Panoramica di Assured Workloads
Assured Workloads consente alle organizzazioni dei settori pubblico e privato di configurare un confine di accesso e dati sovrani con controlli di residenza, accesso e personale per i carichi di lavoro sensibili nel cloud. Puoi utilizzare Assured Workloads per semplificare la gestione e la configurazione dei carichi di lavoro regolamentati applicando pacchetti di controllo predefiniti alle cartelle. Assured Workloads ti consente di eseguire workload conformi mantenendo i vantaggi di scalabilità, costi e disponibilità del servizio dell'infrastruttura cloud commerciale.
Casi d'uso di Assured Workloads
Utilizza Assured Workloads se la tua organizzazione deve garantire la conformità a requisiti normativi, regionali o di sovranità specifici. Ad esempio, Assured Workloads consente alle seguenti organizzazioni di soddisfare i propri obblighi di conformità:
- Organizzazioni con normative rigide per l'archiviazione dei dati, la gestione delle chiavi e l'accesso (ad esempio servizi finanziari, sanitari e organi governativi).
- Organizzazioni che devono archiviare i propri dati in determinate regioni o paesi.
- Organizzazioni che devono controllare Google Cloud l'accesso del personale ai propri dati.
Funzionalità di Assured Workloads
Assured Workloads offre una serie di funzionalità per aiutarti a soddisfare i requisiti di conformità e normativi, tra cui:
- Confini dei dati a livello di regione e confini dei dati normativi per l'applicazione della conformità
- Controlli di accesso ai dati del personale
- Controlli di gestione delle chiavi di crittografia
- Aggiornamenti di conformità
- Monitoraggio delle violazioni
Le sezioni seguenti descrivono queste funzionalità.
Pacchetti di controllo
I pacchetti di controllo sono la base per l'applicazione della conformità per Assured Workloads. I pacchetti di controlli di Assured Workloads sono disponibili per i seguenti tipi di controlli: confini dei dati regionali, confini dei dati normativi e controlli di sovranità dei partner. Quando crei una cartella Assured Workloads per un pacchetto di controllo specifico, i controlli al suo interno definiscono i sistemi di protezione per tutti i progetti e le risorse all'interno della cartella. Questi controlli vengono applicati utilizzando vincoli delle norme dell'organizzazione e altre funzionalità.
Il supporto per i prodotti e i servizi Google Cloud varia in base al pacchetto di controllo. Per ulteriori informazioni, consulta Prodotti supportati per pacchetto di controllo.
Confini dei dati a livello di regione
I pacchetti di controllo dei confini dei dati a livello di regione supportano i requisiti di residenza dei dati limitando la posizione geografica in cui è possibile archiviare le risorse. Alcuni confini dei dati ti consentono inoltre di esercitare un controllo indipendente sull'accesso di Google ai tuoi dati, ad esempio approvando l'accesso solo per comportamenti specifici del provider che ritieni appropriati e necessari.
Questi limiti dei dati ti consentono di specificare una Google Cloud regione in cui devono trovarsi i tuoi dati e impediscono l'archiviazione dei dati al di fuori di questa regione. Ad esempio, se viene applicato il pacchetto di controllo dei confini di dati dell'UE, i controlli della residenza dei dati vengono implementati per limitare l'utilizzo delle risorse alle regioni dell'UE. Assured Workloads offre vari confini di dati a livello di regione per applicare le limitazioni relative alla residenza dei dati e il controllo dell'accesso del personale di assistenza Google.
Per ulteriori informazioni su Assured Workloads e sulla residenza dei dati, consulta Residenza dei dati.
Confini dei dati normativi
I pacchetti di controllo dei confini di dati regolamentari ti consentono di implementare un insieme di controlli per rispondere a un requisito normativo o di conformità specifico. Google Cloud include i confini di dati regolamentari per quanto segue:
- Criminal Justice Information Systems (CJIS)
- FedRAMP Moderate e FedRAMP High
- Controlli per sanità e scienze biologiche (con o senza assistenza degli Stati Uniti) per Health Insurance Portability and Accountability Act (HIPAA) e Health Information Trust Alliance (HITRUST)
- Impact Level 2 (IL2), Impact Level 4 (IL4) e Impact Level 5 (IL5)
- International Traffic in Arms Regulations (ITAR)
- Pubblicazione IRS 1075
Per un elenco completo, consulta Limiti dei dati regolamentari.
Controlli di sovranità di partner
Assured Workloads offre anche pacchetti di controllo gestiti e gestiti dai partner tramite i controlli di sovranità dei partner. I controlli di sovranità dei partner ti consentono di utilizzare un partner locale fidato per gestire le chiavi di crittografia, la giustificazione dell'accesso e i controlli. Questi pacchetti di controllo contribuiscono a imporre la residenza dei dati e forniscono configurazioni di sicurezza che comprendono aspetti critici dell'infrastruttura cloud, come la crittografia e la gestione delle chiavi.
Controllo dell'accesso del personale di Google ai tuoi dati
Puoi controllare il personale Google che può accedere ai tuoi dati durante l'esecuzione delle attività di assistenza. L'Assistenza di Assured per Assured Workloads è un'altra funzionalità del team di assistenza clienti di Google Cloud disponibile con l'Assistenza Avanzata o l'Assistenza Premium. Se vengono utilizzati, il personale di assistenza di Google deve rispettare determinati requisiti relativi agli attributi geografici e del personale. A seconda del pacchetto di controllo, i controlli del personale vengono implementati in base a criteri quali la regione o il rispetto di determinati requisiti di controllo dei precedenti. Ad esempio, i controlli di accesso che supportano FedRAMP High richiedono che tutto il personale di assistenza Google di primo e secondo livello e tutti i subprocessori si trovino negli Stati Uniti e soddisfino i requisiti per i controlli dei precedenti avanzati.
Per ulteriori informazioni sull'Assistenza di Assured per Assured Workloads, consulta Ricevere assistenza.
Gestione delle chiavi
A seconda del pacchetto di controllo, sono disponibili vari controlli di gestione delle chiavi per supportare la conformità normativa. Ad esempio, il pacchetto di controllo dei confini dei dati per ITAR richiede l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK). Per consentire la separazione dei compiti, il pacchetto di controllo del confine dei dati per ITAR utilizza un progetto di gestione delle chiavi separato dalle altre risorse di cui è stato eseguito il deployment e crea un keyring unico per l'archiviazione in una località conforme. Assured Workloads offre anche il supporto perGoogle-owned and Google-managed encryption keys (conforme a FIPS-140-2), CMEK, Cloud External Key Manager (Cloud EKM) e importazione chiavi per altri pacchetti di controllo.
Per ulteriori informazioni sulla gestione delle chiavi, consulta Supporto per la conformità con la gestione delle chiavi.
Aggiornamenti del workload
Aggiornamenti dei workload ti consente di valutare e mantenere le configurazioni dei pacchetti di controllo. Man mano che vengono apportati miglioramenti ai pacchetti di controllo disponibili, puoi valutare se le configurazioni delle cartelle Assured Workloads di cui hai eseguito il deployment sono uguali a quelle della versione più recente disponibile. Se è disponibile una versione di configurazione più recente, puoi applicare gli aggiornamenti alla cartella Assured Workloads per eseguire l'upgrade all'ultima versione.
Monitoraggio delle violazioni
Assured Workloads monitora le violazioni dei vincoli dei criteri dell'organizzazione e delle risorse per fornire informazioni sulla conformità di un pacchetto di controllo di cui è stato eseguito il deployment. Puoi attivare le notifiche via email per le violazioni delle norme dell'organizzazione o quando è stata aggiunta un'eccezione alla violazione. Queste notifiche includono informazioni sulla cartella Assured Workloads, sui log di controllo e sui criteri dell'organizzazione interessati per consentire una revisione informata e la correzione delle cause della mancata conformità.
Per ulteriori informazioni sul monitoraggio, consulta Monitorare una cartella Assured Workloads per rilevare violazioni.
Servizi per controllo dell'accesso e la visibilità
I seguenti Google Cloud servizi offrono opzioni per controllare e fornire visibilità sull'accesso ai dati e sulle chiavi di crittografia. Puoi utilizzare questi servizi in combinazione con Assured Workloads per soddisfare le tue esigenze in materia di conformità.
| Google Cloud servizio | Descrizione |
|---|---|
Access Approval consente di controllare l'accesso del personale Google ai tuoi dati. Un amministratore cliente autorizzato della tua organizzazione deve approvare una richiesta prima che un amministratore Google riceva l'accesso. Le richieste di accesso approvate vengono registrate con i log di Access Transparency collegati alla richiesta di approvazione. Dopo l'approvazione di una richiesta, l'accesso deve essere correttamente
privilegiato all'interno di Google prima che l'accesso sia consentito. Se utilizzate con Assured Workloads, le condizioni della richiesta di approvazione di accesso sono secondarie alle garanzie di accesso del personale di Assured Workloads applicate. Per ulteriori informazioni, vedi Come funziona l'approvazione dell'accesso con Assured Workloads. |
|
Access Transparency ti consente di visualizzare i log delle attività del personale autorizzato di Google. Questi log forniscono dettagli sulle azioni relative all'evasione di una richiesta di assistenza e sulle azioni relative alla disponibilità del servizio. |
|
Le Key Access Justifications chiavi consentono di controllare la visualizzazione e l'approvazione delle richieste di accesso alle chiavi in Cloud KMS o in determinati partner esterni per la gestione delle chiavi. Puoi approvare o rifiutare le richieste in base alla giustificazione. A seconda del pacchetto di controllo Assured Workloads, puoi utilizzare Key Access Justifications chiavi con chiavi Cloud EKM, chiavi Cloud HSM o chiavi software Cloud KMS. |
Notifica di ridenominazione del pacchetto di controllo
Assured Workloads utilizza i pacchetti di controllo per fare riferimento a insiemi di controlli
che supportano la linea di base per un framework, uno statuto o un regolamento di conformità.
I nomi dei pacchetti di controllo nella console e nelle API sono cambiati a partire da giugno 2025.
Questi nuovi nomi sono riportati anche negli enumerati
ComplianceRegime
utilizzati per creare un nuovo carico di lavoro utilizzando l'API
Assured Workloads. Sono cambiati solo i nomi, la funzionalità di base è rimasta invariata.
La tabella seguente descrive i pacchetti di controllo nuovi e precedenti.
| Nome imminente | Nome attuale |
|---|---|
Confine per i dati in Australia |
Regioni dell'Australia |
Confine e assistenza per i dati in Australia |
Regioni in Australia con Assistenza di Assured |
Confine per i dati in Brasile |
Regioni del Brasile |
Confine per i dati in Canada |
Regioni del Canada |
Confine e assistenza per i dati in Canada |
Regioni e assistenza in Canada |
Confine per i dati in Cile |
Regioni del Cile |
Confine per i dati per Canada Controlled Goods |
Canada Controlled Goods |
Confine per i dati per Canada Protected B |
Canada Protected B |
Confine per i dati per CJIS |
Criminal Justice Information Systems (CJIS) |
Confine per i dati per FedRAMP High |
FedRAMP High |
Confine per i dati per FedRAMP Moderate |
FedRAMP Moderate |
Confine per i dati per Impact Level 2 (IL2) |
Impact Level 2 (IL2) |
Confine per i dati per Impact Level 4 (IL4) |
Impact Level 4 (IL4) |
Confine per i dati per Impact Level 5 (IL5) |
Impact Level 5 (IL5) |
Confine per i dati per la pubblicazione dell'IRS 1075 |
IRS Publication 1075 |
Confine per i dati per ITAR |
International Traffic in Arms Regulations (ITAR) |
Confine per i dati nell'UE |
Regioni dell'UE |
Confine e assistenza per i dati nell'UE |
Regioni e assistenza nell'UE |
Confine per i dati nell'UE con giustificazioni di accesso |
Controlli di sovranità per l'UE |
Confine per dati a Hong Kong |
Regioni di Hong Kong |
Confine per i dati in India |
Regioni dell'India |
Confine per i dati in Indonesia |
Regioni dell'Indonesia |
Confine per i dati in Israele |
Regioni di Israele |
Confine e assistenza per i dati in Israele |
Regioni e assistenza in Israele |
Confine per i dati in Giappone |
Regioni giapponesi |
Confine per i dati nel Regno dell'Arabia Saudita con giustificazioni di accesso |
Controlli di sovranità per il Regno dell'Arabia Saudita |
Confine per i dati in Qatar |
Regioni del Qatar |
Confine per i dati a Singapore |
Regioni di Singapore |
Confine per i dati in Sudafrica |
Regioni del Sudafrica |
Confine per i dati in Corea del Sud |
Regioni della Corea del Sud |
Confine per i dati in Svizzera |
Regioni della Svizzera |
Confine per i dati a Taiwan |
Regioni di Taiwan |
Confine per i dati nel Regno Unito |
Regioni del Regno Unito |
Confine per i dati negli Stati Uniti |
Regioni degli Stati Uniti |
Confine e assistenza per i dati negli Stati Uniti |
Regioni e assistenza negli Stati Uniti |
Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche |
Controlli per sanità e scienze biologiche |
Confine per i dati negli Stati Uniti per il settore sanitario e delle scienze biologiche con assistenza |
Controlli per il settore sanitario e delle scienze biologiche con assistenza negli Stati Uniti |
Passaggi successivi
- Per informazioni sui prezzi, consulta Prezzi di Assured Workloads.
- Consulta i pacchetti di controllo e i prodotti supportati disponibili.
- Per provare Assured Workloads, registrati al programma di prova gratuita.
- Controlla il tuo Google Cloud ambiente con Audit Manager.