰管理選項 (例如金鑰輪替週期)。
• 選取 Google 支援人員的存取條件，以符合特定法規要求，例如 FedRAMP 中等風險。舉例來說，您可以選取 Google 支援人員是否已完成適當的背景調查。
• 使用符合 FIPS-140-2 規範且支援 FedRAMP 中等風險法規遵循的 Google-owned and Google-managed encryption keys 。如要加強控管並區分職責，可以使用客戶自行管理的加密金鑰 (CMEK)。如要進一步瞭解金鑰，請參閱「加密靜態和傳輸中的資料」。

除了 Assured Workloads，您也可以使用與法規遵循制度相關的藍圖。 Google Cloud您可以修改這些藍圖，將安全性政策納入基礎架構部署作業。

為協助您建構符合法規遵循需求的環境，Google 的藍圖和解決方案指南提供建議設定，以及 Terraform 模組。下表列出可解決安全性問題，並符合法規遵循需求的藍圖。

需求	藍圖和解決方案指南
FedRAMP	Google Cloud FedRAMP 導入指南 在 Google Cloud上設定符合 FedRAMP 規範的三層工作負載
健康保險流通與責任法案	保護 Google Cloud 中的醫療照護資料 Google Cloud 使用資料保護工具包建立符合《健康保險流通與責任法案》規範的工作負載

監控法規遵循狀態

這項建議與下列重點領域相關：

• 雲端管理、風險與法規遵循
• 記錄、監控和稽核

大部分法規會要求您監控特定活動，包括存取權相關活動。為協助您監控，可以使用下列工具：

• 資料存取透明化控管機制： 當 Google Cloud 管理員存取您的內容時，查看近乎即時的記錄檔。
• 防火牆規則記錄：記錄您建立的任何規則，在虛擬私有雲網路內的 TCP 和 UDP 連線。這些記錄對於稽核網路存取或提供網路未按照核准方式使用的早期警告非常有用。
• 虛擬私有雲流量記錄檔： 記錄 VM 執行個體收發的網路流量流程。
• Security Command Center Premium： 監控各種標準的法規遵循情形。
• OSSEC (或其他開放原始碼工具)：記錄具有環境管理員存取權的使用者活動。
• 金鑰存取依據： 查看金鑰存取要求的原因。
• Security Command Center 通知： 在發生違規問題時收到快訊。 舉例來說，當使用者停用兩步驟驗證或服務帳戶權限過高時，您會收到快訊。您也可以為特定通知設定自動修正功能。

管理資料主權的建議

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

資料主權機制可防止 Google 存取您的資料。您只核准您認為必要的供應商行為。舉例來說，您可以透過下列方式管理資料主權：

• 儲存及管理雲端外部的加密金鑰。
• 根據詳細的存取依據授予這些金鑰的存取權。
• 保護使用中的資料：使用機密運算。

管理作業主權

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

營運主權的作用是確保 Google 人員無法影響您的工作負載。舉例來說，您可以透過下列方式管理作業主權：

• 限制將新資源部署至特定供應商所在的區域。
• 根據預先定義的屬性 (例如公民身分或地理位置)，限制 Google 支援人員的存取權。

管理軟體主權

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

軟體主權可確保您能控管工作負載的可用性，並隨時隨地執行工作負載。此外，您也可以擁有這項控制權，而不必依賴或受限於單一雲端供應商。軟體主權包括因應事件的能力，讓您能快速變更工作負載的部署地點，以及允許的對外連線層級。

舉例來說，為協助您管理軟體主權， Google Cloud支援混合式雲端和多雲端部署作業。此外，您還能透過 GKE Enterprise，在雲端和地端部署環境中管理及部署應用程式。如果基於資料主權考量而選擇本地部署，Google Distributed Cloud 結合了軟硬體，可將 Google Cloud 帶進您的資料中心。

解決隱私權規定的建議

Google Cloud 包含下列有助於保護隱私權的控制項：

• 預設加密所有靜態、傳輸中和處理中的資料。
• 防範內部人員存取。
• 支援多項隱私權法規。

下列建議說明您可以實作的其他控制項。詳情請參閱隱私權資源中心。

控管資料落地權

這項建議與下列重點領域相關： 雲端管理、風險與法規遵循。

資料落地描述靜態儲存資料的儲存位置。資料落地需求會因系統設計目標、業界監管問題、國家法律、稅務影響，甚至是文化而異。

如要控管資料落地，請先完成下列步驟：

• 瞭解資料類型和位置。
• 判斷資料面臨的風險，以及適用的法律和法規。
• 控管資料的儲存位置或去向。

為協助您遵守資料落地規定， Google Cloud 可讓您控管資料儲存位置、存取方式和處理方式。您可以使用資源位置政策，限制資源的建立位置，以及在區域之間資料的複製位置。您可以使用資源的位置屬性，找出服務的部署位置和維護人員。詳情請參閱「資源位置支援的服務」。

將機密資料分類

這項建議與下列重點領域相關： 資料安全性。

您必須確定哪些是機密資料，並確保機密資料受到妥善保護。機密資料可能包括信用卡號、地址、電話號碼和其他個人識別資訊 (PII)。您可以使用「Sensitive Data Protection」設定適當分類。在將資料儲存至 Google Cloud前，您可以加上標記並進行權杖化處理。此外，Dataplex Universal Catalog 也提供目錄服務，可做為儲存、管理及存取中繼資料的平台。如要進一步瞭解資料分類和去識別化，請參閱使用 Sensitive Data Protection 將 PII 去識別化和重新識別一文。

嚴密保護機密資料

這項建議與下列重點領域相關：

• 資料安全性
• 身分與存取權管理

使用 VPC Service Controls 將機密資料置入專屬服務範圍。VPC Service Controls 可讓您更進一步降低他人從 Google 代管服務未經授權複製或轉移資料 (資料竊取) 的風險。透過 VPC Service Controls，您可以為 Google 代管服務的資源設定安全範圍，並控管跨範圍的資料移動。為該資料設定 Google Identity and Access Management (IAM) 存取權控管措施。為所有需要存取機密資料的使用者設定多重驗證 (MFA)。

Google Cloud的共同責任和命運共同體模式

本文說明 Google Cloud中的共同責任模式與命運共同體模式之間的差異。並探討共同責任模式的挑戰和細微差異。本文說明「命運共同體」的概念，以及我們如何與客戶合作，解決雲端安全防護難題。

瞭解共用責任模式，有助於判斷如何以最佳方式保護 Google Cloud上的資料和工作負載。共同責任模式說明您在雲端安全方面應執行的工作，以及這些工作在不同雲端服務供應商之間的差異。

不過，瞭解共同責任可能並不容易。這個模型需要深入瞭解您使用的每項服務、各項服務提供的設定選項，以及 Google Cloud為確保服務安全所採取的措施。每項服務都有不同的設定檔，因此很難判斷最佳安全設定。Google 認為，共同責任模式無法協助雲端客戶提升安全性。我們認為，與其共同承擔責任，不如命運共同體。

命運共同體模式包括我們為您的工作負載建構及運作值得信賴的雲端平台。我們提供最佳做法指南，以及經過認證的安全基礎架構程式碼，協助您安全地部署工作負載。我們發布的解決方案結合了各種 Google Cloud 服務，可解決複雜的安全問題，並提供創新的保險選項，協助您評估及降低必須承擔的風險。我們會在命運共同體模式下，更深入協助您保護Google Cloud中的資源，

共同責任

您最瞭解貴商家在安全性和法規方面的需求，以及保護機密資料和資源的需求。在 Google Cloud上執行工作負載時，您必須找出需要在 Google Cloud 中設定的安全控管措施，以協助保護機密資料和各項工作負載。如要決定實作哪些安全控管措施，請考量下列因素：

• 您的法規遵循義務
• 貴機構的安全標準和風險管理計畫
• 客戶和供應商的安全防護需求

由工作負載定義

傳統上，責任是根據您執行的工作負載類型和所需的雲端服務來定義。雲端服務包括下列類別：

雲端服務	說明
基礎架構式服務 (IaaS)	IaaS 服務包括 Compute Engine、Cloud Storage，以及 Cloud VPN、Cloud Load Balancing 和 Cloud DNS 等網路服務。 IaaS 提供隨選運算、儲存空間和網路服務，並採用即付即用定價模式。如果您打算使用「升級與轉移」方式，將現有的地端工作負載遷移至雲端，或是想在特定 VM 上執行應用程式，並使用特定資料庫或網路設定，就可以使用 IaaS。 在 IaaS 中，您須承擔大部分的安全責任，而我們的責任則著重於底層基礎架構和實體安全。
平台即服務 (PaaS)	PaaS 服務包括 App Engine、Google Kubernetes Engine (GKE) 和 BigQuery。 PaaS 提供執行階段環境，您可以在其中開發及執行應用程式。如果您要建構應用程式 (例如網站)，並想專注於開發作業，而非基礎架構，就可以使用 PaaS。 在 PaaS 中，我們負責的控制項比 IaaS 多。這通常會因您使用的服務和功能而異。您與我們共同負責應用程式層級控管和 IAM 管理。您仍須負責資料安全和客戶保護。
軟體式服務 (SaaS)	軟體即服務 (SaaS) 應用程式包括 Google Workspace、Google Security Operations，以及 Google Cloud Marketplace 中提供的第三方 SaaS 應用程式。 SaaS 提供線上應用程式，您可以訂閱或以某種方式付費使用。如果企業沒有內部專業知識或業務需求來自行建構應用程式，但需要處理工作負載，就可以使用 SaaS 應用程式。 在 SaaS 中，我們承擔大部分的安全責任。您仍須負責存取權控管，以及選擇儲存在應用程式中的資料。
函式即服務 (FaaS) 或無伺服器	FaaS 提供平台，讓開發人員執行單一用途的小型程式碼 (稱為「函式」)，以回應特定事件。當您希望根據特定事件發生特定情況時，就會使用 FaaS。舉例來說，您可以建立函式，在資料上傳至 Cloud Storage 時執行分類作業。 FaaS 的共同責任清單與 SaaS 類似。Cloud Run 函式是函式即服務 (FaaS) 應用程式。

下圖顯示雲端服務，並定義雲端服務供應商與客戶如何分擔責任。

如圖所示，雲端供應商一律負責底層網路和基礎架構，而客戶一律負責存取權政策和資料。

由產業和法規架構定義

各行各業都有監管架構，規定必須採取的安全控管措施。將工作負載遷移至雲端時，您必須瞭解下列事項：

• 您負責哪些安全控管措施
• 雲端服務提供哪些安全控管措施
• 繼承哪些預設安全控制措施

您可以向稽核人員和監管機構提供繼承的安全控管措施 (例如預設加密和基礎架構控管措施)，做為安全狀態的證據。舉例來說，付款卡產業資料安全標準 (PCI DSS) 針對付款處理服務供應商制定了相關法規。將業務遷移至雲端時，您和 CSP 必須共同遵守這些法規。如要瞭解您和Google Cloud如何共同承擔 PCI DSS 責任，請參閱 Google Cloud：PCI DSS 共同責任表。

以美國為例，《健康保險流通與責任法案》(HIPAA) 針對處理電子個人健康資訊 (PHI) 制定了標準。這些責任也由 CSP 和您共同承擔。如要進一步瞭解 Google Cloud 如何履行《健康保險流通與責任法案》規定的責任，請參閱「HIPAA - Compliance」(《健康保險流通與責任法案》法規遵循)。

其他產業 (例如金融或製造業) 也有相關法規，規定如何收集、處理及儲存資料。如要進一步瞭解這些方面的共同責任，以及Google Cloud 如何履行責任，請參閱法規遵循資源中心。

依地點定義

視業務情境而定，您可能需要根據辦公室、客戶和資料所在地，考量自身責任。不同國家/地區和區域制定了相關法規，說明如何處理及儲存顧客資料。舉例來說，如果貴商家有居住在歐盟的顧客，可能需要遵守《一般資料保護規則》(GDPR) 中所述的規定，且可能必須將顧客資料保留在歐盟境內。在這種情況下，您有責任確保收集的資料保留在Google Cloud 歐盟區域。如要進一步瞭解我們如何履行 GDPR 義務，請參閱「GDPR 和 Google Cloud」。

如要瞭解您所在地區的相關規定，請參閱「法規遵循服務」。如果您的情況特別複雜，建議與我們的銷售團隊或合作夥伴聯絡，協助您評估安全責任。

共同責任模式的挑戰

雖然共同責任有助於定義您或雲端服務供應商的安全防護角色，但依賴共同責任仍可能造成挑戰。請參考下列情境：

• 大多數雲端安全漏洞都是設定錯誤所致 (在 Cloud Security Alliance 的 Pandemic 11 報告中列為第 3 項)，而且預計會越來越常見。雲端產品不斷推陳出新，跟上不斷變化的腳步可能令人感到不知所措。客戶需要雲端供應商提供明確的最佳做法，協助他們跟上變化，首先是預設最佳做法，以及安全設定的基準。
• 雖然依雲端服務劃分項目很有幫助，但許多企業的工作負載需要多種雲端服務類型。在這種情況下，您必須考量這些服務的各種安全性控制項如何互動，包括服務之間和跨服務的控制項是否重疊。舉例來說，您可能要將地端應用程式遷移至 Compute Engine、使用 Google Workspace 處理公司電子郵件，並執行 BigQuery 分析資料，以改善產品。
• 您的業務和市場不斷變化，例如法規異動、進入新市場或收購其他公司。新市場可能會有不同需求，而新收購的企業可能在其他雲端服務上託管工作負載。如要因應不斷變化的情況，您必須持續重新評估風險狀況，並迅速導入新的控管措施。
• 如何及在哪裡管理資料加密金鑰是重要的決定，這與您保護資料的責任息息相關。您選擇的選項取決於法規要求、是否執行混合雲環境或仍有內部部署環境，以及您處理和儲存的資料敏感度。
• 事件管理是重要但經常遭到忽略的領域，您的責任和雲端服務供應商的責任並不容易界定。許多事件都需要雲端服務供應商密切合作和支援，才能協助調查及減輕影響。其他事件可能源自設定不當的雲端資源或遭竊的憑證，確保您符合資源和帳戶的最佳安全做法可能相當困難。
• 進階持續性威脅 (APT) 和新安全漏洞可能會影響工作負載，而您在開始雲端轉換時可能不會考慮到這些問題。確保您隨時掌握不斷變化的環境，以及負責減輕威脅的人員，這並不容易，尤其是貴商家沒有大型安全團隊時。

命運共同體模式

我們開發了命運共同體模式， Google Cloud 開始解決共同責任模式無法解決的挑戰。「命運共同體」 著重於如何讓所有當事人更妥善地互動，持續提升安全性。 命運共同體模式以共同責任模式為基礎，因為這種模式將雲端服務供應商與客戶之間的關係視為持續合作夥伴關係，以提升安全性。

命運共同體模式代表我們有責任確保安全。 Google Cloud命運共同體模式包括協助您開始使用安全的登陸區，並清楚、具體且透明地說明建議的安全控制項、設定和相關最佳做法。這項計畫包括協助您透過網路保險更準確地量化及管理風險，並使用我們的風險防護計畫。我們希望透過命運共同體模式，從標準的共同責任架構演進為更完善的模式，協助您保護業務並建立對 Google Cloud的信任感。

以下各節說明共用命運的各種元件。

入門說明

共用命運的關鍵要素是我們提供的資源，可協助您在 Google Cloud中以安全設定開始使用。從安全設定開始，有助於減少設定錯誤的問題，而這正是大多數安全漏洞的根本原因。

我們提供的資源包括：

• 企業基礎藍圖，討論重大資安問題和最佳建議。

• 安全藍圖：使用基礎架構即程式碼 (IaC) 部署及維護安全解決方案。藍圖預設會啟用我們的安全性建議。許多藍圖是由 Google 安全團隊建立及管理，這表示這些裝置會定期更新、通過嚴格的測試程序，並取得第三方測試團體的認證。藍圖包括企業基礎藍圖和安全資料倉儲藍圖。

• Google Cloud 採取 Well-Architected 架構最佳做法，根據重要建議將安全性納入設計。架構完善的架構包含安全防護部分和社群專區，可供您與專家和同業交流。

• 登陸區導覽指南：逐步說明您需要做出的重要決策，為工作負載奠定安全的基礎，包括資源階層、身分驗證、安全性與金鑰管理，以及網路結構。

風險防範計畫

命運共同體模式也包含風險防護計畫 (目前為預先發布版)，可協助您運用 Google Cloud 平台的力量管理風險，而不是將雲端工作負載視為需要管理的另一個風險來源。風險防護計畫由 Google Cloud 與兩家頂尖網路保險公司 (Munich Re 和 Allianz Global & Corporate Speciality) 合作推出。

風險防護計畫包含 Cyber Insurance Hub，可提供資料導向的洞察資訊，協助您進一步瞭解雲端安全防護機制。如要取得網路保險保障，您可以直接將 Cyber Insurance Hub 的洞察資料提供給我們的保險合作夥伴，取得報價。詳情請參閱「Google Cloud 風險防護計畫現已推出搶先體驗版」。

部署和管理方面的說明

命運更同體模式也能幫助您持續管理環境。舉例來說，我們著重於下列產品：

• Assured Workloads：協助您履行法規遵循義務。
• Security Command Center 進階版：使用威脅情報、威脅偵測、網路掃描和其他先進方法監控及偵測威脅。同時也能自動迅速解決許多威脅。
• 機構政策和資源設定：讓您為整個資料夾和專案階層設定政策。
• Policy Intelligence 工具：提供帳戶存取權和資源的相關深入分析資料。
• 機密運算：為使用中的資料加密。
• 合作夥伴主權控管機制：適用於特定國家/地區，可協助強制執行資料落地規定。

實踐共同責任和命運共同體模式

在規劃過程中，請考慮採取下列行動，協助您瞭解及實作適當的安全控管措施：

• 列出您要在Google Cloud中代管的工作負載類型，以及這些工作負載是否需要 IaaS、PaaS 和 SaaS 服務。您可以將共責式安全性模型圖表做為檢查清單，確保瞭解需要考量的安全控管措施。
• 列出您必須遵守的法規，並在法規遵循資源中心中存取與這些法規相關的資源。
• 在架構中心查看可用的藍圖和架構清單，瞭解特定工作負載所需的安全性控制項。藍圖會提供建議控制項清單，以及部署該架構所需的 IaC 程式碼。
• 請參閱登陸區說明文件和企業基礎指南中的建議，設計符合需求的資源階層和網路架構。您可以使用有主見的工作負載藍圖 (例如安全資料倉儲)，加快開發程序。
• 部署工作負載後，請使用 Cyber Insurance Hub、Assured Workloads、政策智慧工具和 Security Command Center 進階版等服務，確認您已履行安全責任。

詳情請參閱資安長適用的雲端轉型指南。

後續步驟

• 查看核心安全原則。
• 隨時掌握共用命運資源的最新資訊。
• 熟悉可用的藍圖，包括安全基礎藍圖和工作負載範例，例如安全資料倉儲。
• 進一步瞭解命運共同體模式。
• 如要瞭解 Google 的基礎安全基礎架構，請參閱 Google 基礎架構安全設計總覽。
• 請參閱這份 PDF 檔案 Google Cloud ，瞭解如何導入 NIST 網路安全架構最佳做法。