本文上次更新於 2025 年 2 月,內容反映截至撰文時的情況。我們會持續改善客戶保護措施,因此安全性政策和系統日後可能會有所變動。
這份文件說明相關功能和產品,可協助您控管 Google 員工對您客戶資料的存取權。如Google Cloud 服務條款所定義,「客戶資料」是指客戶或使用者透過帳戶下的服務提供給 Google 的資料。
特殊存取權總覽
一般來說,只有您和您啟用的服務可以存取客戶資料。 Google Cloud在某些情況下,Google 人員可能需要存取您的資料,才能提供合約服務 (例如您需要支援或從服務中斷狀態復原)。這類存取權稱為「特殊權限」。
暫時獲得或取得進階權限的高權限員工,會帶來較高的內部風險。我們採取特權存取方法,目的是減少可能的攻擊途徑。舉例來說,我們採用下列安全控管措施:
- 多餘的驗證配置
- 資料存取權途徑有限
- 記錄及警告系統中的動作
- 受管制權限
這種做法有助於控管及偵測內部攻擊、限制事件影響,並降低資料風險。
Google Cloud 中的高權限存取管理策略會限制 Google 員工查看或修改客戶資料的能力。在 Google Cloud,限制具備特殊權限的存取權是產品設計運作方式不可或缺的一環。
如要進一步瞭解 Google 人員可能存取您資料的情況,請參閱《Cloud 資料處理附加條款》。
特殊存取權哲學
Google 的特殊存取權哲學採用下列指導原則:
存取限制必須以角色和多方核准機制為依據: 根據預設,Google 人員無法存取系統。獲得的存取權是暫時性的,且不會超出執行角色所需的範圍。存取客戶資料、對正式環境系統執行重要作業,以及修改原始碼,都受到手動和自動驗證系統控管。如果沒有其他人員核准要求,Google 人員就無法存取客戶資料。人員只能存取工作所需的資源,且必須提供正當理由才能存取客戶資料。詳情請參閱「Google 如何保護自家正式版服務」。
工作負載必須具備端對端保護機制:透過傳輸中加密、靜態資料加密,以及機密運算的加密功能, Google Cloud 可為客戶工作負載提供端對端加密。
持續記錄和稽核:系統會記錄 Google 員工存取客戶資料的行為,威脅偵測系統則會進行即時稽核,並在記錄項目符合威脅指標時,向安全團隊發出快訊。內部安全團隊會評估快訊和記錄,找出並調查異常活動,以限制任何事件的範圍和影響。如要進一步瞭解事件應變,請參閱「資料事件應變程序」。
存取權必須公開透明,且包含客戶控管機制:您可以使用客戶自行管理的加密金鑰 (CMEK) 管理自己的加密金鑰,並控管金鑰存取權。此外,資料存取透明化控管機制可確保所有特殊存取權限都有記錄在案的業務理由。存取權核准功能可讓您核准或拒絕 Google 人員對特定資料集的存取要求。
Google 員工存取客戶資料
根據預設,Google 人員無法存取 Google Cloud 客戶資料。
如要取得存取權,Google 員工必須符合下列條件:
- 成為相關存取控制清單 (ACL) 的成員。
- 定期詳閱並確認瞭解 Google 的資料存取權政策。
- 使用信任的裝置。
- 使用 Titan 安全金鑰登入,並啟用多重驗證,盡量降低憑證遭網路釣魚的風險。
- 存取評估所提供理由的工具 (例如支援單或問題 ID)、使用者角色和背景資訊。
- 如果工具要求,請向其他符合資格的 Google 員工取得授權核准。
- 如果您已註冊 Access Approval,請取得核准。
不同的人員角色需要不同層級的存取權。舉例來說,支援角色只能存取與客戶服務單直接相關的客戶資料。工程師角色可能需要額外的系統權限,才能解決與服務可靠性或部署服務相關的複雜問題。
當 Google 與第三方 (例如客戶服務供應商) 合作提供 Google 服務時,我們會評估第三方,確保對方能提供適當的安全性與隱私權防護層級。 Google Cloud 會發布所有次級處理者的清單,這些次級處理者會協助提供服務。
Google 員工存取客戶資料的原因
雖然 Google Cloud 的設計宗旨是自動化、減少或免除 Google 員工存取客戶資料的需求,但仍有部分情況下,Google 員工可能會存取客戶資料。包括客戶發起的支援要求、服務中斷或工具故障、第三方法律要求,以及 Google 發起的審查。
客戶發起的支援要求
如果服務使用資料存取透明化控管機制,Google 人員通常會因為客戶採取某些動作而存取客戶資料,例如聯絡客戶服務團隊。當您聯絡客戶服務人員解決問題時,他們只會取得機密程度低的資料存取權。舉例來說,如果您無法存取 bucket,客戶服務人員只能存取機密程度低的資料,例如 bucket 名稱。
服務中斷或工具故障
發生服務中斷或工具故障時,Google 人員可以存取客戶資料,視需要執行備份或復原作業。在這些情況下,Google 人員會使用可直接存取客戶資料的工具,盡可能提高效率並及時解決問題。這些工具會記錄這類存取行為,以及工程師提供的理由。Google 安全應變團隊也會稽核及記錄存取作業。支援的 Google Cloud服務會在服務中斷期間產生資料存取透明化控管機制記錄,供您查看。發生服務中斷時,工程師無法略過資源的許可清單,但他們可以未經您核准就存取資料。
第三方法律案件申請
第三方法律要求很少,只有法律團隊可以提出有效的法律存取理由。法律團隊會審查要求,確保符合法律規定和 Google 政策,並在法律允許的情況下通知您,以及在法律允許的範圍內考慮反對揭露資料的要求。詳情請參閱「政府提出的 Cloud 客戶資料要求 (PDF)」。
Google 發起的審查要求
Google 發起的審查要求也很少見。一旦發生這類事件,他們必須確保客戶資料安全無虞,且未遭盜用。這些審查的主要原因包括安全疑慮、詐欺、濫用或法規遵循稽核。舉例來說,如果自動比特幣挖礦偵測器偵測到 VM 用於比特幣挖礦,Google 會審查問題,並確認 VM 裝置上的惡意軟體耗盡 VM 容量。Google 會移除惡意軟體,讓 VM 恢復正常運作。
Google 如何控管及監控客戶資料存取權
Google 的內部控制項包括:
- 全基礎架構適用的控管系統,可防止未經授權的存取行為
- 透過持續控管機制偵測及修正未經授權的存取行為
- 內部稽核團隊和獨立第三方稽核員會進行監控、違規警示和定期稽核
如要進一步瞭解 Google 如何保護實體基礎架構安全,請參閱 Google 基礎架構安全性設計總覽。
基礎架構層級控制項
Google 的基礎架構以安全為核心建構而成,由於 Google 的全球基礎架構相當同質,因此 Google 可以使用自動化基礎架構來實作控管措施,並限制具備特殊權限的存取權。以下各節說明有助於落實權限存取原則的控管措施。
所有存取權都需通過高強度驗證
Google 對使用者 (例如員工) 和角色 (例如服務) 的資料存取權設有嚴格的驗證規定。在生產環境中執行的工作會使用這些身分,存取其他服務的資料儲存庫或遠端程序呼叫 (RPC) 方法。多項工作可以使用同一身分執行。我們的基礎架構會限制只有負責執行服務的人員,才能部署或修改具有特定身分的工作,這類人員通常是我們的網站可靠性工程師 (SRE)。工作啟動時,系統會為工作佈建密碼編譯憑證。工作透過應用程式層傳輸安全性機制 (ALTS) 對其他服務發出要求時,會使用這些憑證來證明身分。
情境感知存取權
為實現零信任安全,Google 的基礎架構會使用情境資訊驗證使用者和裝置,並授權存取權。存取權的授予過程不會單純取決於靜態憑證或是否源自於公司內部網路,系統會評估該項要求的完整情境 (例如使用者身分、位置、裝置所有權和設定,以及精細的存取政策),以確定要求的有效性,並且防範網路釣魚和竊取憑證的惡意軟體。
使用環境資訊時,每次驗證和授權要求都必須使用安全權杖或其他雙重驗證通訊協定,搭配高強度密碼。通過身分驗證的使用者和信任的裝置可獲得必要資源的臨時存取權,但權限有限。安全地維護機器清單,並評估每個連線裝置的狀態 (例如 OS 更新、安全性修補程式、裝置憑證、已安裝的軟體、病毒掃描和加密狀態),找出潛在的安全風險。
舉例來說,Chrome Enterprise 進階版可確保員工憑證不會遭竊或濫用,連線裝置也不會遭到入侵。Chrome Enterprise 進階版可將存取權控管設定從網路邊界移轉至個別使用者與裝置的情境,讓 Google 員工從幾乎任何位置都能安全地工作,不必使用 VPN。
審查並授權所有製作軟體
我們的基礎架構使用名為 Borg 的叢集管理系統實現了容器化管理。Borg 的二進位授權可確保實際工作環境軟體在部署前經過審查和核准,特別是當我們的程式碼可存取機密資料時。Borg 適用的二進位授權可確保程式碼和設定部署作業符合特定標準,並在不符合這些要求時,向服務負責人發出快訊。Borg 適用的二進位授權可要求程式碼必須符合特定標準和變更管理做法,才能存取使用者資料,藉此防範 Google 員工 (或遭盜用的帳戶) 逕自透過程式存取使用者資料。
存取記錄檔
Google 基礎架構會記錄資料存取和程式碼變更。記錄類型包括:
- 客戶記錄:可透過 Cloud 稽核記錄取得。
管理員存取記錄:可透過資料存取透明化控管機制取得。
部署完整性記錄:內部記錄,記錄由專責稽核客戶資料存取權的中央安全團隊監控的例外狀況。例外狀況監控有助於保護私密資料,並提升生產可靠性。例外狀況監控有助於確保未審查或未提交的原始碼不會在具備權限的環境中執行,無論是意外或蓄意攻擊所致。
事件偵測與應變
為偵測及回應疑似違規存取行為,Google 會運用內部專家調查團隊,以及結合機器學習、進階資料處理管道和威脅情報事件的手動和自動化控制項。
信號開發
Google 偵測和回應功能的核心是威脅情報,我們會持續分析過往事件、網路流量、內部資料、系統存取記錄、異常行為模式、攻擊性安全演練結果,以及許多專屬警報,藉此強化威脅情報。這項資料會由專責團隊分析,產生動態信號資料庫或威脅指標,涵蓋所有 Google 服務。工程團隊會使用威脅指標開發專門的偵測系統,監控內部系統的惡意活動、向適當人員發出警報,並實作自動化回應 (例如撤銷資源存取權)。
威脅偵測
系統主要會掃描記錄,並將記錄項目與威脅指標比對,藉此偵測威脅。透過嚴格的驗證機制,Google 可以在記錄中區分人為事件、服務事件和服務冒用事件,優先調查實際的人為存取行為。凡是涉及存取使用者資料、原始碼和私密資訊的活動,都會記錄在記錄檔中,且必須提供正當業務理由或例外情況。威脅可能包括個人試圖對機密系統採取單方面行動,或試圖在沒有正當業務理由的情況下存取使用者資料。這類活動已定義快訊程序。
事件調查
偵測到違規行為時,與核心工程和營運團隊分開的資安團隊會提供獨立監督,並進行初步調查。安全團隊會完成下列工作:
- 查看事件詳細資料,判斷存取行為是刻意、無意、意外、因錯誤或設定有誤而發生,還是因控管措施不足所致 (例如外部攻擊者竊取並使用遭入侵員工的憑證)。
- 如果存取行為是無意或意外 (例如 Google 人員不知情或誤觸存取通訊協定),團隊可以立即採取補救措施 (例如復原智慧財產)。
- 如果懷疑有惡意行為,安全團隊會提報事件並收集額外資訊,包括資料和系統存取記錄,以判斷事件的範圍和影響。
- 視調查結果而定,安全團隊會提交事件以供進一步調查、記錄和解決,或在極端情況下,將事件轉介給外部機構或執法機關。
修復
資安團隊會根據過去的事件找出並解決安全漏洞,並提升偵測能力。所有事件都會記錄下來,並擷取中繼資料,以找出每項攻擊所用的特定戰術、技術和程序。團隊會使用這些資料開發新的威脅指標、強化現有防護措施,或要求改善安全功能。
監控及控管 Google 資料存取權的服務
下列 Google Cloud 服務提供多種選項,可讓您掌握及控管 Google 對您資料的存取權。
| Google Cloud 服務 | 說明 |
|---|---|
存取權核准 |
如果您有高度機密或受限的資料,可以透過「存取權核准」功能,要求授權的 Google 管理員必須先獲得您的核准,才能存取資料以提供支援。核准的存取要求會記錄在與核准要求連結的資料存取透明化控管機制記錄中。核准要求後,您必須在 Google 內取得適當的存取權,才能獲准存取。如要查看支援 Access Approval 的Google Cloud 服務清單,請參閱「支援的服務」。 |
資料存取透明化控管機制 |
Google 授權人員在為貴機構提供支援或維護服務可用性時,資料存取透明化控管機制會記錄管理員存取權。如要查看支援資料存取透明化控管機制的 Google Cloud 服務清單,請參閱「支援的服務」。 |
Assured Workloads |
如果貴企業需要專屬的區域支援、通過認證的監管計畫 (例如 FedRAMP 或 ITAR),或是歐盟適用的 Sovereign Controls 等計畫,請使用 Assured Workloads。Assured Workloads 提供 Google Cloud 啟用工作流程,可供使用者建立及監控所需控制套件的生命週期。 |
Cloud KMS |
透過 Cloud EKM 使用 Cloud KMS 控制加密金鑰。透過 Cloud KMS 和 Cloud EKM,您可以使用在 Google 基礎架構外部署的第三方金鑰管理系統所儲存及管理的加密金鑰,對資料進行加密。Cloud EKM 可讓您妥善分隔靜態資料與加密金鑰,同時運用雲端技術進行資料運算及數據分析。 |
機密運算 |
使用機密運算技術加密使用中的資料。 Google Cloud 包括下列可啟用機密運算的服務:
這些服務可讓您縮小信任邊界,減少可存取機密資料的資源。詳情請參閱「在 Google Cloud上實作機密運算」。 |
金鑰存取依據 |
使用金鑰存取依據,確保資料主權和探索。 每次使用外部託管金鑰解密資料時,「金鑰存取依據」都會提供原因說明。如要進一步控管資料,金鑰存取依據必須搭配使用 Cloud KMS (含 Cloud HSM) 或 Cloud KMS (含 Cloud EKM)。您必須先核准存取權,Google 人員才能解密靜態資料。 |
後續步驟
- 如要進一步瞭解我們保護客戶資料隱私權的承諾,請參閱Google Cloud 和常見隱私權原則。
如要瞭解可防止未經授權的管理員權限的核心控管原則,請參閱管理員權限存取控管總覽。
如要查看 Google 人員可要求存取客戶資料的業務理由清單,請參閱「正當理由代碼」。