Assured Workloads 개요
Assured Workloads를 사용하면 민간 및 공공 부문의 조직이 클라우드에서 민감한 워크로드의 상주, 액세스, 인력 제어를 통해 주권 데이터 및 액세스 경계를 구성할 수 있습니다. Assured Workloads를 사용하여 폴더에 사전 정의된 제어 패키지를 적용하여 규제 대상 워크로드의 관리 및 구성을 간소화할 수 있습니다. Assured Workloads를 사용하면 상용 클라우드 인프라의 규모, 비용, 서비스 가용성 이점을 유지하면서 규정 준수 워크로드를 실행할 수 있습니다.
Assured Workloads의 사용 사례
조직에서 특정 규제, 지역 또는 주권 요구사항을 준수해야 하는 경우 Assured Workloads를 사용하세요. 예를 들어 Assured Workloads를 사용하면 다음 조직에서 규정 준수 의무를 준수할 수 있습니다.
- 데이터 저장소, 키 관리, 액세스에 대한 규제가 엄격한 조직 (예: 금융 서비스, 의료, 정부 기관)
- 특정 지역 또는 국가 내에 데이터를 저장해야 하는 조직
- 조직의 데이터에 대한 Google Cloud 인력 액세스를 제어해야 하는 조직
Assured Workloads 기능
Assured Workloads는 다음을 비롯하여 규정 준수 및 규제 요구사항을 충족하는 데 도움이 되는 다양한 기능을 제공합니다.
- 규정 준수 시정 조치를 위한 지역별 데이터 경계 및 규제 데이터 경계
- 직원 데이터 액세스 제어
- 암호화 키 관리 컨트롤
- 규정 준수 업데이트
- 위반 모니터링
다음 섹션에서는 이러한 기능을 설명합니다.
제어 패키지
제어 패키지는 Assured Workloads의 규정 준수 시행을 위한 기반입니다. Assured Workloads 제어 패키지는 지역 데이터 경계, 규제 데이터 경계, 파트너의 주권 제어와 같은 제어 유형에 사용할 수 있습니다. 특정 제어 패키지의 Assured Workloads 폴더를 만들면 제어 패키지 내의 제어가 폴더 내 모든 프로젝트 및 리소스의 가드레일을 정의합니다. 이러한 제어는 조직 정책 제약 조건 및 기타 기능을 사용하여 시행됩니다.
Google Cloud 제품 및 서비스에 대한 지원은 제어 패키지에 따라 다릅니다. 자세한 내용은 제어 패키지별로 지원되는 제품을 참고하세요.
리전별 데이터 경계
지역 데이터 경계 제어 패키지는 리소스를 저장할 수 있는 지리적 위치를 제한하여 데이터 상주 요구사항을 지원합니다. 또한 일부 데이터 경계를 사용하면 적절하고 필요하다고 판단되는 특정 제공업체의 동작에 대해서만 액세스를 승인하는 등 Google의 데이터 액세스를 독립적으로 제어할 수 있습니다.
이러한 데이터 경계를 사용하면 데이터가 있어야 하는 Google Cloud 리전을 지정하고 해당 리전 외부에 데이터를 저장하지 못하도록 할 수 있습니다. 예를 들어 EU 데이터 경계 제어 패키지가 적용되면 리소스 사용을 EU 전용 리전으로 제한하도록 데이터 보존 제어가 구현됩니다. Assured Workloads는 데이터 상주 제한사항 및 Google 직원 지원 액세스 제어를 시행하기 위해 다양한 지역 데이터 경계를 제공합니다.
Assured Workloads 및 데이터 상주에 관한 자세한 내용은 데이터 상주를 참고하세요.
규제 데이터 경계
규제 데이터 경계 제어 패키지를 사용하면 일련의 제어 기능을 배포하여 특정 규제 또는 규정 준수 요구사항을 해결할 수 있습니다. Google Cloud는 다음에 대한 규제 데이터 경계를 포함합니다.
- 형사사법정보시스템 (CJIS)
- FedRAMP 중간 수준 및 FedRAMP 높음
- 건강 보험 이동성 및 책임법 (HIPAA) 및 건강 전보 신뢰 연합 (HITRUST)에 대한 의료 및 생명과학 제어 (미국 지원 여부와 관계없음)
- 영향 수준 2 (IL2), 영향 수준 4 (IL4), 영향 수준 5 (IL5)
- 국제 무기 거래 규정(ITAR)
- IRS 간행물 1075
전체 목록은 규제 데이터 경계를 참고하세요.
파트너별 주권 제어
Assured Workloads는 파트너별 주권 제어를 통해 파트너가 운영하고 관리하는 제어 패키지도 제공합니다. 파트너별 주권 제어를 사용하면 신뢰할 수 있는 현지 파트너를 통해 암호화 키, 액세스 사유, 감사를 관리할 수 있습니다. 이러한 제어 패키지는 데이터 상주를 시행하고 암호화 및 키 관리와 같은 클라우드 인프라의 중요한 측면을 포괄하는 보안 구성을 제공하는 데 도움이 됩니다.
Google 직원의 데이터 액세스 제어
지원 작업을 수행할 때 데이터에 액세스할 수 있는 Google 직원을 관리할 수 있습니다. Assured Workloads의 Assured Support는 고급 지원 또는 프리미엄 지원에서 사용할 수 있는 추가 Google Cloud 고객 관리 기능입니다. 이 기능을 사용할 때 Google 지원 담당자는 특정 지리적 및 인적 기반 속성 요구사항을 준수해야 합니다. 제어 패키지에 따라 인력 관리는 거주 지역 또는 특정 신원 조회 요구사항 충족 여부와 같은 기준을 기반으로 구현됩니다. 예를 들어 FedRAMP 높음 수준을 지원하는 액세스 제어의 경우 모든 1단계 및 2단계 Google 지원 담당자와 하위 프로세서가 미국에 거주하고 강화된 백그라운드 확인 요구사항을 충족해야 합니다.
Assured Workloads의 Assured Support에 관한 자세한 내용은 지원 받기를 참고하세요.
키 관리
제어 패키지에 따라 규정 준수를 지원하기 위해 다양한 키 관리 제어를 사용할 수 있습니다. 예를 들어 ITAR 제어 패키지의 데이터 경계에는 고객 관리 암호화 키 (CMEK)를 사용해야 합니다. 직무 분리를 사용 설정하기 위해 ITAR 제어 패키지의 데이터 경계는 다른 배포된 리소스와 별개인 키 관리 프로젝트를 사용하고 규정 준수 위치 내에 저장할 고유한 키링을 만듭니다. 또한 Assured Workloads는Google-owned and Google-managed encryption keys (FIPS-140-2 준수), CMEK, Cloud 외부 키 관리자 (Cloud EKM), 기타 제어 패키지의 키 가져오기를 지원합니다.
키 관리에 관한 자세한 내용은 키 관리 규정 준수 지원을 참고하세요.
워크로드 업데이트
워크로드 업데이트를 사용하면 제어 패키지 구성을 평가하고 유지할 수 있습니다. 사용 가능한 제어 패키지가 개선되면 배포된 Assured Workloads 폴더 구성이 사용 가능한 최신 버전과 동일한지 평가할 수 있습니다. 최신 구성 버전을 사용할 수 있는 경우 Assured Workloads 폴더에 업데이트를 적용하여 최신 버전으로 업그레이드할 수 있습니다.
위반 모니터링
Assured Workloads는 조직 정책 제약조건 위반 및 리소스 위반을 모니터링하여 배포된 제어 패키지의 규정 준수에 대한 유용한 정보를 제공합니다. 조직 정책 위반 또는 위반 예외가 추가될 때 이메일 알림을 사용 설정할 수 있습니다. 이러한 알림에는 규정 준수 여부의 원인을 충분히 고려하여 검토하고 해결할 수 있도록 Assured Workloads 폴더, 감사 로그, 영향을 받은 조직 정책에 관한 정보가 포함됩니다.
모니터링에 관한 자세한 내용은 Assured Workloads 폴더에서 위반 모니터링을 참고하세요.
액세스 제어 및 공개 상태를 위한 서비스
다음 Google Cloud 서비스는 데이터 액세스 및 암호화 키를 제어하고 파악할 수 있는 옵션을 제공합니다. 이러한 서비스를 Assured Workloads와 함께 사용하여 규정 준수 기반 요구사항을 충족할 수 있습니다.
| Google Cloud 서비스 | 설명 |
|---|---|
액세스 승인을 사용하면 Google 직원의 데이터 액세스를 제어할 수 있습니다. Google 관리자가 액세스 권한을 받으려면 먼저 조직의 승인된 고객 관리자가 요청을 승인해야 합니다. 승인된 액세스 요청은 승인 요청에 연결된 액세스 투명성 로그와 함께 로깅됩니다. 요청이 승인된 후에는 Google 내에서 적절한 권한이 부여되어야 액세스가 허용됩니다. Assured Workloads와 함께 사용되는 경우 액세스 승인 요청 조건은 적용된 Assured Workloads 인원 액세스 보증에 종속됩니다. 자세한 내용은 Assured Workloads에서 액세스 승인이 작동하는 방식을 참고하세요. |
|
액세스 투명성을 사용하면 Google 승인된 직원 활동 로그를 볼 수 있습니다. 이 로그는 지원 요청 처리와 관련된 작업 및 서비스 가용성과 관련된 작업에 관한 세부정보를 제공합니다. |
|
키 액세스 근거를 사용하면 Cloud KMS 또는 특정 외부 키 관리 파트너에서 키 액세스 요청을 보고 승인할 수 있습니다. 근거에 따라 요청을 승인하거나 거부할 수 있습니다. Assured Workloads 제어 패키지에 따라 Cloud EKM 키, Cloud HSM 키 또는 Cloud KMS 소프트웨어 키로 키 액세스 근거를 사용할 수 있습니다. |
제어 패키지 이름 변경 알림
Assured Workloads는 제어 패키지를 사용하여 규정 준수 프레임워크, 법규 또는 규제의 기준을 지원하는 제어 집합을 참조합니다.
2025년 6월부터 콘솔 및 API의 제어 패키지 이름이 변경되었습니다.
이러한 새 이름은 Assured Workloads API를 사용하여 새 워크로드를 만들 때 사용되는 ComplianceRegime enum에도 반영됩니다. 이름만 변경되었으며 기본 기능은 변경되지 않았습니다.
다음 표에는 일부 제어 패키지의 새 버전과 이전 버전이 나와 있습니다.
| 예정된 이름 | 현재 이름 |
|---|---|
오스트레일리아 데이터 경계 |
오스트레일리아 리전 |
오스트레일리아 데이터 경계 및 지원 |
Assured Support가 지원되는 오스트레일리아 리전 |
브라질 데이터 경계 |
브라질 리전 |
캐나다 데이터 경계 |
캐나다 리전 |
캐나다 데이터 경계 및 지원 |
캐나다 리전 및 지원 |
칠레 데이터 경계 |
칠레 리전 |
캐나다 규제 상품의 데이터 경계 |
캐나다 규제 상품 |
캐나다 Protected B의 데이터 경계 |
캐나다 Protected B |
CJIS의 데이터 경계 |
형사사법정보시스템(CJIS) |
FedRAMP 높음의 데이터 경계 |
FedRAMP High |
FedRAMP 중간의 데이터 경계 |
FedRAMP 중간 |
영향 수준 2(IL2)의 데이터 경계 |
영향 수준 2(IL2) |
영향 수준 4(IL4)의 데이터 경계 |
영향 수준 4(IL4) |
영향 수준 5(IL5)의 데이터 경계 |
영향 수준 5(IL5) |
IRS 간행물 1075의 데이터 경계 |
IRS 간행물 1075 |
ITAR의 데이터 경계 |
국제 무기 거래 규정(ITAR) |
EU 데이터 경계 |
EU 리전 |
EU 데이터 경계 및 지원 |
EU 리전 및 지원 |
액세스 근거가 있는 EU 데이터 경계 |
EU 소버린 컨트롤 |
홍콩 데이터 경계 |
홍콩 리전 |
인도 데이터 경계 |
인도 리전 |
인도네시아 데이터 경계 |
인도네시아 리전 |
이스라엘 데이터 경계 |
이스라엘 리전 |
이스라엘 데이터 경계 및 지원 |
이스라엘 리전 및 지원 |
일본 데이터 경계 |
일본 리전 |
액세스 근거가 있는 사우디아라비아 왕국 데이터 경계 |
사우디아라비아 왕국 (KSA)의 주권 통제 |
카타르 데이터 경계 |
카타르 리전 |
싱가포르 데이터 경계 |
싱가포르 리전 |
남아프리카 공화국 데이터 경계 |
남아프리카 공화국 리전 |
대한민국 데이터 경계 |
대한민국 리전 |
스위스 데이터 경계 |
스위스 리전 |
타이완 데이터 경계 |
타이완 리전 |
영국 데이터 경계 |
영국 리전 |
미국 데이터 경계 |
미국 리전 |
미국 데이터 경계 및 지원 |
미국 리전 및 지원 |
의료 및 생명과학 분야의 미국 데이터 경계 |
의료 및 생명과학 제어 |
지원이 포함된 의료 및 생명과학 분야의 미국 데이터 경계 |
미국 지원이 포함된 의료 및 생명과학 제어 |
다음 단계
- 가격에 관한 자세한 내용은 Assured Workloads 가격을 참고하세요.
- 사용 가능한 제어 패키지 및 지원되는 제품을 참고하세요.
- Assured Workloads를 사용해 보려면 무료 체험 프로그램에 가입하세요.
- 감사 관리자를 사용하여 Google Cloud 환경을 감사합니다.