Restrições e limitações para os controles de saúde e ciências biológicas
Esta página descreve as restrições, limitações e outras opções de configuração ao usar os pacotes de controle "Controles de saúde e ciências biológicas" e "Controles de saúde e ciências biológicas com suporte dos EUA".
Visão geral
Os pacotes de controle "Healthcare and Life Sciences Controls" e "Healthcare and Life Sciences Controls with US Support" permitem executar cargas de trabalho que estão em conformidade com os requisitos da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e da Health Information Trust Alliance (HITRUST).
Cada produto com suporte atende aos seguintes requisitos:
- Listado na página do Contrato de parceria comercial (BAA) da Google Cloud em conformidade com a HIPAA
- Listado na página do Framework de Segurança Comum (CSF) do HITRUST do Google Cloud
- Compatível com chaves de criptografia gerenciadas pelo cliente (CMEK) do Cloud KMS
- Suporte a VPC Service Controls
- Suporte a registros de transparência no acesso
- Suporte a solicitações de aprovação de acesso
- Oferece suporte à residência de dados em repouso restrita a locais dos EUA
Como permitir outros serviços
Cada pacote de controle de Controles de saúde e ciências biológicas inclui uma configuração
padrão de serviços com suporte, que é aplicada por uma restrição de política da organização
Restrict Service Usage
(gcp.restrictServiceUsage) definida na sua
pasta Assured Workloads. No entanto, você pode modificar o valor dessa restrição para incluir outros serviços, se a carga de trabalho exigir. Consulte
Restringir o uso de recursos para cargas de trabalho
para mais informações.
Todos os serviços adicionais que você adicionar à lista de permissões precisam estar listados na página do BAA da HIPAA da Google Cloud ou na página do CSF do HITRUST da Google Cloud.
Quando você adiciona outros serviços modificando a restrição gcp.restrictServiceUsage, o monitoramento do Assured Workloads informa as violações de compliance. Para remover essas violações e evitar notificações futuras de
serviços adicionados à lista de permissões, é necessário
conceder uma exceção para cada
violação.
Outras considerações ao adicionar um serviço à lista de permissões são descritas nas seções a seguir.
Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Antes de adicionar um serviço à lista de permissões, verifique se ele oferece suporte ao CMEK na página Serviços compatíveis na documentação do Cloud KMS. Se você quiser permitir um serviço que não oferece suporte à CMEK, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Se você quiser aplicar uma postura de segurança mais rígida ao usar a CMEK, consulte a página Conferir o uso da chave na documentação do Cloud KMS.
Residência dos dados
Antes de adicionar um serviço à lista de permissões, verifique se ele está listado na página Google Cloud Serviços com residência de dados. Se você quiser permitir um serviço que não ofereça suporte à residência de dados, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
VPC Service Controls
Antes de adicionar um serviço à lista de permissões, verifique se ele é compatível com o VPC Service Controls na página Produtos e limitações compatíveis na documentação do VPC Service Controls. Se você quiser permitir um serviço que não ofereça suporte ao VPC Service Controls, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada no Assured Workloads.
Transparência no acesso e Aprovação de acesso
Antes de adicionar um serviço à lista de permissões, verifique se ele pode gravar os registros de transparência no acesso e se oferece suporte a solicitações de aprovação de acesso. Para isso, consulte as seguintes páginas:
Se você quiser permitir um serviço que não grava registros de transparência no acesso e não oferece suporte a solicitações de aprovação de acesso, aceite os riscos associados, conforme descrito em Responsabilidade compartilhada em workloads garantidos.
Produtos e serviços com suporte
Os seguintes produtos têm suporte nos pacotes de controle de Controles de saúde e ciências biológicas e Controles de saúde e ciências biológicas com suporte nos EUA:
| Produto compatível | Endpoints de API globais | Restrições ou limitações |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
Nenhum |
| Artifact Registry |
artifactregistry.googleapis.com |
Nenhum |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
Nenhum |
| Serviço de transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
Nenhum |
| Autorização binária |
binaryauthorization.googleapis.com |
Nenhum |
| Certificate Authority Service |
privateca.googleapis.com |
Nenhum |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
Nenhum |
| Cloud Build |
cloudbuild.googleapis.com |
Nenhum |
| Cloud Composer |
composer.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
Nenhum |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
Nenhum |
| Cloud Data Fusion |
datafusion.googleapis.com |
Nenhum |
| Gerenciamento de identidade e acesso (IAM) |
iam.googleapis.com |
Nenhum |
| Cloud Key Management Service (Cloud KMS) |
cloudkms.googleapis.com |
Nenhum |
| Cloud Logging |
logging.googleapis.com |
Nenhum |
| Pub/Sub |
pubsub.googleapis.com |
Nenhum |
| Cloud Router |
networkconnectivity.googleapis.com |
Nenhum |
| Cloud Run |
run.googleapis.com |
Nenhum |
| Spanner |
spanner.googleapis.com |
Recursos afetados e restrições da política da organização |
| Cloud SQL |
sqladmin.googleapis.com |
Nenhum |
| Cloud Storage |
storage.googleapis.com |
Nenhum |
| Cloud Tasks |
cloudtasks.googleapis.com |
Nenhum |
| API Cloud Vision |
vision.googleapis.com |
Nenhum |
| Cloud VPN |
compute.googleapis.com |
Nenhum |
| Compute Engine |
compute.googleapis.com |
Restrições da política da organização |
| Insights de conversas |
contactcenterinsights.googleapis.com |
Nenhum |
| Eventarc |
eventarc.googleapis.com |
Nenhum |
| Filestore |
file.googleapis.com |
Nenhum |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
Nenhum |
| Memorystore para Redis |
redis.googleapis.com |
Nenhum |
| Persistent Disk |
compute.googleapis.com |
Nenhum |
| Secret Manager |
secretmanager.googleapis.com |
Nenhum |
| Proteção de Dados Sensíveis |
dlp.googleapis.com |
Nenhum |
| Speech-to-Text |
speech.googleapis.com |
Nenhum |
| Text-to-Speech |
texttospeech.googleapis.com |
Nenhum |
| Nuvem privada virtual (VPC) |
compute.googleapis.com |
Nenhum |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
Nenhum |
Restrições e limitações
As seções a seguir descrevem restrições ou limitações de recursos específicos do produto ou do Google Cloud, incluindo qualquer restrição de política da organização definida por padrão nas pastas de controles de saúde e ciências da vida.
Restrições da política da organização em todo oGoogle Cloud
As restrições da política da organização a seguir se aplicam a qualquer serviço Google Cloud aplicável.
| Restrição da política da organização | Descrição |
|---|---|
gcp.resourceLocations |
Defina os seguintes locais na lista allowedValues:
|
gcp.restrictServiceUsage |
Permita todos os serviços compatíveis. Determina quais serviços podem ser ativados e usados. Para mais informações, consulte Restringir o uso de recursos para cargas de trabalho. |
gcp.restrictTLSVersion |
Configurado para negar as seguintes versões do TLS:
|
Compute Engine
Restrições da política da organização do Compute Engine
| Restrição da política da organização | Descrição |
|---|---|
compute.disableGlobalCloudArmorPolicy |
Definido como Verdadeiro. Desativa a criação de políticas de segurança do Google Cloud Armor. |
Spanner
Recursos do Spanner afetados
| Recurso | Descrição |
|---|---|
| Limites de divisão | O Spanner usa um pequeno subconjunto de chaves primárias e colunas indexadas
para definir
limites de divisão,
que podem incluir dados e metadados do cliente. Um limite de divisão no
Spanner denota o local em que os intervalos contíguos de linhas
são divididos em partes menores. Esses limites divididos são acessíveis pelo pessoal do Google para fins de suporte técnico e depuração e não estão sujeitos a controles administrativos de acesso a dados nos controles de saúde e ciências biológicas. |
Restrições da política da organização do Spanner
| Restrição da política da organização | Descrição |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
Definido como Verdadeiro. Aplica controles adicionais de soberania de dados e suporte aos recursos do Spanner. |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner multirregionais para aplicar a residência e a soberania de dados. |
A seguir
- Entenda os pacotes de controle para o Assured Workloads.
- Saiba quais produtos são compatíveis com cada pacote de controle.