Assured Workloads 中的共責機制

本頁說明 Assured Workloads 中的共責事項。如要瞭解 Google Cloud中共同責任的一般資訊,請參閱「在 Google Cloud中採用共同責任和命運共同體」。

共同負責資料

您是瞭解貴公司安全性和法規要求的專家,也知道保護機密資料和資源的相關規定。在 Google Cloud上執行工作負載時,您必須在 Google Cloud 中找出需要設定的安全性控制項,以保護機密資料和各項工作負載。如要決定要實施哪些安全控管措施,您必須考量下列因素:

  • 您的法規遵循義務
  • 貴機構的安全標準和風險管理計畫
  • 客戶和供應商的安全性規定

確保您的資料安全是所有 Google 基礎架構、產品和人員作業的核心根本。 Google Cloud 為許多資料類型提供強大的安全防護,包括客戶資料服務資料。不過,如果工作負載必須符合特定法規要求,或是受國家標準規範,而這些規範需要使用較高的安全控管機制,您的內部政策可能會與預設設定選項不同。如果您有這類需求,建議您採用其他工具和技術,確保符合所需的遵循程度,並讓團隊遵循資料管理和整體網路安全管理的最佳做法。

設定 Google Cloud 和 Assured Workloads,以便分擔責任

以下是客戶在使用任何公用雲端服務時,應負的責任:

  • 瞭解資料的哪些部分有不同的法規遵循和安全性規定。大多數雲端客戶都擁有需要一般商業安全性的 IT 基礎架構,而部分客戶擁有特定資料 (例如健康資料),必須符合更嚴格的法規遵循要求。Assured Workloads 可協助您滿足這些更嚴格的法規遵循要求。將任何具有特定存取權或落地權要求的機密資料或受管制資料,放置在適當的 Assured Workloads 資料夾或專案中,並保留在該資料夾/專案中。
  • 設定身分與存取權管理 (IAM),確保只有適當人員可以存取及修改貴機構的內容。
  • 建立及整理機構階層,避免揭露個人資料。
  • 確保您已閱讀所有說明文件,並瞭解及遵循最佳做法。
  • 在技術支援期間和疑難排解時謹慎分享資訊,且不得將機密或受管制資料放在或分享到不符合規定的 Assured Workloads 資料夾。

機密或受管制資料的範圍可能因許多因素而異,包括您或客戶必須遵守的規範,可能包括:

  • 帳戶資訊
  • 健康狀態資訊
  • 客戶或使用者的個人識別資訊
  • 持卡人資料
  • ID 編號

Google 在共同責任模式中的責任

在 Google 與客戶之間的共同責任夥伴關係中,Google 負責建立成功雲端業務的基礎元素和基礎架構,其中部分元素和架構需要客戶負起責任,設定Google Cloud 以充分保護自己的資料。Google 的責任範例包括:

  • 套用預設加密基礎架構控制項
  • 強制執行您設定的 IAM 政策,限制工作負載管理和資料存取權,只允許您指定的身分存取。
  • 針對您已設定的資源中受保護的資料類型,設定並強制執行任何與所選法規遵循體制相關聯的客戶選取 Assured Workloads 控管機制。包括限制資料的儲存位置,以及哪些 Google 員工可在適當的業務活動中存取您的資料。
  • 為受管制產業和地理位置敏感資料,透過 Assured Workloads 提供設定和控管機制。
  • 提供機構政策資源設定,讓您為整個資料夾和專案階層設定政策。
  • 提供Policy Intelligence 工具:提供帳戶存取權和資源的相關深入分析資料。

歐洲和歐盟專屬設定

使用「適用於歐盟區域的 Assured Workloads」或「適用於歐盟的主權控管機制」時,客戶除了遵守 GDPR 保證外,還可使用其他技術控管機制,調整資料落地權和安全控管機制,以符合法規要求。 Google Cloud 其中一些控制項包括:

  • 歐盟資料邊界,詳情請參閱「資料落地」一節。
  • 支援將支援服務轉介給歐盟境內的歐盟自然人/法人,包括次級處理者。
  • 查看管理員存取權要求和存取權。
  • 政策導向存取權核准 (僅限主權控制項)。
  • 資料加密和金鑰管理的自訂選項。

常見欄位範例:不建議用於機密或受管制的資料

我們強烈建議所有受監管和主權客戶在將資料輸入 Google Cloud 服務時務必謹慎行事。請務必避免在可能未受技術控管或未納入 Assured Workloads 技術控管範圍的一般輸入欄位中,新增機密資料或受管制資料。這項做法有助於遵守法規要求,並保護您的機密資訊或受管制資訊。為協助您,我們彙整了各項 Google Cloud 服務中需要特別留意的例子。

請勿將機密資料或受管制資料放入下列常見欄位:

  • 資源名稱和 ID
  • 專案或資料夾名稱和 ID
  • 任何說明欄位或標籤
  • 記錄指標
  • VM 大小和類似的服務設定
  • URI 或檔案路徑
  • 時間戳記
  • 使用者 ID
  • 防火牆規則
  • 安全性掃描設定
  • 客戶 IAM 政策

後續步驟