Confine per i dati per Criminal Justice Information Systems (CJIS)

Questa pagina descrive l'insieme di controlli applicati ai carichi di lavoro CJIS in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, sui prodotti Google Cloud supportati e sui relativi endpoint API e su eventuali limitazioni o restrizioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano a CJIS:

• Residenza dei dati: il pacchetto di controlli CJIS imposta i controlli della località dei dati per supportare solo le regioni degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
• Assistenza: i servizi di assistenza tecnica per i carichi di lavoro CJIS sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Premium o Avanzata. Le richieste di assistenza per i carichi di lavoro CJIS vengono indirizzate a soggetti statunitensi che si trovano negli Stati Uniti e che hanno completato i controlli dei precedenti CJIS. Per maggiori informazioni, consulta Richiedere assistenza.
• Prezzi: il pacchetto di controlli CJIS è incluso nel livello Premium di Assured Workloads, che comporta un addebito aggiuntivo del 20%. Per ulteriori informazioni, consulta la pagina relativa ai prezzi di Assured Workloads.

Prerequisiti

Per rimanere conforme come utente del pacchetto di controlli CJIS, verifica di soddisfare e rispettare i seguenti prerequisiti:

• Crea una cartella CJIS utilizzando Assured Workloads ed esegui il deployment dei carichi di lavoro CJIS solo in questa cartella.
• Attiva e utilizza solo i servizi CJIS inclusi nell'ambito per i carichi di lavoro CJIS.
• Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
• Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.
• Quando accedi alla console Google Cloud , puoi utilizzare la console giurisdizionale Google Cloud . Non è necessario utilizzare la console giurisdizionale Google Cloud per CJIS. È possibile accedervi a uno dei seguenti URL:
  • console.us.cloud.google.com
  • console.us.cloud.google per gli utenti con identità federata

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le restrizioni o le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per CJIS. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati.

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli dei criteri dell'organizzazione impostati per impostazione predefinita nelle cartelle CJIS. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Funzionalità interessate Google Cloud

Funzionalità

Descrizione

ConsoleGoogle Cloud

Per accedere alla console Google Cloud quando utilizzi il pacchetto di controlli CJIS, puoi utilizzare la console Google Cloud giurisdizionale. La console Google Cloud giurisdizionale non è necessaria per CJIS e può essere accessibile utilizzando uno dei seguenti URL: console.us.cloud.google.com console.us.cloud.google per gli utenti con identità federata Per ulteriori informazioni, consulta la pagina Jurisdictional Google Cloud console.

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
gcp.resourceLocations	Imposta le seguenti località nell'elenco allowedValues: us-locations us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non limitabili. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori di un confine dei dati conforme.
gcp.restrictCmekCryptoKeyProjects	Impostato su under:organizations/your-organization-name, che è la tua organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per criptare i dati at-rest utilizzando CMEK. Questo vincolo impedisce a cartelle o progetti non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito.
gcp.restrictNonCmekServices	Impostato su un elenco di tutti i nomi dei servizi API inclusi nell'ambito, tra cui: bigquery.googleapis.com compute.googleapis.com container.googleapis.com logging.googleapis.com sqladmin.googleapis.com storage.googleapis.com Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). La CMEK consente di criptare i dati inattivi con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
gcp.restrictServiceUsage	Imposta per consentire tutti i prodotti e gli endpoint API supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, vedi Limitazione dell'utilizzo delle risorse.
gcp.restrictTLSVersion	Imposta il rifiuto delle seguenti versioni TLS: TLS_1_0 TLS_1_1 Per saperne di più, consulta la pagina Limita le versioni TLS.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se la procedura è terminata e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Esamina aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione per il limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Assured Workloads. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Mascheramento dinamico dei dati Esportazione di GDrive Funzioni remote Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Gemini in BigQuery non è supportato.
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. In questo caso, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori di BigQuery Data Transfer Service per i carichi di lavoro CJIS.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Assured Workloads.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Devi assicurarti che qualsiasi query che abbia una lettura o un join sui dati di Assured Workloads venga inserita in una cartella Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging _default o limitare i bucket _default alle regioni incluse nell'ambito utilizzando il seguente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Per ulteriori informazioni, consulta Regionalizzare i log.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché al momento non possono essere criptati utilizzando CMEK. Consulta il vincolo gcp.restrictNonCmekServices delle policy dell'organizzazione nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e utilizzare facoltativamente il vincolo del criterio dell'organizzazione compute.trustedImageProjects. Per ulteriori informazioni, consulta la pagina Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle norme del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Pertanto, non includere informazioni sensibili in questi file. In alternativa, valuta la possibilità di archiviare questi script e file di output nei bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse dei criteri del sistema operativo che utilizzano script in linea o file di output binari, attiva il vincolo dei criteri dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Per saperne di più, consulta Vincoli per OS Config.
instances.getSerialPortOutput()	Questa API è disabilitata. Non potrai ottenere l'output della porta seriale dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.
instances.getScreenshot()	Questa API è disabilitata. Non potrai acquisire uno screenshot dall'istanza specificata utilizzando questa API. Modifica il valore del vincolo della policy dell'organizzazione compute.disableInstanceDataAccessApis impostandolo su False per attivare questa API. Puoi anche abilitare e utilizzare la porta seriale interattiva seguendo le istruzioni riportate in Abilitare l'accesso per un progetto.

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
compute.disableGlobalCloudArmorPolicy	Imposta su True. Disabilita la creazione di nuove policy di sicurezza di Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza di Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sui criteri di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
compute.disableInstanceDataAccessApis	Imposta su True. Disabilita a livello globale le API instances.getSerialPortOutput() e instances.getScreenshot(). L'abilitazione di questo vincolo impedisce di generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, procedi nel seguente modo: Attiva SSH per le VM Windows. Esegui questo comando per modificare la password della VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Sostituisci quanto segue: VM_NAME: il nome della VM per cui stai impostando la password. USERNAME: il nome utente dell'utente per cui stai impostando la password. PASSWORD: la nuova password.
compute.restrictNonConfidentialComputing	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per saperne di più, consulta la documentazione di Confidential VM.
compute.trustedImageProjects	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore vincola l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Dataform

Funzionalità di Dataform interessate

Funzionalità	Descrizione
Funzionalità	È tua responsabilità non utilizzare il prodotto Vertex Colab Enterprise o le funzionalità perché non è conforme a CJIS.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud KMS

Vincoli dei criteri dell'organizzazione Cloud KMS

Vincolo delle policy dell'organizzazione	Descrizione
cloudkms.allowedProtectionLevels	Impostato per consentire la creazione di chiavi di crittografia Cloud Key Management Service con i seguenti livelli di protezione: SOFTWARE HSM EXTERNAL EXTERNAL_VPC Per ulteriori informazioni, consulta Livelli di protezione.

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.
Widget del pannello dei log in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello dei log a una dashboard.
Widget del riquadro di segnalazione degli errori in Dashboard	Questa funzionalità è disattivata. Non puoi aggiungere un pannello di segnalazione degli errori a una dashboard.
Filtra in EventAnnotation per Dashboard	Questa funzionalità è disattivata. Il filtro di EventAnnotation non può essere impostato in una dashboard.
SqlCondition in alertPolicies	Questa funzionalità è disattivata. Non puoi aggiungere un SqlCondition a un alertPolicy.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità	Descrizione
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Google Cloud Armor

Funzionalità di Google Cloud Armor interessate

Funzionalità	Descrizione
Criteri di sicurezza con ambito globale	Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalCloudArmorPolicy.

Spanner

Vincoli dei criteri dell'organizzazione Spanner

Vincolo delle policy dell'organizzazione	Descrizione
spanner.disableMultiRegionInstanceIfNoLocationSelected	Imposta su True. Disabilita la possibilità di creare istanze Spanner multiregionali per applicare la residenza e la sovranità dei dati.

Speech-to-Text

Funzionalità di Speech-to-Text interessate

Funzionalità	Descrizione
Modelli Speech-to-Text personalizzati	È tua responsabilità non utilizzare i modelli Custom Speech-to-Text perché non sono conformi a CJIS.

Vertex AI Search

Funzionalità di Vertex AI Search interessate

Funzionalità	Descrizione
Ottimizzazione della ricerca	È tua responsabilità non utilizzare la funzionalità di ottimizzazione della ricerca di Vertex AI Search perché non è conforme a CJIS.
Consigli generici	È tua responsabilità non utilizzare la funzionalità di suggerimenti generici di Vertex AI Search perché non è conforme al CJIS.
Consigli su contenuti multimediali	È tua responsabilità non utilizzare la funzionalità di suggerimenti sui contenuti multimediali di Vertex AI Search perché non è conforme a CJIS.

Passaggi successivi

• Scopri come creare una cartella Assured Workloads
• Informazioni sui prezzi di Assured Workloads