資料保護指南

以下最低可行安全平台指南符合資料保護支柱。

基本等級規範

請先實施下列資料保護指南。

項目

使用統一值區層級存取權

說明

storage.uniformBucketLevelAccess 布林限制規定值區必須採用統一值區層級存取權。統一 bucket 層級存取權可讓您只使用 bucket 層級的身分與存取權管理 (IAM) 權限,授予 Cloud Storage 資源的存取權。

使用兩個不同且衝突的系統來管理儲存空間值區的權限,不僅複雜,也是造成資料意外外洩的常見原因。這項設定會關閉舊版系統 (存取控制清單或 ACL),並將現代化的集中式系統 (IAM) 設為所有權限的單一可靠資料來源。

相關資訊
項目 ID MVSP-CO-1.42
對應

相關的 NIST-800-53 控制項:

  • AC-3
  • AC-17
  • AC-20

相關的 CRI 設定檔控制項:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制項:

項目

限制 Cloud SQL 公開 IP 位址

說明

設定constraints/sql.restrictPublicIp機構政策限制,避免 Cloud SQL 擁有公開 IP 位址,直接暴露在網際網路上。一般來說,資料庫不會直接暴露在網路上。

禁止使用公開 IP 位址,可避免資料庫取得公開 IP 位址,確保資料庫為私人資料庫,且只能從受信任的內部應用程式存取。

相關資訊
項目 ID MVSP-CO-1.45
對應

相關的 NIST-800-53 控制項:

  • SC-7

相關的 CRI 設定檔控制項:

  • PR.AC-3.1

Compliance Manager 控制項:

中階指南

實作基本規範後,請實作下列資料保護規範。

項目

禁止公開存取 Cloud Storage bucket

說明

storage.publicAccessPrevention 布林值限制可防止未經授權的公開來源存取儲存空間 bucket。這項功能會停用並封鎖存取控制清單 (ACL) 和 Identity and Access Management (IAM) 權限,禁止存取 allUsersallAuthenticatedUsers。這項限制會做為機構全域的安全網,主動封鎖任何會讓值區可公開存取的設定。

相關資訊
項目 ID MVSP-CO-1-43
對應

相關的 NIST-800-53 控制項:

  • AC-3
  • AC-17
  • AC-20

相關的 CRI 設定檔控制項:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Compliance Manager 控制項:

項目

確保 BigQuery 資料集未設為可公開讀取,也不會設為 allAuthenticatedUsers

說明

除非資料集本來就打算公開,否則請確保 BigQuery 沒有開放公眾存取的資料集。BigQuery 中的資料集通常含有私密資料。

只允許特定使用者存取 BigQuery 資料集中的資訊。如要設定這項保護措施,請務必設定詳細角色。

檢查資料集存取權有助於確保資料不會在無意間暴露於網路上。

相關資訊
項目 ID MVSP-CO-1.46
對應

相關的 NIST-800-53 控制項:

  • AC-3
  • AC-12
  • AC-17
  • AC-20

相關的 CRI 設定檔控制項:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1

Compliance Manager 控制項:

進階等級指南

實施中階規範後,請實施下列資料保護規範。

項目

建立受管理加密策略

說明

使用 Cloud Key Management Service (Cloud KMS) 和 Autokey、Cloud External Key Manager (Cloud EKM) 或兩者,建立加密管理策略。這項策略可讓貴機構使用及管理自己的加密金鑰,以符合特定需求。使用自己的加密金鑰可精細控管資料存取權,並進行稽核,包括停用金鑰來立即封鎖資料存取權。

相關資訊
項目 ID MVSP-CO-1.44
對應

相關的 NIST-800-53 控制項:

  • SC-12

相關的 CRI 設定檔控制項:

  • PR.DS-1.1

後續步驟