Konten ini terakhir diperbarui pada Februari 2025, dan menampilkan kondisi pada saat pembaruan tersebut dibuat. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.
Dokumen ini menjelaskan fitur dan produk yang membantu Anda mengontrol akses staf Google ke data pelanggan Anda. Sebagaimana didefinisikan dalam Google Cloud Persyaratan Layanan, data pelanggan adalah data yang diberikan pelanggan atau pengguna akhir kepada Google melalui layanan yang terkait dengan akun pelanggan.
Ringkasan akses dengan hak istimewa
Biasanya, data pelanggan Anda hanya dapat diakses oleh Anda dan layanan yang Anda aktifkan. Google CloudTerkadang, personel Google mungkin memerlukan akses ke data Anda untuk membantu menyediakan layanan yang dikontrak (misalnya, Anda memerlukan dukungan atau perlu memulihkan data dari gangguan). Jenis akses ini dikenal sebagai akses istimewa.
Karyawan dengan hak istimewa tinggi yang untuk sementara diberi atau memperoleh izin yang lebih tinggi menimbulkan risiko orang dalam yang lebih tinggi. Pendekatan kami terhadap akses istimewa berfokus pada pengurangan jumlah kemungkinan vektor serangan. Misalnya, kami menggunakan kontrol keamanan berikut:
- Skema autentikasi yang berlebihan
- Jalur akses data terbatas
- Mencatat dan mengirimkan notifikasi tindakan di seluruh sistem kami
- Izin yang diatur
Pendekatan ini membantu kami mengontrol dan mendeteksi serangan internal, membatasi dampak insiden, dan mengurangi risiko terhadap data Anda.
Strategi pengelolaan akses istimewa di Google Cloud membatasi kemampuan personel Google untuk melihat atau mengubah data pelanggan. Di Google Cloud, batas akses istimewa merupakan bagian integral dari cara kerja produk kami.
Untuk mengetahui informasi selengkapnya tentang kapan personel Google dapat mengakses data Anda, lihat Adendum Pemrosesan Data Cloud.
Filosofi akses dengan hak istimewa
Filosofi akses istimewa Google menggunakan prinsip panduan berikut:
Pembatasan akses harus didasarkan pada peran dan persetujuan multi-pihak: Personel Google ditolak akses sistemnya secara default. Jika akses diberikan, akses tersebut bersifat sementara dan tidak lebih besar dari yang diperlukan untuk menjalankan peran mereka. Akses ke data pelanggan, operasi penting pada sistem produksi, dan modifikasi kode sumber dikontrol oleh sistem verifikasi manual dan otomatis. Personel Google tidak dapat mengakses data pelanggan tanpa persetujuan dari individu lain yang menyetujui permintaan tersebut. Karyawan hanya dapat mengakses resource yang diperlukan untuk melakukan pekerjaan mereka dan harus memberikan justifikasi yang valid untuk mengakses data pelanggan. Untuk mengetahui informasi selengkapnya, lihat Cara Google melindungi layanan produksinya.
Beban kerja harus memiliki perlindungan end-to-end: Dengan enkripsi dalam transit, enkripsi saat istirahat, dan Confidential Computing untuk enkripsi yang digunakan, Google Cloud dapat memberikan enkripsi end-to-end untuk beban kerja pelanggan.
Logging dan audit dilakukan secara berkelanjutan: Akses personel Google ke data pelanggan dicatat dan sistem deteksi ancaman melakukan audit real-time, yang akan memberi tahu tim keamanan jika entri log cocok dengan indikator ancaman. Tim keamanan internal mengevaluasi pemberitahuan dan log untuk mengidentifikasi dan menyelidiki aktivitas anomali, sehingga membatasi cakupan dan dampak insiden. Untuk mengetahui informasi selengkapnya tentang respons insiden, lihat Proses respons insiden data.
Akses harus transparan dan mencakup kontrol pelanggan: Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengelola kunci enkripsi Anda sendiri dan mengontrol akses ke kunci tersebut. Selain itu, Transparansi Akses memastikan bahwa semua akses istimewa memiliki justifikasi bisnis yang dicatat dalam log. Persetujuan Akses memungkinkan Anda menyetujui atau menolak permintaan akses oleh personel Google ke set data tertentu.
Akses personel Google ke data pelanggan
Secara default, staf Google tidak memiliki akses ke data pelanggan Google Cloud .
Untuk mendapatkan akses, personel Google harus memenuhi kondisi berikut:
- Menjadi anggota daftar kontrol akses (ACL) yang relevan.
- Baca dan konfirmasi kebijakan akses data Google secara rutin.
- Gunakan perangkat tepercaya.
- Login dengan autentikasi multi-faktor menggunakan Kunci Keamanan Titan, yang meminimalkan risiko kredensial di-phishing.
- Mengakses alat yang mengevaluasi justifikasi yang diberikan (misalnya, ID masalah atau tiket dukungan), peran pengguna, dan konteks.
- Jika diperlukan oleh alat, dapatkan persetujuan otorisasi dari personel Google lain yang memenuhi syarat.
- Jika Anda telah mendaftar ke Access Approval, dapatkan persetujuan Anda.
Peran personel yang berbeda memerlukan tingkat akses yang berbeda. Misalnya, peran dukungan memiliki akses terbatas ke data pelanggan yang terkait langsung dengan tiket dukungan pelanggan. Peran engineering mungkin memerlukan hak istimewa sistem tambahan untuk mengatasi masalah yang lebih kompleks terkait keandalan layanan atau men-deploy layanan.
Saat Google bekerja sama dengan pihak ketiga (seperti vendor dukungan pelanggan) untuk menyediakan layanan Google, kami akan menilai pihak ketiga tersebut untuk memastikan bahwa mereka memberikan tingkat keamanan dan privasi yang sesuai. Google Cloud mempublikasikan daftar semua subpemroses yang digunakan untuk membantu menyediakan layanan.
Alasan personel Google mengakses data pelanggan
Meskipun Google Cloud dirancang untuk mengotomatiskan, meminimalkan, atau menghilangkan kebutuhan personel Google untuk mengakses data pelanggan, masih ada beberapa kasus di mana personel Google mungkin mengakses data pelanggan. Kasus ini mencakup dukungan yang dimulai pelanggan, gangguan atau kegagalan alat, permintaan hukum pihak ketiga, dan peninjauan yang dimulai Google.
Dukungan yang dimulai oleh pelanggan
Akses staf Google ke data pelanggan di layanan yang menggunakan Transparansi Akses biasanya merupakan hasil dari peristiwa yang dimulai pelanggan seperti menghubungi Dukungan Pelanggan. Saat Anda menghubungi staf Customer Care untuk menyelesaikan masalah, staf Customer Care hanya mendapatkan akses ke data dengan sensitivitas rendah. Misalnya, jika Anda kehilangan akses ke bucket, personel Customer Care hanya memiliki akses ke data sensitivitas rendah seperti nama bucket.
Gangguan atau kegagalan alat
Selama terjadi gangguan atau kegagalan alat, personel Google dapat mengakses data pelanggan untuk melakukan pencadangan atau pemulihan sesuai kebutuhan. Dalam situasi ini, personel Google menggunakan alat yang dapat mengakses data pelanggan secara langsung untuk memaksimalkan efisiensi dan menyelesaikan masalah dengan tepat waktu. Alat ini mencatat akses ini dan justifikasi yang diberikan oleh engineer. Akses juga diaudit dan dicatat oleh tim respons keamanan Google. Layanan Google Cloud yang didukung membuat log Transparansi Akses yang dapat Anda lihat selama terjadi gangguan. Selama gangguan, engineer tidak dapat melewati daftar yang diizinkan untuk resource; namun, mereka dapat mengakses data tanpa persetujuan Anda.
Permintaan hukum pihak ketiga
Permintaan hukum pihak ketiga jarang terjadi, dan hanya tim hukum yang dapat membuat justifikasi akses hukum yang valid. Tim hukum meninjau permintaan tersebut untuk memastikan bahwa permintaan tersebut memenuhi persyaratan hukum dan kebijakan Google, memberikan notifikasi kepada Anda jika diizinkan secara hukum, dan mempertimbangkan keberatan untuk mengungkapkan data tersebut sejauh yang diizinkan oleh hukum. Untuk mengetahui informasi selengkapnya, lihat Permintaan Pemerintah untuk Data Pelanggan Cloud (PDF).
Peninjauan yang dimulai Google
Ulasan yang dimulai Google juga jarang terjadi. Jika terjadi, hal ini untuk memastikan bahwa data pelanggan aman, terlindungi, dan tidak disusupi. Alasan utama peninjauan ini adalah masalah keamanan, penipuan, penyalahgunaan, atau audit kepatuhan. Misalnya, jika detektor penambangan bitcoin otomatis mendeteksi bahwa VM sedang digunakan untuk penambangan bitcoin, Google akan meninjau masalah tersebut dan mengonfirmasi bahwa malware di perangkat VM menghabiskan kapasitas VM. Google akan menghapus malware tersebut sehingga penggunaan VM kembali normal.
Cara Google mengontrol dan memantau akses ke data pelanggan
Kontrol internal Google mencakup hal berikut:
- Sistem kontrol di seluruh infrastruktur yang komprehensif untuk mencegah akses yang tidak sah
- Deteksi dan perbaikan akses tidak sah melalui kontrol berkelanjutan
- Pemantauan, pemberitahuan pelanggaran, dan audit rutin oleh tim audit internal dan auditor pihak ketiga independen
Untuk mempelajari lebih lanjut cara Google mengamankan infrastruktur fisik, lihat Ringkasan desain keamanan infrastruktur Google.
Kontrol di seluruh infrastruktur
Google telah membangun infrastrukturnya dengan fokus pada keamanan. Karena infrastruktur global Google cukup homogen, Google dapat menggunakan infrastruktur otomatis untuk menerapkan kontrol dan membatasi akses istimewa. Bagian berikut menjelaskan beberapa kontrol yang membantu menerapkan prinsip akses istimewa kami.
Autentikasi yang kuat untuk semua akses
Google memiliki persyaratan autentikasi yang ketat untuk akses ke data oleh pengguna (seperti karyawan) dan peran (seperti layanan). Tugas yang berjalan di lingkungan produksi kami menggunakan identitas ini untuk mengakses penyimpanan data atau metode remote procedure call (RPC) dari layanan lain. Beberapa tugas dapat dijalankan dengan identitas yang sama. Infrastruktur kami membatasi kemampuan untuk men-deploy atau mengubah tugas yang memiliki identitas tertentu bagi mereka yang bertanggung jawab untuk menjalankan layanan, umumnya Site Reliability Engineer (SRE) kami. Saat tugas dimulai, tugas tersebut akan disediakan dengan kredensial kriptografis. Tugas ini menggunakan kredensial ini untuk membuktikan identitasnya saat membuat permintaan layanan lain (menggunakan keamanan transport layer aplikasi (ALTS)).
Akses kontekstual
Untuk mencapai keamanan zero-trust, infrastruktur Google menggunakan konteks untuk mengautentikasi dan mengotorisasi pengguna dan perangkat. Keputusan akses tidak hanya didasarkan pada kredensial statis atau apakah keputusan tersebut berasal dari intranet perusahaan. Konteks lengkap permintaan (seperti identitas pengguna, lokasi, konfigurasi dan kepemilikan perangkat, serta kebijakan akses terperinci) dievaluasi untuk menentukan validitas permintaan dan perlindungannya terhadap upaya phishing dan malware pencuri kredensial.
Dengan menggunakan konteks, setiap permintaan otentikasi dan otorisasi harus menggunakan sandi yang kuat dengan token keamanan atau protokol autentikasi dua faktor lainnya. Pengguna terautentikasi dan perangkat tepercaya diberi akses sementara yang terbatas ke resource yang diperlukan. Inventaris mesin dipertahankan dengan aman dan status setiap perangkat yang terhubung (misalnya, update OS, patch keamanan, sertifikat perangkat, software yang diinstal, pemindaian virus, dan status enkripsi) dievaluasi untuk mengetahui potensi risiko keamanan.
Misalnya, Chrome Enterprise Premium membantu memastikan kredensial karyawan tidak dicuri atau disalahgunakan dan perangkat yang terhubung tidak disusupi. Dengan mengalihkan kontrol akses dari perimeter jaringan ke konteks setiap pengguna dan perangkat, Chrome Enterprise Premium juga memungkinkan personel Google bekerja dengan lebih aman dari hampir semua lokasi tanpa perlu menggunakan VPN.
Peninjauan dan otorisasi untuk semua software produksi
Infrastruktur kami dikontainerisasi menggunakan sistem pengelolaan cluster yang disebut Borg. Otorisasi Biner untuk Borg memastikan bahwa software produksi ditinjau dan disetujui sebelum di-deploy, terutama saat kode kita dapat mengakses data sensitif. Otorisasi Biner untuk Borg membantu memastikan deployment kode dan konfigurasi memenuhi standar tertentu dan memberi tahu pemilik layanan jika persyaratan ini tidak terpenuhi. Dengan mewajibkan kode untuk memenuhi standar dan praktik manajemen perubahan tertentu sebelum mengakses data pengguna, Otorisasi Biner untuk Borg mengurangi potensi staf Google (atau akun yang disusupi) bertindak sendiri untuk mengakses data pengguna secara terprogram.
Mengakses file log
Infrastruktur Google mencatat akses data dan perubahan kode. Jenis logging mencakup berikut ini:
- Log pelanggan: Tersedia menggunakan Cloud Audit Logs.
Log akses administratif: Tersedia menggunakan Transparansi Akses.
Log integritas deployment: Log internal tentang pengecualian yang dipantau oleh tim keamanan pusat yang berdedikasi untuk mengaudit akses ke data pelanggan. Pemantauan pengecualian membantu melindungi data sensitif dan meningkatkan keandalan produksi. Pemantauan pengecualian membantu memastikan bahwa kode sumber yang tidak ditinjau atau tidak dikirimkan tidak berjalan di lingkungan yang memiliki hak istimewa, baik secara tidak sengaja maupun sebagai akibat dari serangan yang disengaja.
Deteksi dan respons insiden
Untuk mendeteksi dan merespons dugaan pelanggaran akses, Google menggunakan tim investigasi internal yang ahli serta kontrol manual dan otomatis yang menggabungkan machine learning, pipeline pemrosesan data tingkat lanjut, dan insiden intelijen ancaman.
Pengembangan sinyal
Inti dari kemampuan deteksi dan respons Google adalah intelijen ancaman, yang diperkuat dengan analisis berkelanjutan terhadap insiden sebelumnya, traffic jaringan, data internal, log akses sistem, pola perilaku anomali, hasil latihan keamanan ofensif, dan banyak lagi pemberitahuan eksklusif. Data ini dianalisis oleh tim khusus yang menghasilkan database dinamis sinyal, atau indikator ancaman, yang mencakup semua produk Google. Tim engineering menggunakan indikator ancaman untuk mengembangkan sistem deteksi khusus guna memantau sistem internal untuk mendeteksi aktivitas berbahaya, memberi tahu staf yang sesuai, dan menerapkan respons otomatis (misalnya, mencabut akses ke resource).
Deteksi ancaman
Ancaman terutama dideteksi dengan memindai log dan mencocokkan entri log dengan indikator ancaman. Sebagai hasil dari autentikasi yang kuat, Google dapat membedakan antara peristiwa manusia, peristiwa layanan, dan peristiwa peniruan identitas layanan dalam log untuk memprioritaskan penyelidikan terhadap akses manusia yang sebenarnya. Aktivitas yang melibatkan akses ke data pengguna, kode sumber, dan informasi sensitif dicatat dalam log dan memerlukan justifikasi atau pengecualian bisnis. Ancaman dapat mencakup upaya individu untuk mengambil tindakan sepihak pada sistem sensitif atau upaya untuk mengakses data pengguna tanpa alasan bisnis yang valid. Jenis aktivitas ini memiliki prosedur pemberitahuan yang telah ditentukan.
Penyelidikan insiden
Jika pelanggaran kebijakan terdeteksi, tim keamanan yang terpisah dari tim engineering dan operasi inti akan memberikan pengawasan independen dan melakukan investigasi awal. Tim keamanan menyelesaikan tugas berikut:
- Tinjau detail insiden dan tentukan apakah akses dilakukan secara sengaja, tidak sengaja, tidak disengaja, disebabkan oleh bug atau kesalahan konfigurasi, atau akibat kontrol yang tidak memadai (misalnya, penyerang eksternal mencuri dan menggunakan kredensial karyawan yang akunnya disusupi).
- Jika akses tersebut tidak disengaja atau tidak sengaja (misalnya, personel Google tidak menyadari, atau secara keliru melanggar, protokol akses), tim dapat segera mengambil langkah-langkah untuk memperbaiki masalah tersebut (misalnya, dengan memulihkan kekayaan intelektual).
- Jika perilaku berbahaya dicurigai, tim keamanan akan meningkatkan insiden dan mengumpulkan informasi tambahan, termasuk log akses data dan sistem, untuk menentukan cakupan dan dampak insiden.
- Bergantung pada hasil penyelidikan tersebut, tim keamanan mengirimkan insiden untuk penyelidikan, dokumentasi, dan penyelesaian lebih lanjut, atau, dalam kasus ekstrem, merujuk insiden tersebut kepada otoritas di luar perusahaan atau penegak hukum.
Perbaikan
Tim keamanan menggunakan insiden sebelumnya untuk mengidentifikasi dan menyelesaikan kerentanan serta meningkatkan kemampuan deteksi. Semua insiden didokumentasikan dan metadata diekstrak untuk mengidentifikasi taktik, teknik, dan prosedur tertentu untuk setiap eksploitasi. Tim menggunakan data tersebut untuk mengembangkan indikator ancaman baru, memperkuat perlindungan yang ada, atau membuat permintaan fitur untuk peningkatan keamanan.
Layanan yang memantau dan mengontrol akses Google ke data
Layanan berikut memberi Anda opsi untuk mendapatkan visibilitas dan kontrol atas akses Google ke data Anda. Google Cloud
| Google Cloud layanan | Deskripsi |
|---|---|
Access Approval |
Jika Anda memiliki data yang sangat sensitif atau dibatasi, Persetujuan Akses memungkinkan Anda mewajibkan persetujuan Anda sebelum administrator Google yang berwenang dapat mengakses data Anda untuk memberikan dukungan. Permintaan akses yang disetujui dicatat dengan log Transparansi Akses yang ditautkan ke permintaan persetujuan. Setelah Anda menyetujui permintaan, akses harus memiliki hak istimewa yang tepat dalam Google sebelum akses diizinkan. Untuk mengetahui daftar Google Cloud layanan yang mendukung Persetujuan Akses, lihat Layanan yang didukung. |
Transparansi Akses |
Log Transparansi Akses mencatat akses administratif oleh personel resmi Google saat mereka mendukung organisasi Anda atau menjaga ketersediaan layanan. Untuk mengetahui daftar layanan yang mendukung Transparansi Akses, lihat Layanan yang didukung. Google Cloud |
Assured Workloads |
Gunakan Assured Workloads jika perusahaan Anda memerlukan dukungan regional khusus, program peraturan bersertifikasi (misalnya, FedRAMP atau ITAR), atau program seperti Kontrol Berdaulat untuk Uni Eropa. Assured Workloads menyediakan alur kerja pengaktifan bagi pengguna untuk membuat dan memantau masa aktif paket kontrol yang Anda perlukan. Google Cloud |
Cloud KMS |
Gunakan Cloud KMS dengan Cloud EKM untuk mengontrol kunci enkripsi Anda. Cloud KMS dengan Cloud EKM memungkinkan Anda mengenkripsi data dengan kunci enkripsi yang disimpan dan dikelola dalam sistem pengelolaan kunci pihak ketiga yang di-deploy di luar infrastruktur Google. Dengan Cloud EKM, Anda dapat mempertahankan pemisahan antara data dalam penyimpanan dan kunci enkripsi sambil tetap menggunakan keefektifan komputasi dan analisis cloud. |
Confidential Computing |
Gunakan Confidential Computing untuk mengenkripsi data aktif. Google Cloud mencakup layanan berikut yang memungkinkan confidential computing:
Layanan ini memungkinkan Anda mengurangi batas kepercayaan sehingga lebih sedikit resource yang memiliki akses ke data rahasia Anda. Untuk mengetahui informasi selengkapnya, lihat Menerapkan Confidential Computing di Google Cloud. |
Justifikasi Akses KunciKey Access Justifications |
Gunakan Key Access Justifications untuk kedaulatan dan penemuan data. Key Access Justifications memberi Anda justifikasi setiap kali kunci yang dihosting secara eksternal digunakan untuk mendekripsi data. Key Access Justifications memerlukan Cloud KMS dengan Cloud HSM atau Cloud KMS dengan Cloud EKM untuk meningkatkan kontrol atas data Anda. Anda harus menyetujui akses sebelum personel Google dapat mendekripsi data Anda saat disimpan. |
Langkah berikutnya
- Untuk mengetahui lebih lanjut komitmen kami dalam melindungi privasi data pelanggan, lihat Google Cloud dan prinsip privasi umum.
Untuk mempelajari prinsip inti kontrol yang mencegah akses administratif yang tidak sah, lihat Ringkasan kontrol akses administratif.
Untuk melihat daftar justifikasi bisnis yang memungkinkan personel Google meminta akses ke data pelanggan, lihat Kode alasan justifikasi.