Assured Workloads-Übersicht
Mit Assured Workloads können Organisationen aus dem privaten und öffentlichen Sektor eine souveräne Daten- und Zugriffsgrenze mit Kontrollen für den Datenstandort, den Zugriff und das Personal für sensible Arbeitslasten in der Cloud konfigurieren. Mit Assured Workloads können Sie die Verwaltung und Konfiguration regulierter Arbeitslasten vereinfachen, indem Sie vordefinierte Steuerpakete auf Ordner anwenden. Mit Assured Workloads können Sie konforme Arbeitslasten ausführen und gleichzeitig die Vorteile der Skalierbarkeit, Kosten und Dienstverfügbarkeit einer kommerziellen Cloud-Infrastruktur nutzen.
Anwendungsfälle für Assured Workloads
Verwenden Sie Assured Workloads, wenn Ihre Organisation bestimmte gesetzliche, regionale oder souveräne Anforderungen einhalten muss. Mit Assured Workloads können beispielsweise die folgenden Organisationen ihre Compliance-Anforderungen erfüllen:
- Organisationen mit strengen Bestimmungen für die Datenspeicherung, Schlüsselverwaltung und den Zugriff (z. B. Finanzdienstleistungen, Gesundheitswesen und Behörden)
- Organisationen, die ihre Daten in bestimmten Regionen oder Ländern speichern müssen.
- Organisationen, die den Zugriff von Mitarbeitern auf ihre Daten steuern müssen Google Cloud
Funktionen von Assured Workloads
Assured Workloads bietet eine Vielzahl von Funktionen, mit denen Sie Ihre Compliance- und behördlichen Anforderungen erfüllen können, darunter:
- Regionale Datengrenzen und regulatorische Datengrenzen für die Durchsetzung der Compliance
- Steuerung des Mitarbeiterdatenzugriffs
- Einstellungen für die Verwaltung von Verschlüsselungsschlüsseln
- Compliance-Aktualisierungen
- Verstöße im Blick behalten
In den folgenden Abschnitten werden diese Funktionen beschrieben.
Kontrollpakete
Kontrollpakete sind die Grundlage für die Durchsetzung der Compliance für Assured Workloads. Assured Workloads-Kontrollpakete sind für die folgenden Kontrolltypen verfügbar: regionale Datengrenzwerte, rechtliche Datengrenzwerte und Hoheitskontrollen von Partnern. Wenn Sie einen Assured Workloads-Ordner für ein bestimmtes Kontrollpaket erstellen, definieren die Kontrollen im Kontrollpaket Sicherheitsvorkehrungen für alle Projekte und Ressourcen im Ordner. Diese Steuerelemente werden mithilfe von Einschränkungen für Organisationsrichtlinien und anderen Funktionen erzwungen.
Die Unterstützung für Google Cloud -Produkte und ‑Dienste variiert je nach Steuerpaket. Weitere Informationen finden Sie unter Unterstützte Produkte nach Steuerpaket.
Regionale Datengrenzen
Pakete zur Steuerung regionaler Datengrenzen unterstützen die Anforderungen an den Datenstandort, indem der geografische Speicherort von Ressourcen eingeschränkt wird. Mit einigen Datengrenzwerten können Sie auch den Zugriff von Google auf Ihre Daten unabhängig steuern, z. B. indem Sie den Zugriff nur für bestimmte Anbieterverhaltensweisen genehmigen, die Sie für angemessen und notwendig halten.
Mit diesen Datengrenzen können Sie eine Google Cloud Region angeben, in der sich Ihre Daten befinden müssen, und den Datenspeicher außerhalb dieser Region verhindern. Wenn beispielsweise das Kontrollpaket für die EU-Datengrenze angewendet wird, werden Steuerelemente für den Datenstandort implementiert, um die Ressourcennutzung auf Regionen in der EU zu beschränken. Assured Workloads bietet verschiedene regionale Datengrenzen, um Einschränkungen für den Datenstandort und die Zugriffssteuerung für Google-Supportmitarbeiter durchzusetzen.
Weitere Informationen zu Assured Workloads und zum Datenstandort finden Sie unter Datenstandort.
Regulatorische Datengrenzen
Mit Steuerpaketen für regulatorische Datengrenzen können Sie eine Reihe von Steuerelementen bereitstellen, um eine bestimmte rechtliche oder Compliance-Anforderung zu erfüllen. Google Cloudenthält regulatorische Datengrenzen für Folgendes:
- Criminal Justice Information Systems (CJIS)
- FedRAMP Moderate und FedRAMP High
- Kontrollen für Gesundheitswesen und Biowissenschaften (mit oder ohne US-Support) für den Health Insurance Portability and Accountability Act (HIPAA) und die Health Information Trust Alliance (HITRUST)
- Impact Level 2 (IL2), Impact Level 4 (IL4) und Impact Level 5 (IL5)
- International Traffic in Arms Regulations (ITAR)
- IRS-Publikation 1075
Eine vollständige Liste finden Sie unter Rechtliche Datengrenzwerte.
Steuerung der Datenhoheit durch Partner
Assured Workloads bietet auch Kontrollpakete, die von Partnern über Sovereign Controls by Partners betrieben und verwaltet werden. Mit Sovereign Controls von Partnern können Sie einen lokalen, vertrauenswürdigen Partner mit der Verwaltung von Verschlüsselungsschlüsseln, der Zugriffsberechtigung und der Prüfung beauftragen. Diese Steuerpakete tragen dazu bei, den Datenstandort durchzusetzen und Sicherheitskonfigurationen bereitzustellen, die wichtige Aspekte der Cloud-Infrastruktur wie Verschlüsselung und Schlüsselverwaltung umfassen.
Zugriff von Google-Mitarbeitern auf Ihre Daten steuern
Sie können festlegen, welche Google-Mitarbeiter bei Supportaufgaben auf Ihre Daten zugreifen dürfen. Assured Support für Assured Workloads ist eine zusätzliche Google Cloud-Kundenservicefunktion, die mit erweitertem Support oder Premium-Support verfügbar ist. Bei der Nutzung müssen die Google-Kundenservicemitarbeiter bestimmte geografische und personenbezogene Anforderungen erfüllen. Je nach Kontrollpaket werden Personalkontrollen anhand von Kriterien wie der Region oder der Erfüllung bestimmter Anforderungen an die Zuverlässigkeitsüberprüfung implementiert. Beispielsweise müssen alle Google-Supportmitarbeiter der ersten und zweiten Ebene und alle Unterauftragnehmer, die Zugriffssteuerungen unterstützen, die FedRAMP High erfordern, ihren Sitz in den USA haben und erweiterte Zuverlässigkeitsüberprüfungen bestehen.
Weitere Informationen zum Assured-Support für Assured Workloads finden Sie unter Support erhalten.
Schlüsselverwaltung
Je nach Kontrollpaket sind verschiedene Steuerelemente für die Schlüsselverwaltung verfügbar, um die Einhaltung der Vorschriften zu unterstützen. Für das Data Boundary-Kontrollpaket für ITAR ist beispielsweise die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) erforderlich. Um die Aufgabentrennung zu ermöglichen, verwendet das Data Boundary for ITAR-Kontrollpaket ein Schlüsselverwaltungsprojekt, das von anderen bereitgestellten Ressourcen getrennt ist, und erstellt einen eindeutigen Schlüsselring für die Speicherung an einem Compliance-Speicherort. Assured Workloads unterstützt auchGoogle-owned and Google-managed encryption keys (FIPS-140-2-konforme) CMEKs, Cloud External Key Manager (Cloud EKM) und den Schlüsselimport für andere Kontrollpakete.
Weitere Informationen zur Schlüsselverwaltung finden Sie unter Compliance mit der Schlüsselverwaltung unterstützen.
Arbeitslastupdates
Mit Arbeitslastupdates können Sie Konfigurationen von Steuerpaketen bewerten und verwalten. Wenn Verbesserungen an den verfügbaren Steuerpaketen vorgenommen werden, können Sie prüfen, ob die Konfigurationen Ihrer bereitgestellten Assured Workloads-Ordner mit der jeweils neuesten Version übereinstimmen. Wenn eine neuere Konfigurationsversion verfügbar ist, können Sie Updates auf den Ordner „Assured Workloads“ anwenden, um auf die neueste Version umzustellen.
Überwachung von Verstößen
Assured Workloads überwacht Verstöße gegen Einschränkungsrichtlinien für Organisationsrichtlinien und Ressourcenverstöße, um Informationen zur Compliance für ein bereitgestelltes Kontrollpaket bereitzustellen. Sie können E-Mail-Benachrichtigungen für Richtlinienverstöße in Ihrer Organisation oder wenn eine Ausnahme für einen Verstoß hinzugefügt wurde, aktivieren. Diese Benachrichtigungen enthalten Informationen zum Assured Workloads-Ordner, zu Audit-Logs und zu den betroffenen Organisationsrichtlinien, damit Sie die Ursachen für die Nichteinhaltung prüfen und beheben können.
Weitere Informationen zur Überwachung finden Sie unter Assured Workloads-Ordner auf Verstöße überwachen.
Dienste für Zugriffssteuerung und Sichtbarkeit
Die folgenden Google Cloud Dienste bieten Optionen zur Steuerung und Sichtbarkeit des Datenzugriffs und der Verschlüsselungsschlüssel. Sie können diese Dienste in Kombination mit Assured Workloads verwenden, um Ihre Compliance-Anforderungen zu erfüllen.
| Google Cloud -Dienst | Beschreibung |
|---|---|
Mit der Zugriffsgenehmigung können Sie den Zugriff von Google-Mitarbeitern auf Ihre Daten steuern. Ein autorisierter Kundenadministrator in Ihrer Organisation muss eine Anfrage genehmigen, bevor ein Google-Administrator Zugriff erhält. Genehmigte Zugriffsanfragen werden in Access Transparency-Logs protokolliert, die mit der Genehmigungsanfrage verknüpft sind. Nachdem eine Anfrage genehmigt wurde, muss der Zugriff innerhalb von Google ordnungsgemäß bevollmächtigt werden, bevor er zulässig ist. Bei Verwendung mit Assured Workloads sind die Bedingungen für die Zugriffsgenehmigung zweitrangig gegenüber den angewendeten Zusicherungen für den Personalzugriff von Assured Workloads. Weitere Informationen finden Sie unter Funktionsweise der Zugriffsberechtigung für Assured Workloads. |
|
Mit Access Transparency können Sie Protokolle zu Aktivitäten von autorisierten Google-Mitarbeitern einsehen. Diese Protokolle enthalten Details zu Aktionen im Zusammenhang mit der Bearbeitung einer Supportanfrage und Aktionen im Zusammenhang mit der Dienstverfügbarkeit. |
|
Mit Key Access Justifications können Sie die Anzeige und Genehmigung von Schlüsselzugriffsanfragen in Cloud KMS oder bei bestimmten externen Partnern für die Schlüsselverwaltung steuern. Sie können Anfragen basierend auf der Begründung genehmigen oder ablehnen. Je nach Kontrollpaket für Assured Workloads können Sie Key Access Justifications mit Cloud EKM-Schlüsseln, Cloud HSM-Schlüsseln oder Cloud KMS-Softwareschlüsseln verwenden. |
Hinweis zur Umbenennung von Kontrollpaketen
In Assured Workloads werden Kontrollpakete verwendet, um auf Kontrollgruppen zu verweisen, die die Baseline für ein Compliance-Framework, einen Gesetzestext oder eine Verordnung unterstützen.
Die Verwaltung von Paketnamen in der Console und in APIs hat sich seit Juni 2025 geändert.
Diese neuen Namen werden auch in den ComplianceRegime-Enum-Typen berücksichtigt, die beim Erstellen einer neuen Arbeitslast mit der Assured Workloads API verwendet werden. Nur die Namen haben sich geändert, die zugrunde liegende Funktionalität ist unverändert.
In der folgenden Tabelle werden die neuen und bisherigen Versionen einiger Steuerpakete beschrieben.
| Name des anstehenden Termins | Aktueller Name |
|---|---|
Datengrenze für Australien |
Regionen in Australien |
Datengrenze und Support für Australien |
Regionen in Australien mit Assured-Support |
Datengrenze für Brasilien |
Regionen in Brasilien |
Datengrenze für Kanada |
Regionen in Kanada |
Datengrenze und Support für Kanada |
Regionen und Support in Kanada |
Datengrenze für Chile |
Regionen in Chile |
Datengrenze für kanadisches Controlled Goods Program |
Kanadisches Controlled Goods Program |
Datengrenze für „Protected B“ von Kanada |
„Protected B“ von Kanada |
Datengrenze für CJIS |
Criminal Justice Information Systems (CJIS) |
Datengrenze für FedRAMP High |
FedRAMP High |
Datengrenze für FedRAMP Moderate |
FedRAMP Moderate |
Datengrenze für Impact Level 2 (IL2) |
Impact Level 2 (IL2) |
Datengrenze für Impact Level 4 (IL4) |
Impact Level 4 (IL4) |
Datengrenze für Impact Level 5 (IL5) |
Impact Level 5 (IL5) |
Datengrenze für IRS-Publikation 1075 |
IRS-Publikation 1075 |
Datengrenze für ITAR |
International Traffic in Arms Regulations (ITAR) |
Datengrenze für die EU |
EU-Regionen |
Datengrenze und Support für die EU |
Regionen und Support in der EU |
Datengrenze für die EU mit Zugriffsbegründungen |
Steuerung der Datenhoheit in der EU |
Datengrenze für Hongkong |
Regionen in Hongkong |
Datengrenze für Indien |
Regionen in Indien |
Datengrenze für Indonesien |
Regionen in Indonesien |
Datengrenze für Israel |
Regionen in Israel |
Datengrenze und Support für Israel |
Regionen und Support in Israel |
Datengrenze für Japan |
Regionen in Japan |
Datengrenze für Saudi-Arabien mit Zugriffsbegründungen |
Kontrollen zur Datenhoheit für Saudi-Arabien |
Datengrenze für Katar |
Regionen in Katar |
Datengrenze für Singapur |
Regionen in Singapur |
Datengrenze für Südafrika |
Regionen in Südafrika |
Datengrenze für Südkorea |
Regionen in Südkorea |
Datengrenze für die Schweiz |
Regionen in der Schweiz |
Datengrenze für Taiwan |
Regionen in Taiwan |
Datengrenze für das UK |
Regionen im Vereinigten Königreich |
Datengrenze für die USA |
US-Regionen |
Datengrenze und Support für die USA |
Regionen und Support in den USA |
US-Datengrenze für Gesundheitswesen und Biowissenschaften |
Kontrollen für Gesundheitswesen und Biowissenschaften |
US-Datengrenze für Gesundheitswesen und Biowissenschaften mit Support |
Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support |
Nächste Schritte
- Informationen zu den Preisen finden Sie unter Preise für Assured Workloads.
- Informationen zu verfügbaren Steuerpaketen und unterstützten Produkten
- Wenn Sie Assured Workloads ausprobieren möchten, registrieren Sie sich für das kostenlose Testprogramm.
- Prüfen Sie Ihre Google Cloud Umgebung mit Audit Manager.