Datenschutzrichtlinien

Die folgenden Richtlinien für die minimale funktionsfähige Sicherheitsplattform stimmen mit der Säule „Datenschutz“ überein.

Richtlinien für die Basisstufe

Implementieren Sie zuerst die folgenden Datenschutzrichtlinien.

Element	Einheitlichen Zugriff auf Bucket-Ebene verwenden
Beschreibung	Die boolesche Einschränkung `storage.uniformBucketLevelAccess` erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden. Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie nur IAM-Berechtigungen (Identity and Access Management) auf Bucket-Ebene verwenden, um Zugriff auf Ihre Cloud Storage-Ressourcen zu gewähren. Die Verwendung von zwei verschiedenen und in Konflikt stehenden Systemen zur Verwaltung von Berechtigungen für Speicher-Buckets ist komplex und eine häufige Ursache für versehentliche Datenlecks. Mit dieser Einstellung wird das alte System (Zugriffssteuerungslisten oder ACLs) deaktiviert und das moderne, zentralisierte System (IAM) zur einzigen Quelle der Wahrheit für alle Berechtigungen.
Weitere Informationen	Einheitlichen Zugriff auf Bucket-Ebene erfordern
Artikel-ID	MVSP-CO-1.42
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 AC-17 AC-20 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Compliance Manager-Kontrolle: Einheitlichen Zugriff auf Bucket-Ebene für Cloud Storage-Buckets aktivieren

Element	Öffentliche Cloud SQL-IP-Adressen einschränken
Beschreibung	Sie können verhindern, dass Cloud SQL eine öffentliche IP-Adresse hat und direkt dem Internet ausgesetzt ist, indem Sie die Einschränkung der Organisationsrichtlinie `constraints/sql.restrictPublicIp` festlegen. In der Regel sind Datenbanken nicht direkt mit dem Internet verbunden. Wenn Sie öffentliche IP-Adressen verhindern, erhalten Ihre Datenbanken keine öffentlichen IP-Adressen. So sind sie privat und nur über vertrauenswürdige interne Anwendungen zugänglich.
Weitere Informationen	Instanzsicherheit durch Deaktivieren der öffentlichen IP-Adresse verbessern Organisationsrichtlinien für die Verbindung
Artikel-ID	MVSP-CO-1.45
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Öffentliche IP-Adressen für Cloud SQL-Instanzen blockieren

Nachdem Sie die grundlegenden Richtlinien implementiert haben, implementieren Sie die folgenden Datenschutzrichtlinien.

Element	Öffentlichen Zugriff auf Cloud Storage-Buckets blockieren
Beschreibung	Die boolesche Einschränkung `storage.publicAccessPrevention` verhindert, dass ohne Authentifizierung über öffentliche Quellen auf Speicher-Buckets zugegriffen wird. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die `allUsers` und `allAuthenticatedUsers` Zugriff gewähren. Diese Einschränkung dient als organisationsweites Sicherheitsnetz, das alle Einstellungen aktiv blockiert, die einen Bucket öffentlich zugänglich machen würden.
Weitere Informationen	Verhinderung des öffentlichen Zugriffs
Artikel-ID	MVSP-CO-1-43
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 AC-17 AC-20 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Compliance Manager-Kontrolle: Verhinderung des öffentlichen Zugriffs erzwingen

Element	Zugriff auf BigQuery-Datasets prüfen
Beschreibung	Achten Sie darauf, dass in BigQuery keine Datasets vorhanden sind, die öffentlich zugänglich sind, es sei denn, die Datasets sind für die Öffentlichkeit bestimmt. Datasets in BigQuery enthalten häufig vertrauliche Daten. Wenn Sie den Dataset-Zugriff überprüfen, können Sie sicherstellen, dass Sie Daten nicht versehentlich oder unbeabsichtigt im Internet veröffentlichen.
Weitere Informationen	Zugriff auf Ressourcen mit Identity and Access Management (IAM) steuern
Artikel-ID	MVSP-CO-1.46
Zuordnung	Zugehörige NIST-800-53-Kontrollen: AC-3 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Öffentlichen Zugriff auf BigQuery-Datasets einschränken

Nachdem Sie die vorläufigen Richtlinien implementiert haben, implementieren Sie die folgenden Datenschutzrichtlinien.

Element	Verwaltete Verschlüsselungsstrategie erstellen
Beschreibung	Erstellen Sie eine Verschlüsselungsverwaltungsstrategie mit Cloud Key Management Service (Cloud KMS) mit Autokey, Cloud External Key Manager (Cloud EKM) oder beidem. Mit dieser Strategie kann Ihre Organisation ihre eigenen Verschlüsselungsschlüssel verwenden und verwalten, um Ihre spezifischen Anforderungen zu erfüllen. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel verwenden, haben Sie eine detaillierte, prüfbare Kontrolle über den Datenzugriff. Sie können den Zugriff auf Daten sofort blockieren, indem Sie den Schlüssel deaktivieren.
Weitere Informationen	Cloud KMS – Übersicht
Artikel-ID	MVSP-CO-1.44
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-12 Zugehörige CRI-Profilsteuerungen: PR.DS-1.1