Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche

Questa pagina descrive le restrizioni, le limitazioni e altre opzioni di configurazione quando si utilizzano i pacchetti di controllo Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza.

Panoramica

I pacchetti di controllo Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza ti consentono di eseguire carichi di lavoro conformi ai requisiti dell'Health Insurance Portability and Accountability Act (HIPAA) e di Health Information Trust Alliance (HITRUST).

Ogni prodotto supportato soddisfa i seguenti requisiti:

Essere elencato nella pagina del Contratto di società in affari (BAA) HIPAA diGoogle Cloud
Elencato nella pagina del Common Security Framework (CSF) di Google Cloud
Supporta chiavi di crittografia gestite dal cliente (CMEK) di Cloud KMS
Supporta i Controlli di servizio VPC
Supporta i log di Access Transparency
Supporta le richieste di approvazione di accesso
Supporta la residenza dei dati at-rest limitata alle località degli Stati Uniti

Consentire servizi aggiuntivi

Ogni pacchetto di controllo del confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche include una configurazione predefinita dei servizi supportati, che viene applicata da un vincolo del criterio dell'organizzazione Limita l'utilizzo del servizio (gcp.restrictServiceUsage) impostato nella cartella Assured Workloads. Tuttavia, puoi modificare il valore di questo vincolo per includere altri servizi, se il tuo carico di lavoro lo richiede. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.

Eventuali servizi aggiuntivi che scegli di aggiungere alla lista consentita devono essere elencati nella pagina BAA HIPAA di Google Cloud o nella pagina CSF HITRUST di Google Cloud.

Quando aggiungi altri servizi modificando il vincolo gcp.restrictServiceUsage, il monitoraggio di Assured Workloads segnala le violazioni della conformità. Per rimuovere queste violazioni ed evitare notifiche future per i servizi aggiunti alla lista consentita, devi concedere un'eccezione per ogni violazione.

Ulteriori considerazioni sull'aggiunta di un servizio alla lista consentita sono descritte nelle sezioni seguenti.

Chiavi di crittografia gestite dal cliente (CMEK)

Prima di aggiungere un servizio alla lista consentita, verifica che supporti CMEK consultando la pagina Servizi compatibili nella documentazione di Cloud KMS. Se vuoi consentire un servizio che non supporta CMEK, è tua responsabilità accettare i rischi associati, come descritto in Responsabilità condivisa in Assured Workloads.

Se vuoi applicare una postura di sicurezza più rigorosa quando utilizzi CMEK, consulta la pagina Visualizza l'utilizzo della chiave nella documentazione di Cloud KMS.

Residenza dei dati

Prima di aggiungere un servizio alla lista consentita, verifica che sia elencato nella pagina Google Cloud Servizi con residenza dei dati. Se vuoi consentire un servizio che non supporta la residenza dei dati, è tua scelta accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.

Controlli di servizio VPC

Prima di aggiungere un servizio alla lista consentita, verifica che sia supportato dai Controlli di servizio VPC consultando la pagina Prodotti supportati e limitazioni nella documentazione dei Controlli di servizio VPC. Se vuoi consentire un servizio che non supporta i Controlli di servizio VPC, è tua scelta accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.

Access Transparency e Access Approval

Prima di aggiungere un servizio alla lista consentita, verifica che possa scrivere i log di Access Transparency e supporti le richieste di approvazione dell'accesso esaminando le seguenti pagine:

Se vuoi consentire un servizio che non scrive log di Access Transparency e non supporta le richieste di approvazione dell'accesso, è tua scelta accettare i rischi associati come descritto in Responsabilità condivisa in Assured Workloads.

Prodotti e servizi supportati

I seguenti prodotti sono supportati nei pacchetti di controllo Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche e Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza:

Prodotto supportato	Endpoint API globali	Restrizioni o limitazioni
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com`	Nessuno
Artifact Registry	`artifactregistry.googleapis.com`	Nessuno
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	Nessuno
BigQuery Data Transfer Service	`bigquerydatatransfer.googleapis.com`	Nessuno
Autorizzazione binaria	`binaryauthorization.googleapis.com`	Nessuno
Certificate Authority Service	`privateca.googleapis.com`	Nessuno
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	Nessuno
Cloud Build	`cloudbuild.googleapis.com`	Nessuno
Cloud Composer	`composer.googleapis.com`	Nessuno
Cloud Data Fusion	`datafusion.googleapis.com`	Nessuno
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	Nessuno
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	Nessuno
Cloud Data Fusion	`datafusion.googleapis.com`	Nessuno
Identity and Access Management (IAM)	`iam.googleapis.com`	Nessuno
Cloud Key Management Service (Cloud KMS)	`cloudkms.googleapis.com`	Nessuno
Cloud Logging	`logging.googleapis.com`	Nessuno
Pub/Sub	`pubsub.googleapis.com`	Nessuno
Cloud Router	`networkconnectivity.googleapis.com`	Nessuno
Cloud Run	`run.googleapis.com`	Funzionalità interessate
Spanner	`spanner.googleapis.com`	Funzionalità interessate e vincoli dei criteri dell'organizzazione
Cloud SQL	`sqladmin.googleapis.com`	Nessuno
Cloud Storage	`storage.googleapis.com`	Nessuno
Cloud Tasks	`cloudtasks.googleapis.com`	Nessuno
API Cloud Vision	`vision.googleapis.com`	Nessuno
Cloud VPN	`compute.googleapis.com`	Nessuno
Compute Engine	`compute.googleapis.com`	Vincoli delle policy dell'organizzazione
Conversational Insights	`contactcenterinsights.googleapis.com`	Nessuno
Eventarc	`eventarc.googleapis.com`	Nessuno
Filestore	`file.googleapis.com`	Nessuno
Google Kubernetes Engine	`container.googleapis.com` `containersecurity.googleapis.com`	Nessuno
Memorystore for Redis	`redis.googleapis.com`	Nessuno
Persistent Disk	`compute.googleapis.com`	Nessuno
Secret Manager	`secretmanager.googleapis.com`	Nessuno
Sensitive Data Protection	`dlp.googleapis.com`	Nessuno
Speech-to-Text	`speech.googleapis.com`	Nessuno
Text-to-Speech	`texttospeech.googleapis.com`	Nessuno
Virtual Private Cloud (VPC)	`compute.googleapis.com`	Nessuno
Controlli di servizio VPC	`accesscontextmanager.googleapis.com`	Nessuno

Restrizioni e limitazioni

Le seguenti sezioni descrivono le limitazioni o le restrizioni Google Cloudper le funzionalità, inclusi eventuali vincoli previsti dalle norme dell'organizzazione impostati per impostazione predefinita nelle cartelle del confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi Google Cloud servizio applicabile.

Vincolo delle policy dell'organizzazione	Descrizione
`gcp.resourceLocations`	Imposta le seguenti località nell'elenco `allowedValues`: us-locations us-central1 us-central2 us-west1 us-west2 us-west3 us-west4 us-east1 us-east4 us-east5 us-south1 Questo valore limita la creazione di nuove risorse solo al gruppo di valori selezionato. Se impostato, non è possibile creare risorse in altre regioni, regioni con più aree geografiche o località al di fuori della selezione. Consulta Località delle risorse: servizi supportati per un elenco delle risorse che possono essere limitate dal vincolo delle policy dell'organizzazione relativo alle località delle risorse, poiché alcune risorse potrebbero non essere coperte dall'ambito e non essere limitabili. La modifica di questo valore rendendolo meno restrittivo potrebbe minare la residenza dei dati consentendo la creazione o lo stoccaggio dei dati al di fuori di un confine di dati conforme. Per ulteriori informazioni, consulta la documentazione relativa ai gruppi di valori delle norme dell'organizzazione.
`gcp.restrictServiceUsage`	Impostato per consentire tutti i servizi supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di esecuzione alle loro risorse. Per ulteriori informazioni, consulta Limitare l'utilizzo delle risorse per i carichi di lavoro.
`gcp.restrictTLSVersion`	Impostato per negare le seguenti versioni TLS: TLS_VERSION_1 TLS_VERSION_1_1 Per saperne di più, consulta la pagina Limita le versioni TLS.

Compute Engine

Vincoli dei criteri dell'organizzazione di Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
`compute.disableGlobalCloudArmorPolicy`	Imposta su True. Disabilita la creazione dei criteri di sicurezza di Google Cloud Armor.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Spanner

Funzionalità di Spanner interessate

Funzionalità	Descrizione
Confini della suddivisione	Spanner utilizza un piccolo sottoinsieme di chiavi principali e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Un confine di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole. Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nel confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Funzionalità

Descrizione

Confini della suddivisione

Spanner utilizza un piccolo sottoinsieme di chiavi principali e colonne indicizzate per definire confini di suddivisione, che possono includere dati e metadati dei clienti. Un confine di suddivisione in Spanner indica la posizione in cui gli intervalli contigui di righe vengono suddivisi in parti più piccole.

Questi confini della suddivisione sono accessibili al personale di Google per scopi di assistenza tecnica e debug e non sono soggetti ai controlli dei dati di accesso amministrativo nel confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche.

Vincoli dei criteri dell'organizzazione di Spanner

Vincolo delle policy dell'organizzazione	Descrizione
`spanner.assuredWorkloadsAdvancedServiceControls`	Imposta su True. Applica controlli aggiuntivi per la sovranità dei dati e la supportabilità alle risorse Spanner.
`spanner.disableMultiRegionInstanceIfNoLocationSelected`	Imposta su True. Disattiva la possibilità di creare istanze Spanner multiregione per applicare la residenza dei dati e la sovranità dei dati.

Passaggi successivi

Scopri i pacchetti di controllo per Assured Workloads.
Scopri quali prodotti sono supportati per ogni pacchetto di controllo.