Google Cloud 中的安全数据环境

Last reviewed 2026-04-16 UTC

本文档提供了一种高级别架构,用于在 Google Cloud中保护包含敏感数据(包括个人身份信息 [PII])的大规模数据集。该架构旨在帮助保护敏感数据免遭意外泄露和恶意渗漏。本指南面向熟悉基础云网络和身份概念的数据合规官和云安全工程师。此架构重点介绍了如何使用网络边界来明确替换宽松的 Identity and Access Management (IAM) 设置,以防止未经授权的公开访问,即使资源配置错误也是如此。

本文档的部署部分提供了一个 Terraform 代码示例,用于自行部署此安全边界并模拟公开访问权限限制。

架构

以下架构图展示了 Google Cloud上稳健的多层数据保护策略。它有效地展示了数据如何从非结构化状态转移到受监管的安全环境中。

Cloud KMS Autokey 和 Sensitive Data Protection 有助于保护 BigQuery 和 Cloud Storage 中的数据。

上图显示了每项 Google 服务如何为数据提供安全保障,从初始数据上传到数据访问权限:

  1. 具有相应 IAM 权限的用户将数据上传到 BigQuery 或 Cloud Storage 数据存储服务。存储服务已配置为使用客户管理的加密密钥 (CMEK) 和 Cloud KMS Autokey。
  2. 该服务使用从 Cloud KMS Autokey 中提取的 CMEK 来加密数据。
  3. Sensitive Data Protection 会持续检查、分类和去标识化存储库中的敏感数据。为了对敏感数据进行去标识化处理,Sensitive Data Protection 会使用您配置的模板和选项来遮盖数据。
  4. 存储服务位于 VPC Service Controls 边界内,这会阻止从边界外访问数据。如需向指定的用户和系统(IAM 正文)授予访问权限,您可以使用 Access Context Manager 访问权限级别模板。指定的主账号随后便可访问边界内的数据。
  5. VPC Service Controls 会拒绝访问权限级别模板中未指定的所有用户的访问请求。

使用的产品

  • VPC Service Controls:一种托管式网络功能,可最大限度地降低 Google Cloud 资源的数据渗漏风险。
  • Sensitive Data Protection:一项全代管式服务,旨在帮助您发现有价值的数据资产(包括个人身份信息 [PII]),并对其进行分类和保护。
  • Cloud Key Management Service (Cloud KMS):一项服务,可让您在单个集中式云服务中创建、导入和管理加密密钥以及执行加密操作。
  • Access Context Manager:一项服务,可让您为 Google Cloud中的项目和资源定义基于属性的精细访问权限控制政策。
  • BigQuery:一种企业数据仓库,可帮助您使用机器学习地理空间分析和商业智能等内置功能管理和分析数据。
  • Cloud Storage:适用于各种数据类型的费用低廉且不受限制的对象存储。数据可从 Google Cloud内部和外部访问,并且跨位置进行复制以实现冗余。

使用场景

此架构提供了一个稳健的安全框架,用于在 Google Cloud中处理敏感数据。它侧重于数据保护、访问权限控制和渗漏防护。该架构通过将强大的加密功能与自动数据去标识化和网络边界控制相结合,有助于为敏感数据建立安全的环境。此实现有助于确保数据使用客户控制的密钥 (CMEK) 进行加密,敏感信息会自动检测并遮盖,并且访问权限受到严格限制和情境化管理。这些措施有助于显著缓解数据渗漏风险。

以下是本文档中描述的架构的用例示例:

  • 受监管的行业(金融、医疗保健、公共部门):受到严格监管的行业需要安全框架来帮助实现合规性和数据安全性。为了实现合规性并保护敏感的客户数据,必须确保静态数据的安全性、发现敏感数据,并实施访问权限控制。我们建议受监管的行业实施此设计,以帮助实现数据合规性。
  • 不受监管的行业:不受数据法规约束的行业可以从实施可靠的安全框架中受益。务必防止敏感数据泄露,安全地存储数据,并制定控制数据访问权限的政策。本文档中的架构可帮助不受监管的行业实现与受严格监管的行业相同的安全级别。我们建议不受监管的行业将此设计作为最佳实践来实施。

设计考虑事项

部署

如需部署此架构的示例实现,请使用 GitHub 中提供的数据安全代码示例

后续步骤

贡献者

作者:

其他贡献者: