סקירה כללית על Assured Workloads
הפתרון Assured Workloads מאפשר לארגונים במגזר הפרטי והציבורי להגדיר גבול ריבוני לנתונים ולגישה עם אמצעי בקרה על מיקום, גישה ואנשי צוות לעומסי עבודה רגישים בענן. אתם יכולים להשתמש ב-Assured Workloads כדי לפשט את הניהול וההגדרה של עומסי עבודה מפוקחים על ידי החלת חבילות בקרה מוגדרות מראש על תיקיות. בעזרת Assured Workloads אתם יכולים להריץ עומסי עבודה שעומדים בדרישות, תוך שמירה על היתרונות של מדרגיות, עלות וזמינות שירות של תשתית ענן מסחרית.
תרחישי שימוש ב-Assured Workloads
כדאי להשתמש ב-Assured Workloads אם הארגון שלכם צריך לוודא שהוא עומד בדרישות רגולטוריות, אזוריות או של ריבונות ספציפיות. לדוגמה, בעזרת Assured Workloads, הארגונים הבאים יכולים לעמוד בדרישות התאימות שלהם:
- ארגונים עם תקנות מחמירות לגבי אחסון נתונים, ניהול מפתחות וגישה (כמו שירותים פיננסיים, שירותי בריאות וגופים ממשלתיים).
- ארגונים שנדרשים לאחסן את הנתונים שלהם באזורים או במדינות מסוימים.
- ארגונים שצריכים לשלוט Google Cloud בגישה של אנשי הצוות לנתונים שלהם.
היכולות של Assured Workloads
Assured Workloads מספק מגוון יכולות שיעזרו לכם לעמוד בדרישות התאימות והרגולטוריות, כולל:
- גבולות אזוריים של נתונים וגבולות רגולטוריים של נתונים לצורך אכיפת תאימות
- אמצעי בקרה על גישה לנתוני כוח אדם
- אמצעי בקרה לניהול מפתחות הצפנה
- עדכונים בנושא עמידה בדרישות
- מעקב אחר הפרות
בקטעים הבאים מתוארים היכולות האלה.
חבילות בקרה
חבילות בקרה הן הבסיס לאכיפת תאימות ב-Assured Workloads. חבילות של אמצעי בקרה של Assured Workloads זמינות לסוגי אמצעי הבקרה הבאים: גבולות אזוריים של נתונים, גבולות רגולטוריים של נתונים ואמצעי בקרה ריבוניים של שותפים. כשיוצרים תיקיית Assured Workloads לחבילת אמצעי בקרה ספציפית, אמצעי הבקרה בחבילה מגדירים אמצעי הגנה לכל הפרויקטים והמשאבים בתיקייה. האמצעים האלה נאכפים באמצעות אילוצים של מדיניות הארגון ותכונות אחרות.
התמיכה במוצרים ובשירותים של Google Cloud משתנה בהתאם לחבילת אמצעי הבקרה. מידע נוסף זמין במאמר בנושא מוצרים נתמכים לפי חבילת בקרה.
גבולות אזוריים של נתונים
חבילות של אמצעי בקרה אזוריים על גבולות הנתונים תומכות בדרישות של מיקום הנתונים, על ידי הגבלת המיקום הגיאוגרפי שבו אפשר לאחסן משאבים. חלק מהגבולות של הנתונים מאפשרים לכם גם להפעיל שליטה עצמאית בגישה של Google לנתונים שלכם, למשל על ידי אישור גישה רק להתנהגויות ספציפיות של ספק שאתם רואים כמתאימות והכרחיות.
הגבולות האלה מאפשרים לכם לציין Google Cloud אזור שבו הנתונים שלכם צריכים להיות מאוחסנים, ומונעים אחסון נתונים מחוץ לאזור הזה. לדוגמה, אם חבילת אמצעי הבקרה של Data Boundary באיחוד האירופי מוחלת, אמצעי הבקרה של מיקום הנתונים מיושמים כדי להגביל את השימוש במשאבים לאזורים באיחוד האירופי בלבד. Assured Workloads מציע גבולות אזוריים לנתונים כדי לאכוף הגבלות על מיקום הנתונים ולשלוט בגישה של צוות Google לתמיכה.
מידע נוסף על Assured Workloads ועל מיקום נתונים מופיע במאמר בנושא מיקום נתונים.
גבולות רגולטוריים של נתונים
חבילות של אמצעי בקרה על גבולות נתונים לצורך עמידה בדרישות רגולטוריות מאפשרות לכם לפרוס קבוצה של אמצעי בקרה כדי לעמוד בדרישה רגולטורית או בדרישת תאימות ספציפית. Google Cloud הן כוללות גבולות נתונים לצורך עמידה בדרישות רגולטוריות עבור המקרים הבאים:
- Criminal Justice Information Systems (CJIS)
- FedRAMP Moderate ו-FedRAMP High
- אמצעי בקרה בתחום שירותי הבריאות ומדעי החיים (עם או בלי תמיכה בארה"ב) לצורך עמידה בדרישות של Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות, HIPAA) ושל Health Information Trust Alliance (ברית האמון במידע רפואי, HITRUST)
- רמת השפעה 2 (IL2), רמת השפעה 4 (IL4) ורמת השפעה 5 (IL5)
- International Traffic in Arms Regulations (ITAR)
- פרסום 1075 של ה-IRS
הרשימה המלאה זמינה במאמר בנושא גבולות רגולטוריים של נתונים.
Sovereign Controls by Partners
בנוסף, Assured Workloads מציע חבילות של אמצעי בקרה שמופעלות ומנוהלות על ידי שותפים באמצעות Sovereign Controls by Partners. התכונה Sovereign Controls by Partners מאפשרת לכם להשתמש בשותף מקומי מהימן כדי לנהל מפתחות הצפנה, הצדקות גישה וביקורות. חבילות אמצעי הבקרה האלה עוזרות לאכוף את דרישות מיקום הנתונים ולספק הגדרות אבטחה שכוללות היבטים קריטיים של תשתית הענן, כמו הצפנה וניהול מפתחות.
שליטה בגישה של צוות Google לנתונים שלכם
אתם יכולים לקבוע לאילו אנשי צוות של Google תהיה גישה לנתונים שלכם לצורך ביצוע משימות תמיכה. Assured Support for Assured Workloads היא תכונה נוספת של Google Cloud Customer Care שזמינה עם תמיכת Enhanced או תמיכת Premium. כשמשתמשים ב-Assured Support, אנשי התמיכה של Google צריכים לעמוד בדרישות מסוימות של מיקום גיאוגרפי ומאפיינים שמבוססים על אנשי הצוות. בהתאם לחבילת הבקרה, אמצעי הבקרה על כוח האדם מיושמים על סמך קריטריונים כמו האזור שבו נמצאים אנשי הצוות או עמידה בדרישות מסוימות של בדיקת רקע. לדוגמה, אמצעי בקרת גישה שתומכים ב-FedRAMP High מחייבים שכל צוות התמיכה של Google ברמה הראשונה והשנייה ומעבדי המשנה יהיו ממוקמים בארה"ב ויעמדו בדרישות משופרות לבדיקת רקע.
מידע נוסף על תמיכה מובטחת ב-Assured Workloads זמין במאמר קבלת תמיכה.
ניהול מפתחות
בהתאם לחבילת אמצעי הבקרה, יש אמצעי בקרה שונים לניהול מפתחות שתומכים בתאימות לתקנות. לדוגמה, כדי לעמוד בדרישות של חבילת הבקרה ITAR Data Boundary, צריך להשתמש במפתחות הצפנה בניהול הלקוח (CMEK). כדי לאפשר הפרדה בין תחומי האחריות, חבילת הבקרה של ITAR Data Boundary משתמשת בפרויקט לניהול מפתחות שנפרד ממשאבים אחרים שנפרסו, ויוצרת מחזיק מפתחות ייחודי לאחסון במיקום תאימות. ב-Assured Workloads יש גם תמיכה ב-Google-owned and Google-managed encryption keys (תאימות ל-FIPS-140-2), ב-CMEK, ב-Cloud External Key Manager (Cloud EKM) ובייבוא מפתחות לחבילות בקרה אחרות.
מידע נוסף על ניהול מפתחות זמין במאמר בנושא תמיכה בתאימות לניהול מפתחות.
עדכונים של עומסי עבודה
עדכונים של עומסי עבודה מאפשרים לכם להעריך ולשמור על הגדרות של חבילות בקרה. ככל שמשפרים את חבילות הבקרה הזמינות, אתם יכולים לבדוק אם הגדרות התיקיות של Assured Workloads שפרסתם זהות לגרסה הזמינה האחרונה. אם יש גרסה עדכנית יותר של ההגדרה, אפשר להחיל עדכונים על תיקיית Assured Workloads כדי לשדרג לגרסה העדכנית.
מעקב אחרי הפרות
התכונה Assured Workloads עוקבת אחרי הפרות של אילוצים של מדיניות הארגון והפרות של משאבים, כדי לספק תובנות לגבי התאימות לחבילת אמצעי בקרה שנפרסה. אתם יכולים להפעיל התראות באימייל על הפרות של מדיניות הארגון או על הוספה של חריגה מהפרה. ההתראות האלה כוללות מידע על תיקיית Assured Workloads, על יומני ביקורת ועל מדיניות הארגון שהושפעה, כדי לאפשר בדיקה מושכלת ותיקון של הסיבות לאי-תאימות.
מידע נוסף על מעקב זמין במאמר בנושא מעקב אחרי הפרות בתיקייה של Assured Workloads.
שירותים לבקרת גישה ולשקיפות
השירותים הבאים של Google Cloud Google מספקים אפשרויות לשליטה בגישה לנתונים ובמפתחות הצפנה, ולראות את הגישה לנתונים ולמפתחות. אתם יכולים להשתמש בשירותים האלה בשילוב עם Assured Workloads כדי לעמוד בדרישות התאימות שלכם.
| שירותGoogle Cloud | תיאור |
|---|---|
אישור גישה מאפשר לכם לשלוט בגישה של צוות Google לנתונים שלכם. מנהל מערכת מורשה של הלקוח בארגון שלכם צריך לאשר את הבקשה לפני שמנהל מערכת של Google מקבל גישה. בקשות גישה שאושרו נרשמות ביומנים של Access Transparency שמקושרים לבקשת האישור. אחרי שהבקשה מאושרת, צריך להגדיר את ההרשאות המתאימות ב-Google לפני שניתנת גישה. כשמשתמשים בבקשות לאישורי גישה עם Assured Workloads, התנאים של הבקשות האלה הם משניים להבטחות לגבי גישת כוח אדם שחלות ב-Assured Workloads. מידע נוסף זמין במאמר איך אישור גישה פועל עם Assured Workloads. |
|
בעזרת Access Transparency אפשר לראות את יומני הפעילות של אנשי צוות מורשים של Google. היומנים האלה מספקים פרטים על פעולות שקשורות לטיפול בבקשת תמיכה ופעולות שקשורות לזמינות השירות. |
|
התכונה 'הצדקות לגישה למפתחות' מאפשרת לשלוט בצפייה בבקשות לגישה למפתחות ובאישור שלהן ב-Cloud KMS או אצל שותפים מסוימים לניהול מפתחות חיצוניים. אתם יכולים לאשר או לדחות בקשות על סמך ההצדקה. בהתאם לחבילת הבקרה של Assured Workloads, אפשר להשתמש בהצדקות לגישה למפתחות עם מפתחות Cloud EKM, מפתחות Cloud HSM או מפתחות תוכנה של Cloud KMS. |
שליטה בהודעה על שינוי שם החבילה
ב-Assured Workloads, חבילות בקרה הן קבוצות של אמצעי בקרה שתומכות בבסיס של מסגרת תאימות, חוק או תקנה.
החל מיוני 2025, יש שינויים באופן שבו שולטים בשמות החבילות במסוף ובממשקי ה-API.
השמות החדשים האלה מופיעים גם בערכי ה-enum ComplianceRegime שמשמשים ליצירת עומס עבודה חדש באמצעות Assured Workloads API. רק השמות השתנו, הפונקציונליות הבסיסית לא השתנתה.
בטבלה הבאה מתוארים השינויים בחלק מחבילות הבקרה.
| השם הקרוב | שם נוכחי |
|---|---|
Australia Data Boundary |
אזורים באוסטרליה |
גבולות נתונים ותמיכה באוסטרליה |
אזורים באוסטרליה עם Assured Support |
Brazil Data Boundary |
אזורים בברזיל |
Canada Data Boundary |
אזורים בקנדה |
Data Boundary בקנדה ותמיכה |
אזורים בקנדה ותמיכה |
Data Boundary בצ'ילה |
אזורים בצ'ילה |
Data Boundary for Canada Controlled Goods |
מוצרים בפיקוח בקנדה |
Data Boundary for Canada Protected B |
Canada Protected B |
Data Boundary for CJIS |
Criminal Justice Information Systems (CJIS) |
Data Boundary ל-FedRAMP High |
FedRAMP High |
Data Boundary ל-FedRAMP Moderate |
FedRAMP Moderate |
Data Boundary לרמת השפעה 2 (IL2) |
רמת השפעה 2 (IL2) |
Data Boundary לרמת השפעה 4 (IL4) |
רמת השפעה 4 (IL4) |
Data Boundary for Impact Level 5 (IL5) |
רמת השפעה 5 (IL5) |
Data Boundary for IRS Publication 1075 |
פרסום IRS 1075 |
Data Boundary for ITAR |
תקנות International Traffic in Arms Regulations (ITAR) |
EU Data Boundary |
אזורים באיחוד האירופי |
גבולות נתונים ותמיכה באיחוד האירופי |
אזורים באיחוד האירופי ותמיכה |
גבולות נתונים באיחוד האירופי עם הצדקות גישה |
Sovereign Controls for EU |
הגבלת גישה לנתונים בהונג קונג |
אזורים בהונג קונג |
Data Boundary |
אזורים בהודו |
Indonesia Data Boundary |
אזורים באינדונזיה |
Israel Data Boundary |
אזורים בישראל |
גבולות נתונים ותמיכה בישראל |
אזורים ותמיכה בישראל |
Japan Data Boundary |
אזורים ביפן |
גבול נתונים בערב הסעודית עם הצדקות גישה |
Sovereign Controls for Kingdom of Saudi Arabia (KSA) |
Qatar Data Boundary |
אזורים בקטאר |
Singapore Data Boundary |
אזורים בסינגפור |
Data Boundary בדרום אפריקה |
אזורים בדרום אפריקה |
גבולות הנתונים בקוריאה הדרומית |
אזורים בקוריאה הדרומית |
Data Boundary בשווייץ |
אזורים בשווייץ |
Taiwan Data Boundary |
אזורים בטייוואן |
UK Data Boundary |
אזורים בבריטניה |
US Data Boundary |
אזורים בארה"ב |
גבולות נתונים ותמיכה בארה"ב |
אזורים בארה"ב ותמיכה |
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים |
אמצעי בקרה בתחום הבריאות ומדעי החיים |
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים עם תמיכה |
אמצעי בקרה בתחום שירותי הבריאות ומדעי החיים עם תמיכה בארה"ב |
המאמרים הבאים
- מידע על תמחור זמין במאמר בנושא תמחור של Assured Workloads.
- חבילות הבקרה והמוצרים הנתמכים
- כדי לנסות את Assured Workloads, אפשר להירשם לתוכנית תקופת הניסיון בחינם.
- אפשר לבצע ביקורת על סביבת Google Cloud העבודה באמצעות Audit Manager.