資料保護指南

下列最低可行安全平台指南符合資料保護支柱。

基本等級規範

請先實施下列資料保護指南。

項目

使用統一值區層級存取權
說明

storage.uniformBucketLevelAccess 布林限制規定值區必須使用統一值區層級存取權。統一 bucket 層級存取權可讓您只使用 bucket 層級的身分與存取權管理 (IAM) 權限,授予 Cloud Storage 資源的存取權。

使用兩個不同且衝突的系統來管理儲存空間值區的權限,不僅複雜,也是造成資料意外外洩的常見原因。這項設定會關閉舊版系統 (存取控制清單或 ACL),並將現代化的集中式系統 (IAM) 設為所有權限的單一可靠資料來源。
相關資訊
項目 ID MVSP-CO-1.42
對應

相關的 NIST-800-53 控制項:

  • AC-3
  • AC-17
  • AC-20

相關的 CRI 設定檔控制項:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制項:
項目

限制 Cloud SQL 公開 IP 位址
說明

設定constraints/sql.restrictPublicIp機構政策限制,避免 Cloud SQL 擁有公開 IP 位址,直接暴露在網際網路上。一般來說,資料庫不會直接暴露在網路上。

防止資料庫取得公開 IP 位址,確保資料庫為私人資料庫,且只能從受信任的內部應用程式存取。
相關資訊
項目 ID MVSP-CO-1.45
對應

相關的 NIST-800-53 控制項:

  • SC-7

相關的 CRI 設定檔控制項:

  • PR.AC-3.1

Compliance Manager 控制項:

中階指南

實施基本守則後,請實施下列資料保護守則。

項目

禁止公開存取 Cloud Storage bucket
說明

storage.publicAccessPrevention 布林值限制可防止未經驗證的公開來源存取儲存空間 bucket。這項功能會停用並封鎖存取控制清單 (ACL) 和 Identity and Access Management (IAM) 權限,禁止存取 allUsersallAuthenticatedUsers。這項限制會做為機構層級的安全網,主動封鎖任何會讓值區可公開存取的設定。
相關資訊
項目 ID MVSP-CO-1-43
對應

相關的 NIST-800-53 控制項:

  • AC-3
  • AC-17
  • AC-20

相關的 CRI 設定檔控制項:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制項:
項目

查看 BigQuery 資料集存取權
說明

確認 BigQuery 沒有開放公眾存取的資料集 (除非資料集本來就打算公開)。BigQuery 中的資料集通常含有私密資料。

檢查資料集存取權可確保您不會意外或無意間將資料暴露於網際網路。
相關資訊
項目 ID MVSP-CO-1.46
對應

相關的 NIST-800-53 控制項:

  • AC-3

相關的 CRI 設定檔控制項:

  • PR.AC-3.1

Compliance Manager 控制項:

進階等級規範

實施中階規範後,請實施下列資料保護規範。

項目

建立受管理加密策略
說明

使用 Autokey、Cloud External Key Manager (Cloud EKM) 或兩者搭配 Cloud Key Management Service (Cloud KMS),建立加密管理策略。這項策略可讓貴機構使用及管理自己的加密金鑰,以符合特定需求。使用自己的加密金鑰可精細控管資料存取權,並進行稽核,包括停用金鑰來立即封鎖資料存取權。
相關資訊
項目 ID MVSP-CO-1.44
對應

相關的 NIST-800-53 控制項:

  • SC-12

相關的 CRI 設定檔控制項:

  • PR.DS-1.1

後續步驟