以下最低要求的可行安全平台准则与数据保护支柱保持一致。
基本级别准则
请先实施以下数据保护准则。
| 推荐项 | 使用统一存储桶级访问权限 |
|---|---|
| 说明 |
使用两个不同的冲突系统来管理存储分区的权限非常复杂,并且是意外数据泄露的常见原因。此设置会关闭旧版系统(访问权限控制列表,或 ACL),并使现代化的集中式系统 (IAM) 成为所有权限的唯一可靠来源。 |
| 相关信息 | |
| 商品 ID | MVSP-CO-1.42 |
| 映射 |
相关 NIST-800-53 控制:
相关 CRI 配置文件控制措施:
Compliance Manager 控制: |
| 推荐项 | 限制 Cloud SQL 公共 IP 地址 |
|---|---|
| 说明 | 通过设置 防止公共 IP 地址有助于防止数据库获取公共 IP 地址,确保数据库是私有的,并且只能从受信任的内部应用访问。 |
| 相关信息 | |
| 商品 ID | MVSP-CO-1.45 |
| 映射 |
相关 NIST-800-53 控制:
相关 CRI 配置文件控制措施:
Compliance Manager 控制: |
中级级别准则
实施基本准则后,请实施以下数据保护准则。
| 推荐项 | 禁止公开访问 Cloud Storage 存储分区 |
|---|---|
| 说明 |
|
| 相关信息 | |
| 商品 ID | MVSP-CO-1-43 |
| 映射 |
相关 NIST-800-53 控制:
相关 CRI 配置文件控制措施:
Compliance Manager 控制: |
| 推荐项 | 确保 BigQuery 数据集不可公开读取或未设置为 allAuthenticatedUsers |
|---|---|
| 说明 | 确保 BigQuery 没有开放公开访问的数据集,除非数据集旨在公开。BigQuery 中的数据集通常包含敏感数据。 仅限特定用户可以访问 BigQuery 数据集中的信息。如需配置此保护,您必须设置详细的角色。 查看数据集访问权限有助于确保您不会无意中将数据暴露给互联网。 |
| 相关信息 | |
| 商品 ID | MVSP-CO-1.46 |
| 映射 |
相关 NIST-800-53 控制:
相关 CRI 配置文件控制措施:
Compliance Manager 控制: |
高级级别准则
实施中级准则后,请实施以下数据保护准则。
| 推荐项 | 创建托管加密策略 |
|---|---|
| 说明 | 使用 Cloud Key Management Service (Cloud KMS) 和 Autokey、Cloud External Key Manager (Cloud EKM) 或两者来创建加密管理策略。借助此策略,您的组织可以使用和管理自己的加密密钥,以满足您的特定要求。使用您自己的加密密钥可以对数据访问进行精细的、可审核的控制,包括能够通过停用密钥立即阻止对数据的访问。 |
| 相关信息 | |
| 商品 ID | MVSP-CO-1.44 |
| 映射 |
相关 NIST-800-53 控制:
相关 CRI 配置文件控制措施:
|