数据保护准则

以下最低要求的可行安全平台准则与数据保护支柱保持一致。

基本级别准则

请先实施以下数据保护准则。

推荐项

使用统一存储桶级访问权限

说明

storage.uniformBucketLevelAccess 布尔值限制条件要求存储桶使用统一的存储桶级访问权限。借助统一存储桶级访问权限,您只能使用存储桶级 Identity and Access Management (IAM) 权限来授予对 Cloud Storage 资源的访问权限。

使用两个不同的冲突系统来管理存储分区的权限非常复杂,并且是意外数据泄露的常见原因。此设置会关闭旧版系统(访问权限控制列表,或 ACL),并使现代化的集中式系统 (IAM) 成为所有权限的唯一可靠来源。

相关信息
商品 ID MVSP-CO-1.42
映射

相关 NIST-800-53 控制:

  • AC-3
  • AC-17
  • AC-20

相关 CRI 配置文件控制措施:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制:

推荐项

限制 Cloud SQL 公共 IP 地址

说明

通过设置 constraints/sql.restrictPublicIp 组织政策限制条件,防止 Cloud SQL 拥有公共 IP 地址并直接暴露于互联网。通常,数据库不会直接暴露于互联网。

防止公共 IP 地址有助于防止数据库获取公共 IP 地址,确保数据库是私有的,并且只能从受信任的内部应用访问。

相关信息
商品 ID MVSP-CO-1.45
映射

相关 NIST-800-53 控制:

  • SC-7

相关 CRI 配置文件控制措施:

  • PR.AC-3.1

Compliance Manager 控制:

中级级别准则

实施基本准则后,请实施以下数据保护准则。

推荐项

禁止公开访问 Cloud Storage 存储分区

说明

storage.publicAccessPrevention 布尔值限制条件可防止未经身份验证的公共来源访问存储分区。它会停用和屏蔽访问权限控制列表 (ACL) 和 Identity and Access Management (IAM) 权限,这些权限会授予对 allUsersallAuthenticatedUsers 的访问权限。此限制条件充当组织范围内的安全网,可主动阻止任何会使存储桶公开访问的设置。

相关信息
商品 ID MVSP-CO-1-43
映射

相关 NIST-800-53 控制:

  • AC-3
  • AC-17
  • AC-20

相关 CRI 配置文件控制措施:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制:

推荐项

确保 BigQuery 数据集不可公开读取或未设置为 allAuthenticatedUsers

说明

确保 BigQuery 没有开放公开访问的数据集,除非数据集旨在公开。BigQuery 中的数据集通常包含敏感数据。

仅限特定用户可以访问 BigQuery 数据集中的信息。如需配置此保护,您必须设置详细的角色。

查看数据集访问权限有助于确保您不会无意中将数据暴露给互联网。

相关信息
商品 ID MVSP-CO-1.46
映射

相关 NIST-800-53 控制:

  • AC-3
  • AC-12
  • AC-17
  • AC-20

相关 CRI 配置文件控制措施:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1

Compliance Manager 控制:

高级级别准则

实施中级准则后,请实施以下数据保护准则。

推荐项

创建托管加密策略

说明

使用 Cloud Key Management Service (Cloud KMS) 和 Autokey、Cloud External Key Manager (Cloud EKM) 或两者来创建加密管理策略。借助此策略,您的组织可以使用和管理自己的加密密钥,以满足您的特定要求。使用您自己的加密密钥可以对数据访问进行精细的、可审核的控制,包括能够通过停用密钥立即阻止对数据的访问。

相关信息
商品 ID MVSP-CO-1.44
映射

相关 NIST-800-53 控制:

  • SC-12

相关 CRI 配置文件控制措施:

  • PR.DS-1.1

后续步骤