保護 Google Cloud 中的資料環境

Last reviewed 2026-04-16 UTC

本文提供高階架構,說明如何在 Google Cloud中保護含有機密資料 (包括個人識別資訊 (PII)) 的大量資料集。這個架構可協助保護敏感資料,防範意外曝光和惡意竊取。適用對象為熟悉雲端網路和身分識別基礎概念的資料法規遵循主管和雲端安全工程師。這項架構著重於使用網路邊界,明確覆寫寬鬆的 Identity and Access Management (IAM) 設定,防止未經授權的公用存取,即使資源設定錯誤也一樣。

本文的「部署」一節提供 Terraform 程式碼範例,可自行部署這個安全邊界,並模擬公開存取封鎖。

架構

下方的架構圖說明 Google Cloud上多層資料保護策略的強大功能。有效展示資料如何從非結構化狀態移至受控管的安全環境。

Cloud KMS Autokey 和 Sensitive Data Protection 可協助保護 BigQuery 和 Cloud Storage 中的資料。

上圖顯示各項 Google 服務如何為資料提供安全保障,從初始資料上傳到資料存取權都滴水不漏:

  1. 具備適當 IAM 權限的使用者將資料上傳至 BigQuery 或 Cloud Storage 資料儲存服務。儲存服務已設為使用客戶自行管理的加密金鑰 (CMEK) 和 Cloud KMS Autokey。
  2. 這項服務會使用從 Cloud KMS Autokey 擷取的 CMEK 加密資料。
  3. Sensitive Data Protection 會持續檢查、分類及去識別化存放區中的機密資料。為去識別化機密資料,Sensitive Data Protection 會使用您設定的範本和選項遮蓋資料。
  4. 儲存服務位於 VPC Service Controls perimeter 內,可防止從 perimeter 外部存取資料。如要授予指定使用者和系統 (IAM 主體) 存取權,請使用 Access Context Manager 存取層級範本。指定主體隨後即可存取範圍內的資料。
  5. VPC Service Controls 會拒絕存取層級範本中未指定的使用者。

使用的產品

  • VPC Service Controls:代管網路功能,可將 Google Cloud 資源的資料竊取風險降到最低。
  • Sensitive Data Protection:這項全代管服務可協助您探索、分類及保護寶貴的資料資產,包括個人識別資訊 (PII)。
  • Cloud Key Management Service (Cloud KMS):這項服務可讓您透過單一集中式雲端服務,建立、匯入及管理加密編譯金鑰,並執行加密編譯作業。
  • Access Context Manager:這項服務可讓您依據屬性,為 Google Cloud中的專案和資源定義精細的存取控管政策。
  • BigQuery:企業資料倉儲,內建機器學習、地理空間分析和商業智慧等功能,有助於管理及分析資料。
  • Cloud Storage:適用於多種資料類型的物件儲存庫,成本低廉且沒有限制。 資料在 Google Cloud 內外都能存取,且會複製到多個位置,以便提供備援機制。 Google Cloud

用途

這個架構提供完善的安全架構,可在 Google Cloud中處理機密資料。著重於資料保護、存取控管和防範資料外洩。這項架構結合了嚴密的加密機制、自動資料去識別化功能和網路周邊控管機制,有助於為敏感資料建立安全環境。這項實作程序有助於確保資料是以客戶控管的金鑰 (CMEK) 加密、系統會自動偵測並遮蓋敏感資訊,以及嚴格限制存取權並根據情境管理存取權。這些措施有助於大幅降低資料竊取風險。

以下是本文所述架構的應用案例範例:

  • 受監管產業 (金融、醫療保健、公部門):受嚴格監管的產業需要安全架構,協助達成法規遵循和資料安全性目標。為確保符合法規並保護敏感的客戶資料,請務必確保資料在閒置時受到保護、敏感資料已遭探索,以及已啟用存取權控管機制。建議受監管產業採用這項設計,確保資料符合規定。
  • 不受監管的產業:不受資料法規約束的產業可以導入完善的安全架構,因此請務必防止機密資料外洩、安全地儲存資料,並制定政策來控管資料存取權。這份文件中的架構可協助不受監管的產業,達到與受嚴格監管產業相同的安全等級。建議未受監管的產業採用這項設計,做為最佳做法。

設計須知

部署

如要部署這個架構的實作範例,請使用 GitHub 提供的資料安全程式碼範例

後續步驟

貢獻者

作者:

其他貢獻者: