Confine per i dati per Impact Level 2 (IL2)

Questa pagina descrive l'insieme di controlli applicati a Data Boundary per i carichi di lavoro IL2 in Assured Workloads. Fornisce informazioni dettagliate su residenza dei dati, prodotti Google Cloud supportati e i relativi endpoint API, nonché eventuali restrizioni o limitazioni applicabili a questi prodotti. Le seguenti informazioni aggiuntive si applicano al confine per i dati per IL2:

• Residenza dei dati: il pacchetto di controlli Data Boundary per IL2 imposta i controlli della località dei dati in modo da supportare solo le regioni degli Stati Uniti. Per saperne di più, consulta la sezione Vincoli delle policy dell'organizzazione a livello diGoogle Cloud.
• Assistenza: i servizi di assistenza tecnica per Data Boundary per i carichi di lavoro IL2 sono disponibili con gli abbonamenti all'assistenza clienti Google Cloud Premium o Avanzata. Le richieste di assistenza per i carichi di lavoro IL2 vengono indirizzate a soggetti statunitensi che si trovano negli Stati Uniti. Per ulteriori informazioni, vedi Richiedere assistenza.
• Prezzi: il pacchetto di controllo Data Boundary per IL2 è incluso nel livello Premium di Assured Workloads, che comporta un costo aggiuntivo del 20%. Per ulteriori informazioni, consulta i prezzi di Assured Workloads.

Prerequisiti

Per utilizzare il pacchetto di controlli Data Boundary per IL2, devi soddisfare i seguenti prerequisiti per rimanere conforme:

• Crea una cartella Data Boundary per IL2 utilizzando Assured Workloads e implementa i tuoi workload IL2 solo in questa cartella.
• Attiva e utilizza solo i servizi inclusi nell'ambito per Data Boundary per i workload IL2.
• Non modificare i valori predefiniti del vincolo dei criteri dell'organizzazione, a meno che tu non comprenda e non voglia accettare i rischi di residenza dei dati che potrebbero verificarsi.
• Per tutti i servizi utilizzati in una cartella Data Boundary per IL2, non archiviare dati tecnici nei seguenti tipi di informazioni di configurazione di sicurezza o definiti dall'utente:
  • Messaggi di errore
  • Output console
  • Dati degli attributi
  • Dati di configurazione del servizio
  • Intestazioni dei pacchetti di rete
  • Identificatori di risorse
  • Etichette dati
• Valuta la possibilità di adottare le best practice generali per la sicurezza fornite nel Google Cloud Centro best practice per la sicurezza.
• Per ulteriori informazioni sul deployment dei carichi di lavoro IL2 in Google Cloud, consulta la pagina Autorizzazione provvisoria del Dipartimento della Difesa (DoD) degli Stati Uniti.
• Quando accedi alla console Google Cloud , puoi utilizzare la console giurisdizionale Google Cloud . Non è necessario utilizzare la console giurisdizionale Google Cloud per il confine dei dati per IL2. È possibile accedervi a uno dei seguenti URL:
  • console.us.cloud.google.com
  • console.us.cloud.google per gli utenti con identità federata

Prodotti ed endpoint API supportati

Se non diversamente indicato, gli utenti possono accedere a tutti i prodotti supportati tramite la console Google Cloud . Le limitazioni che influiscono sulle funzionalità di un prodotto supportato, incluse quelle applicate tramite le impostazioni dei vincoli delle policy dell'organizzazione, sono elencate nella tabella seguente.

Se un prodotto non è elencato, non è supportato e non soddisfa i requisiti di controllo per il confine dei dati per IL2. L'utilizzo di prodotti non supportati non è consigliato senza la dovuta diligenza e una comprensione approfondita delle tue responsabilità nel modello di responsabilità condivisa. Prima di utilizzare un prodotto non supportato, assicurati di essere a conoscenza e di voler accettare eventuali rischi associati, come impatti negativi sulla residenza o sulla sovranità dei dati. Inoltre, rivedi qualsiasi utilizzo di un prodotto non supportato con l'agenzia autorizzatrice prima di accettare il rischio.

Limitazioni e restrizioni

Le sezioni seguenti descrivono le limitazioni o restrizioni a livello di Google Cloudo specifiche del prodotto per le funzionalità, inclusi i vincoli delle norme dell'organizzazione impostati per impostazione predefinita in Data Boundary per le cartelle IL2. Altri vincoli dei criteri dell'organizzazione applicabili, anche se non impostati per impostazione predefinita, possono fornire una difesa in profondità aggiuntiva per proteggere ulteriormente le risorse Google Cloud dell'organizzazione.

Google Cloud-wide

Vincoli dei criteri dell'organizzazione a livello diGoogle Cloud

I seguenti vincoli delle policy dell'organizzazione si applicano a Google Cloud.

Vincolo delle policy dell'organizzazione	Descrizione
gcp.resourceLocations	Imposta le seguenti località nell'elenco allowedValues: us us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Questo valore limita la creazione di nuove risorse ai valori selezionati. Se impostato, non è possibile creare risorse in altre regioni, multiregioni o località al di fuori della selezione. Consulta Servizi supportati dalle località delle risorse per un elenco delle risorse che possono essere limitate dal vincolo dei criteri dell'organizzazione relativi alle località delle risorse, poiché alcune risorse potrebbero essere fuori ambito e non possono essere limitate. La modifica di questo valore rendendolo meno restrittivo compromette potenzialmente la residenza dei dati consentendo la creazione o l'archiviazione dei dati al di fuori di un limite dei dati conforme.
gcp.restrictCmekCryptoKeyProjects	Impostato su under:organizations/your-organization-name, che è la tua organizzazione Assured Workloads. Puoi limitare ulteriormente questo valore specificando un progetto o una cartella. Limita l'ambito delle cartelle o dei progetti approvati che possono fornire chiavi Cloud KMS per la crittografia dei dati at-rest utilizzando CMEK. Questo vincolo impedisce a progetti o cartelle non approvati di fornire chiavi di crittografia, contribuendo così a garantire la sovranità dei dati per i dati inattivi dei servizi inclusi nell'ambito.
gcp.restrictNonCmekServices	Impostato su un elenco di tutti i nomi di servizio API inclusi nell'ambito, tra cui: bigquerydatatransfer.googleapis.com Alcune funzionalità potrebbero essere interessate per ciascuno dei servizi elencati sopra. Ogni servizio elencato richiede chiavi di crittografia gestite dal cliente (CMEK). CMEK cripta i dati at-rest con una chiave gestita da te, non con i meccanismi di crittografia predefiniti di Google. La modifica di questo valore rimuovendo uno o più servizi inclusi nell'ambito dell'elenco potrebbe compromettere la sovranità dei dati, perché i nuovi dati inattivi verranno criptati automaticamente utilizzando le chiavi di Google anziché le tue. I dati inattivi esistenti rimarranno criptati con la chiave che hai fornito.
gcp.restrictServiceUsage	Imposta l'opzione per consentire tutti gli endpoint API e prodotti supportati. Determina quali servizi possono essere utilizzati limitando l'accesso in fase di runtime alle loro risorse. Per maggiori informazioni, consulta Limitazione dell'utilizzo delle risorse.
gcp.restrictTLSVersion	Imposta il rifiuto delle seguenti versioni TLS: TLS_1_0 TLS_1_1 Per saperne di più, consulta Limitare le versioni TLS.

BigQuery

Funzionalità di BigQuery interessate

Funzionalità	Descrizione
Abilitazione di BigQuery in una nuova cartella	BigQuery è supportato, ma non viene abilitato automaticamente quando crei una nuova cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se il processo è terminato e per abilitare BigQuery, completa i seguenti passaggi: Nella console Google Cloud , vai alla pagina Assured Workloads. Vai ad Assured Workloads Seleziona la nuova cartella Assured Workloads dall'elenco. Nella pagina Dettagli cartella, nella sezione Servizi consentiti, fai clic su Controlla aggiornamenti disponibili. Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al criterio dell'organizzazione Limite di utilizzo delle risorse per la cartella. Se sono elencati i servizi BigQuery, fai clic su Consenti servizi per aggiungerli. Se i servizi BigQuery non sono elencati, attendi il completamento della procedura interna. Se i servizi non sono elencati entro 12 ore dalla creazione della cartella, contatta l'assistenza clienti Google Cloud. Al termine della procedura di attivazione, puoi utilizzare BigQuery nella cartella Assured Workloads. Gemini in BigQuery non è supportato da Assured Workloads.
Funzionalità non supportate	Le seguenti funzionalità BigQuery non sono supportate e non devono essere utilizzate nella CLI BigQuery. È tua responsabilità non utilizzarli in BigQuery per Assured Workloads. Interazione con origini dati remote I modelli BQML addestrati esternamente non sono supportati. Sono supportati i modelli BQML addestrati internamente. Mascheramento dinamico dei dati Esportazione GDrive Funzioni del telecomando Query salvate Programmazione del flusso di lavoro Per BigQuery Studio, i notebook non sono supportati. Gemini in BigQuery non è supportato.
CLI BigQuery	L'interfaccia a riga di comando BigQuery è supportata.
Google Cloud SDK	Devi utilizzare Google Cloud SDK versione 403.0.0 o successive per mantenere le garanzie di regionalizzazione dei dati per i dati tecnici. Per verificare la versione attuale di Google Cloud SDK, esegui gcloud --version e poi gcloud components update per eseguire l'aggiornamento alla versione più recente.
Controlli per gli amministratori	BigQuery disabiliterà le API non supportate, ma gli amministratori con autorizzazioni sufficienti per creare una cartella Assured Workloads possono abilitare un'API non supportata. Se si verifica questa situazione, riceverai una notifica di potenziale mancata conformità tramite la dashboard di monitoraggio di Assured Workloads.
Caricamento di dati	I connettori BigQuery Data Transfer Service per le app Software as a Service (SaaS) di Google, i fornitori di spazio di spazio di archiviazione sul cloud esterni e i data warehouse non sono supportati. È tua responsabilità non utilizzare i connettori di BigQuery Data Transfer Service per il confine dei dati per i carichi di lavoro IL2.
Trasferimenti di terze parti	BigQuery non verifica il supporto per i trasferimenti di terze parti per BigQuery Data Transfer Service. È tua responsabilità verificare il supporto quando utilizzi un trasferimento di terze parti per BigQuery Data Transfer Service.
Modelli BQML non conformi	I modelli BQML addestrati esternamente non sono supportati.
Job di query	I job di query devono essere creati solo all'interno delle cartelle Assured Workloads.
Query sui set di dati in altri progetti	BigQuery non impedisce l'esecuzione di query sui set di dati Assured Workloads da progetti non Assured Workloads. Devi assicurarti che qualsiasi query che abbia una lettura o un join sui dati di Assured Workloads venga inserita in una cartella Assured Workloads. Puoi specificare un nome di tabella completo per il risultato della query utilizzando projectname.dataset.table nella CLI BigQuery.
Cloud Logging	BigQuery utilizza Cloud Logging per alcuni dei tuoi dati di log. Per mantenere la conformità, devi disattivare i bucket di logging _default o limitare i bucket _default alle regioni incluse nell'ambito utilizzando il seguente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Per saperne di più, consulta Regionalizzare i log.

Cloud Interconnect

Funzionalità Cloud Interconnect interessate

Funzionalità	Descrizione
VPN ad alta disponibilità	Quando utilizzi Cloud Interconnect con Cloud VPN, devi abilitare la funzionalità VPN ad alta disponibilità. Inoltre, devi rispettare i requisiti di crittografia e regionalizzazione elencati nella sezione Funzionalità Cloud VPN interessate.

Cloud Logging

Funzionalità di Cloud Logging interessate

Funzionalità	Descrizione
Sink di log	I filtri non devono contenere dati dei clienti. I sink di log includono filtri archiviati come configurazione. Non creare filtri che contengano dati dei clienti.
Voci di log di coda in tempo reale	I filtri non devono contenere dati dei clienti. Una sessione di monitoraggio in tempo reale include un filtro memorizzato come configurazione. I log di coda non memorizzano i dati voce di log, ma possono eseguire query e trasmettere dati tra le regioni. Non creare filtri che contengano dati dei clienti.

Cloud Monitoring

Funzionalità di Cloud Monitoring interessate

Funzionalità	Descrizione
Monitoraggio sintetico	Questa funzionalità è disattivata.
Controlli di uptime	Questa funzionalità è disattivata.

Cloud Run

Funzionalità di Cloud Run interessate

Funzionalità	Descrizione
Funzionalità non supportate	Le seguenti funzionalità di Cloud Run non sono supportate: Integrazione di Cloud Trace Cloud Run Functions Trigger Eventarc

Cloud VPN

Funzionalità Cloud VPN interessate

Funzionalità	Descrizione
Endpoint VPN	Devi utilizzare solo endpoint Cloud VPN che si trovano in una regione inclusa nell'ambito. Assicurati che il gateway VPN sia configurato per l'utilizzo solo in una regione inclusa nell'ambito.

Cloud Workstations

Funzionalità di Cloud Workstations interessate

Funzionalità

Descrizione

Creazione di un cluster di workstation

Quando crei un cluster di workstation, è tua responsabilità configurarlo nel seguente modo per garantire la residenza dei dati: Seleziona solo un gateway privato quando crei un cluster di workstation. L'utilizzo di un gateway privato garantisce la residenza dei dati in transito. Utilizza solo un bilanciatore del carico delle applicazioni esterno regionale quando configuri un dominio personalizzato. L'utilizzo di un bilanciatore del carico delle applicazioni esterno regionale garantisce la residenza dei dati in transito.

Compute Engine

Funzionalità di Compute Engine interessate

Funzionalità	Descrizione
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può attualmente essere criptata utilizzando CMEK. Consulta il vincolo delle policy dell'organizzazione gcp.restrictNonCmekServices nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Consulta il vincolo gcp.restrictNonCmekServices delle policy dell'organizzazione nella sezione precedente per comprendere le implicazioni della sovranità e della residenza dei dati dell'attivazione di questa funzionalità.
Aggiunta di un gruppo di istanze a un bilanciatore del carico globale	Non puoi aggiungere un gruppo di istanze a un bilanciatore del carico globale. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione compute.disableGlobalLoadBalancing.
Sospensione e ripresa di un'istanza VM	Questa funzionalità è disattivata. La sospensione e la ripresa di un'istanza VM richiedono l'archiviazione su disco permanente e l'archiviazione su disco permanente utilizzata per archiviare lo stato della VM sospesa non può essere criptata utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
SSD locali	Questa funzionalità è disattivata. Non potrai creare un'istanza con SSD locali perché non possono essere criptati utilizzando CMEK. Questa funzionalità è disattivata dal vincolo dei criteri dell'organizzazione gcp.restrictNonCmekServices.
Ambiente guest	È possibile che script, daemon e file binari inclusi nell'ambiente guest accedano a dati non criptati inattivi e in uso. A seconda della configurazione della VM, gli aggiornamenti di questo software potrebbero essere installati per impostazione predefinita. Consulta Ambiente guest per informazioni specifiche su contenuti, codice sorgente e altro ancora di ogni pacchetto. Questi componenti ti aiutano a soddisfare la sovranità dei dati tramite controlli e processi di sicurezza interni. Tuttavia, se vuoi un controllo aggiuntivo, puoi anche selezionare le tue immagini o i tuoi agenti e, facoltativamente, utilizzare il vincolo della policy dell'organizzazione compute.trustedImageProjects. Per saperne di più, vedi Creare un'immagine personalizzata.
Policy del sistema operativo in VM Manager	Gli script incorporati e i file di output binari all'interno dei file delle policy del sistema operativo non vengono criptati utilizzando chiavi di crittografia gestite dal cliente (CMEK). Non includere informazioni sensibili in questi file. Valuta la possibilità di archiviare questi script e file di output in bucket Cloud Storage. Per saperne di più, consulta Esempi di policy del sistema operativo. Se vuoi limitare la creazione o la modifica di risorse di policy del sistema operativo che utilizzano script in linea o file di output binari, abilita il vincolo della policy dell'organizzazione constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Per saperne di più, consulta Vincoli per OS Config.

Vincoli dei criteri dell'organizzazione Compute Engine

Vincolo delle policy dell'organizzazione	Descrizione
compute.disableGlobalCloudArmorPolicy	Imposta su True. Disabilita la creazione di nuove policy di sicurezza Google Cloud Armor e l'aggiunta o la modifica di regole alle policy di sicurezza Google Cloud Armor globali esistenti. Questo vincolo non limita la rimozione di regole o la possibilità di rimuovere o modificare la descrizione e l'elenco delle policy di sicurezza globali di Google Cloud Armor. Questo vincolo non influisce sulle policy di sicurezza regionali di Google Cloud Armor. Tutte le policy di sicurezza globali e regionali esistenti prima dell'applicazione di questo vincolo rimangono in vigore.
compute.disableGlobalLoadBalancing	Imposta su True. Disabilita la creazione di prodotti di bilanciamento del carico globale. La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
compute.restrictNonConfidentialComputing	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. Per maggiori informazioni, consulta la documentazione di Confidential VM.
compute.trustedImageProjects	(Facoltativo) Il valore non è impostato. Imposta questo valore per fornire una difesa in profondità aggiuntiva. L'impostazione di questo valore limita l'archiviazione delle immagini e l'istanza del disco all'elenco specificato di progetti. Questo valore influisce sulla sovranità dei dati impedendo l'utilizzo di immagini o agenti non autorizzati.

Dataplex Universal Catalog

Funzionalità di Dataplex Universal Catalog

Funzionalità	Descrizione
Attribute Store	Questa funzionalità è ritirata e disattivata.
Data Catalog	Questa funzionalità è ritirata e disattivata. Non puoi cercare né gestire i tuoi metadati in Data Catalog.
Lake e zone	Questa funzionalità è disattivata. Non puoi gestire i lake, le zone e le attività.

Pub/Sub

Vincoli delle policy dell'organizzazione Pub/Sub

Vincolo delle policy dell'organizzazione	Descrizione
pubsub.managed.disableSubscriptionMessageTransforms	Imposta su True. Disabilita l'impostazione delle sottoscrizioni Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.
pubsub.managed.disableTopicMessageTransforms	Imposta su True. Impedisce l'impostazione di argomenti Pub/Sub con Single Message Transforms (SMT). La modifica di questo valore potrebbe influire sulla residenza o sulla sovranità dei dati del tuo workload.

Passaggi successivi

• Scopri come creare una cartella Assured Workloads
• Informazioni sui prezzi di Assured Workloads