Assured Workloads 架構總覽

Assured Workloads 架構提供新的同等雲端控管機制,可控管資料落地、存取權和人員,與Assured Workloads 資料夾中的控管機制類似。

您可以透過下列方式,使用 Assured Workloads 架構,滿足資料夾和專案的安全性與法規要求:

  • 選擇預先定義的資料邊界,強制執行及監控環境的法規遵循情形 Google Cloud
  • 為環境定義自己的合規安全設定 Google Cloud
  • 查看資訊主頁,瞭解環境是否符合法規遵循和安全性需求
  • 稽核雲端環境,包括收集證據和產生報表

Assured Workloads 架構採用軟體定義的控管機制,可讓您評估Google Cloud 資料夾或專案是否支援多項法規遵循計畫和安全防護要求。

Assured Workloads 架構元件

下表說明 Assured Workloads 架構的元件:

規則 雲端控制項中的技術項目,可協助您符合法規遵循、安全性或隱私權規定。規則可以是組織政策、IAM 政策、雲端設定,以及以一般運算語言 (CEL) 為基礎的偵測邏輯。
CloudControl

一組規則和相關聯的中繼資料,可用於定義資料夾或專案的安全或法規遵循意圖。Assured Workloads 架構內含內建雲端控制項程式庫,並可讓您自行建立控制項。

雲端控制項中的中繼資料包括補救說明和發現項目嚴重程度。

雲端控制項有下列模式:

  • 偵測:Assured Workloads 架構會將雲端控制項套用至定義的資源,以利監控。系統偵測到任何違規事項,並產生調查結果。系統不會自動採取預防措施。
  • 預防性:Assured Workloads 架構會將雲端控制項套用至定義的資源,並主動強制執行規則。系統會封鎖任何違反雲端控制項的資源活動。

    部分雲端控管機制需要您提供額外資訊,才能正常運作。舉例來說,如果您想使用雲端控管機制,檢查工作負載和資源是否在特定區域中執行,就必須在建立雲端控管機制時指定允許的區域。

架構

一系列雲端控管和法規控管措施,代表安全性最佳做法或業界定義的標準。架構可包含雲端控管機制與法規控管機制之間的對應關係,例如 FedRAMP 中等風險或 IL2 等資料邊界。

Assured Workloads 內含內建架構程式庫,您可以自訂這些架構,也可以自行建立架構。

架構部署 部署架構時,特定架構與資料夾或專案之間的繫結。

支援的架構

Assured Workloads 支援內建架構,例如 Assured Workloads 資料邊界。 Google Cloud您可以直接部署這些架構,也可以根據需求自訂架構。

支援的 Assured Workloads 資料邊界

目前提供下列 Assured Workloads 資料邊界架構:

支援的 Compliance Manager 架構

如果您訂閱 Security Command Center Premium 或 Enterprise 級,即可在 Assured Workloads 架構中使用下列 Compliance Manager 架構:

後續步驟