Descripción general de las cargas de trabajo de Assured Workloads
Assured Workloads permite a las organizaciones de los sectores público y privado configurar un límite de acceso y datos soberano con controles de residencia, acceso y personal para cargas de trabajo sensibles en la nube. Puedes usar Assured Workloads para simplificar la administración y configuración de cargas de trabajo reguladas aplicando paquetes de control predefinidos a las carpetas. Assured Workloads te permite ejecutar cargas de trabajo que cumplen con las reglamentaciones mientras mantienes los beneficios de escalabilidad, costo y disponibilidad del servicio de la infraestructura de nube comercial.
Casos de uso de Assured Workloads
Usa Assured Workloads si tu organización debe garantizar el cumplimiento de requisitos reglamentarios, regionales o de soberanía específicos. Por ejemplo, Assured Workloads permite que las siguientes organizaciones cumplan con sus obligaciones de cumplimiento:
- Organizaciones con reglamentaciones estrictas para el almacenamiento de datos, la administración de claves y el acceso (como servicios financieros, atención médica y organismos gubernamentales)
- Organizaciones que deben almacenar sus datos en ciertas regiones o países.
- Organizaciones que deben controlar Google Cloud el acceso del personal a sus datos.
Funciones de Assured Workloads
Assured Workloads proporciona una variedad de funciones para ayudarte a cumplir con tus requisitos de cumplimiento y regulatorios, incluidos los siguientes:
- Límites de datos regionales y límites de datos regulatorios para la aplicación del cumplimiento
- Controles de acceso a los datos del personal
- Controles de administración de claves de encriptación
- Actualizaciones de cumplimiento
- Supervisión de incumplimientos
En las siguientes secciones, se describen estas funciones.
Paquetes de control
Los paquetes de control son la base para la aplicación forzosa del cumplimiento de las cargas de trabajo de Assured Workloads. Los paquetes de control de Assured Workloads están disponibles para los siguientes tipos de control: límites de datos regionales, límites de datos regulatorios y Controles de soberanía por socios. Cuando creas una carpeta de Assured Workloads para un paquete de control específico, los controles dentro del paquete de control definen límites para todos los proyectos y recursos de la carpeta. Estos controles se aplican con restricciones de las políticas de la organización y otras funciones.
La compatibilidad con los Google Cloud productos y servicios varía según el paquete de control. Para obtener más información, consulta Productos compatibles por paquete de control.
Límites de datos regionales
Los paquetes de control de límites de datos regionales admiten los requisitos de residencia de datos, ya que restringen la ubicación geográfica en la que se pueden almacenar los recursos. Algunos límites de datos también te permiten ejercer un control independiente sobre el acceso de Google a tus datos, por ejemplo, aprobando el acceso solo para comportamientos específicos de los proveedores que consideres apropiados y necesarios.
Estos límites de datos te permiten especificar una Google Cloud región en la que deben residir tus datos y evitan el almacenamiento de datos fuera de esa región. Por ejemplo, si se aplica el paquete de control de límites de datos de la UE, se implementan controles de residencia de datos para restringir el uso de recursos a regiones solo de la UE. Assured Workloads ofrece varios límites de datos regionales para aplicar restricciones de residencia de datos y el control de acceso de asistencia del personal de Google.
Para obtener más información sobre Assured Workloads y la residencia de datos, consulta Residencia de datos.
Límites de datos reglamentarios
Los paquetes de control de límites de datos regulatorios te permiten implementar un conjunto de controles para abordar un requisito regulatorio o de cumplimiento específico. Google Cloud incluye límites de datos regulatorios para lo siguiente:
- Sistemas de información de la justicia criminal (CJIS)
- FedRAMP Moderate y FedRAMP High
- Controles de atención médica y ciencias biológicas (con o sin asistencia de EE.UU.) para la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) y la Health Information Trust Alliance (HITRUST)
- Nivel de impacto 2 (IL2), nivel de impacto 4 (IL4) y nivel de impacto 5 (IL5)
- Reglamento Internacional de Tráfico de Armas (ITAR)
- Publicación 1075 del IRS
Para obtener una lista completa, consulta Límites de datos regulatorios.
Controles soberanos operados por socios
Assured Workloads también ofrece paquetes de control que los socios operan y administran a través de los controles soberanos de los socios. Los controles soberanos de los socios te permiten usar un socio local de confianza para administrar las claves de encriptación, la justificación de acceso y las auditorías. Estos paquetes de control ayudan a aplicar la residencia de datos y proporcionan parámetros de configuración de seguridad que abarcan aspectos fundamentales de la infraestructura de nube, como la encriptación y la administración de claves.
Control del acceso del personal de Google a tus datos
Puedes controlar qué personal de Google puede acceder a tus datos cuando realiza tareas de asistencia. La Asistencia garantizada para Assured Workloads es una función adicional de Atención al cliente de Google Cloud disponible con la Asistencia mejorada o la Asistencia premium. Cuando se usa, el personal de asistencia de Google debe cumplir con ciertos requisitos de atributos geográficos y de personal. Según el paquete de control, los controles del personal se implementan en función de criterios como su región o el cumplimiento de ciertos requisitos de verificación de antecedentes. Por ejemplo, los controles de acceso que admiten FedRAMP High requieren que todo el personal de asistencia de Google de primer y segundo nivel, así como los subprocesadores, se encuentren en EE.UU. y cumplan con los requisitos de verificación de antecedentes mejorada.
Para obtener más información sobre la Asistencia garantizada para Assured Workloads, consulta Cómo obtener asistencia.
Administración de claves
Según el paquete de control, hay varios controles de administración de claves disponibles para admitir el cumplimiento normativo. Por ejemplo, el límite de datos para el paquete de control de ITAR requiere el uso de claves de encriptación administradas por el cliente (CMEK). Para habilitar la separación de tareas, el paquete de control de límites de datos para ITAR usa un proyecto de administración de claves independiente de otros recursos implementados y crea un llavero único para el almacenamiento en una ubicación de cumplimiento. Assured Workloads también ofrece compatibilidad conGoogle-owned and Google-managed encryption keys (conforme a FIPS-140-2), CMEK, Cloud External Key Manager (Cloud EKM) y importación de claves para otros paquetes de control.
Para obtener más información sobre la administración de claves, consulta Respalda el cumplimiento con la administración de claves.
Actualizaciones de cargas de trabajo
Las actualizaciones de cargas de trabajo te permiten evaluar y mantener la configuración de los paquetes de control. A medida que se realizan mejoras en los paquetes de control disponibles, puedes evaluar si las configuraciones de las carpetas de Assured Workloads que implementaste son las mismas que la versión más reciente disponible. Si hay una versión de configuración más reciente disponible, puedes aplicar actualizaciones a la carpeta Assured Workloads para actualizar a la versión más reciente.
Supervisión de incumplimientos
Assured Workloads supervisa los incumplimientos de las restricciones de las políticas de la organización y de los recursos para proporcionar estadísticas sobre el cumplimiento de un paquete de control implementado. Puedes habilitar las notificaciones por correo electrónico para los incumplimientos de políticas de la organización o cuando se agrega una excepción de incumplimiento. Estas notificaciones incluyen información sobre la carpeta Assured Workloads, los registros de auditoría y las políticas de la organización afectadas para permitir una revisión informada y la solución de las causas del incumplimiento.
Para obtener más información sobre la supervisión, consulta Supervisa una carpeta de Assured Workloads para detectar incumplimientos.
Servicios de control de acceso y visibilidad
Los siguientes Google Cloud servicios proporcionan opciones para controlar y brindar visibilidad sobre el acceso a los datos y las claves de encriptación. Puedes usar estos servicios junto con Assured Workloads para satisfacer tus necesidades de cumplimiento.
| servicioGoogle Cloud | Descripción |
|---|---|
La aprobación de acceso proporciona control sobre el acceso del personal de Google a tus datos. Un administrador de clientes autorizado de tu organización debe aprobar una solicitud antes de que un administrador de Google reciba acceso. Las solicitudes de acceso aprobadas se registran con los registros de Transparencia de acceso que están vinculados a la solicitud de aprobación. Después de que se aprueba una solicitud, el acceso debe tener los privilegios adecuados dentro de Google para que se permita. Cuando se usa con Assured Workloads, las condiciones de la solicitud de aprobación de acceso son secundarias a las garantías de acceso del personal de Assured Workloads aplicadas. Para obtener más información, consulta Cómo funciona la aprobación de acceso con Assured Workloads. |
|
La Transparencia de acceso te permite ver los registros de actividad del personal autorizado de Google. Estos registros proporcionan detalles de las acciones relacionadas con la entrega de una solicitud de asistencia y las acciones relacionadas con la disponibilidad del servicio. |
|
Key Access Justifications permite controlar la visualización y aprobación de solicitudes de acceso a claves en Cloud KMS o ciertos socios externos de administración de claves. Puedes aprobar o rechazar las solicitudes según la justificación. Según el paquete de control de Assured Workloads, puedes usar Key Access Justifications con claves de Cloud EKM, claves de Cloud HSM o claves de software de Cloud KMS. |
Aviso de cambio de nombre del paquete de control
Assured Workloads usa paquetes de control para referirse a conjuntos de controles que respaldan el modelo de referencia de un marco de cumplimiento, estatuto o reglamento.
Los nombres de los paquetes de control en la consola y las APIs cambiaron a partir de junio de 2025.
Estos nombres nuevos también se reflejan en las enumeraciones ComplianceRegime que se usan cuando se crea una nueva carga de trabajo con la API de Assured Workloads. Solo cambiaron los nombres, la funcionalidad subyacente no cambió.
En la siguiente tabla, se describen las versiones nuevas y anteriores de algunos de los paquetes de control.
| Nombre de la función Próximamente | Nombre actual |
|---|---|
Límite de datos de Australia |
Regiones de Australia |
Límite de datos y asistencia de Australia |
Regiones de Australia con Asistencia garantizada |
Límite de datos de Brasil |
Regiones de Brasil |
Límite de datos de Canadá |
Regiones de Canadá |
Límite de datos y asistencia de Canadá |
Asistencia y regiones de Canadá |
Límite de datos de Chile |
Regiones de Chile |
Límite de datos de bienes controlados de Canadá |
Bienes controlados de Canadá |
Límite de datos para el nivel de seguridad Protected B de Canadá |
Canada Protected B |
Límite de datos para CJIS |
Sistemas de información de la justicia criminal (CJIS) |
Límite de datos para FedRAMP High |
FedRAMP High |
Límite de datos para FedRAMP Moderate |
FedRAMP Moderate |
Límite de datos para el Nivel de impacto 2 (IL2) |
Nivel de impacto 2 (IL2) |
Límite de datos para el Nivel de impacto 4 (IL4) |
Nivel de impacto 4 (IL4) |
Límite de datos para el Nivel de impacto 5 (IL5) |
Nivel de impacto 5 (IL5) |
Límite de datos para la publicación 1075 del IRS |
Publicación 1075 del IRS |
Límite de datos para ITAR |
Reglamento Internacional de Tráfico de Armas (ITAR) |
Límite de datos para la UE |
Regiones de la UE |
Límite de datos y asistencia de la UE |
Regiones de la UE y compatibilidad |
Límite de datos de la UE con justificaciones de acceso |
Controles soberanos para la UE |
Límite de datos de Hong Kong |
Regiones de Hong Kong |
Límite de datos de India |
Regiones de India |
Límite de datos de Indonesia |
Regiones de Indonesia |
Límite de datos de Israel |
Regiones de Israel |
Límite de datos y asistencia de Israel |
Regiones y asistencia en Israel |
Límite de datos de Japón |
Regiones de Japón |
Límite de datos del Reino de Arabia Saudita con justificaciones de acceso |
Controles soberanos para el Reino de Arabia Saudita (KSA) |
Límite de datos de Catar |
Regiones de Catar |
Límite de datos de Singapur |
Regiones de Singapur |
Límite de datos de Sudáfrica |
Regiones de Sudáfrica |
Límite de datos de Corea del Sur |
Regiones de Corea del Sur |
Límite de datos de Suiza |
Regiones de Suiza |
Límite de datos de Taiwán |
Regiones de Taiwán |
Límite de datos de Reino Unido |
Regiones del Reino Unido |
Límite de datos de EE.UU. |
Regiones de EE.UU. |
Límite de datos y asistencia de EE.UU. |
Regiones de EE.UU. y compatibilidad |
Límite de datos de EE.UU. para salud y ciencias biológicas |
Controles de salud y ciencias biológicas |
Límite de datos de EE.UU. para salud y ciencias biológicas con asistencia |
Controles de salud y ciencias biológicas con asistencia de EE.UU. |
¿Qué sigue?
- Para obtener información sobre los precios, consulta Precios de Assured Workloads.
- Consulta los paquetes de control y los productos compatibles disponibles.
- Para probar Assured Workloads, regístrate en el programa de prueba gratuita.
- Audita tu Google Cloud entorno con el Administrador de auditoría.