Kontrol pengelolaan data

Dokumen ini mencakup praktik terbaik dan panduan untuk sistem pengelolaan data saat menjalankan workload di Google Cloud.

Sistem pengelolaan data seperti BigQuery dan Cloud Storage memungkinkan Anda menyimpan data yang diperlukan untuk alur kerja, termasuk data pelatihan, artefak model, dan data produksi.

Kontrol umum

Kontrol ini berlaku untuk semua sistem pengelolaan data.

Mengaktifkan Sensitive Data Protection untuk inspeksi data

ID kontrol Google COM-CO-5.1
Penerapan Disarankan
Deskripsi

Google Cloud merekomendasikan penggunaan Sensitive Data Protection. InfoType atau template tugas yang Anda pilih bergantung pada sistem tertentu Anda.

Produk yang berlaku

Sensitive Data Protection

Kontrol NIST-800-53 terkait
  • SI-4
  • IA-7
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
Informasi terkait

Kontrol data warehouse

Kontrol ini berlaku untuk BigQuery.

Pastikan set data BigQuery tidak dapat dibaca secara publik atau disetel ke allAuthenticatedUsers

ID kontrol Google BQ-CO-6.1
Penerapan Wajib
Deskripsi

Pastikan BigQuery tidak memiliki set data yang terbuka untuk akses publik, kecuali jika set data tersebut dimaksudkan untuk bersifat publik. Set data di BigQuery sering kali berisi data sensitif.

Membatasi akses ke informasi dalam set data BigQuery hanya untuk pengguna tertentu. Untuk mengonfigurasi perlindungan ini, Anda harus menyiapkan peran yang terperinci.

Meninjau akses set data membantu Anda memastikan bahwa Anda tidak secara tidak sengaja mengekspos data ke internet.

Produk yang berlaku
  • Organization Policy Service
  • BigQuery
  • Identity and Access Management (IAM)
Jalur cloudasset.assets/assetType
Operator ==
Nilai

bigquery.googleapis.com/Dataset

Jenis String
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Pastikan tabel BigQuery tidak dapat dibaca secara publik atau disetel ke allAuthenticatedUsers

ID kontrol Google BQ-CO-6.2
Penerapan Wajib
Deskripsi

Membatasi akses ke informasi dalam tabel BigQuery hanya untuk pengguna tertentu. Untuk mengonfigurasi perlindungan ini, Anda harus menyiapkan peran yang terperinci.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • BigQuery
Jalur cloudasset.assets/iamPolicy.bindings.members
Operator anyof
Nilai
  • allUsers
  • allAuthenticatedUsers
Jenis String
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Enkripsi nilai individual dalam tabel BigQuery

ID kontrol Google BQ-CO-6.3
Penerapan Opsional
Deskripsi

Jika organisasi Anda mengharuskan Anda mengenkripsi setiap nilai dalam tabel BigQuery, gunakan fungsi enkripsi Authenticated Encryption with Associated Data (AEAD).

Produk yang berlaku

BigQuery

Kontrol NIST-800-53 terkait
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-5.1
Informasi terkait

Menggunakan tampilan resmi untuk set data BigQuery

ID kontrol Google BQ-CO-6.4
Penerapan Opsional
Deskripsi

Tampilan yang diotorisasi memungkinkan Anda membagikan subset data dalam set data kepada pengguna tertentu. Misalnya, tampilan yang diotorisasi memungkinkan Anda membagikan hasil kueri dengan pengguna dan grup tertentu tanpa memberi mereka akses ke data sumber yang mendasarinya.

Produk yang berlaku

BigQuery

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Menggunakan keamanan tingkat kolom BigQuery

ID kontrol Google BQ-CO-6.5
Penerapan Opsional
Deskripsi

Gunakan keamanan tingkat kolom BigQuery untuk membuat kebijakan yang memeriksa apakah pengguna memiliki akses yang tepat pada waktu kueri. BigQuery menyediakan akses yang lebih terperinci ke kolom sensitif menggunakan tag kebijakan atau klasifikasi data berbasis jenis.

Produk yang berlaku

BigQuery

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Menggunakan keamanan tingkat baris BigQuery

ID kontrol Google BQ-CO-6.6
Penerapan Opsional
Deskripsi

Gunakan keamanan tingkat baris dan kebijakan akses untuk mengaktifkan kontrol akses terperinci ke subset data dalam tabel BigQuery.

Produk yang berlaku

BigQuery

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Menggunakan diagram resource BigQuery

ID kontrol Google BQ-CO-7.1
Penerapan Opsional
Deskripsi

Diagram resource BigQuery memungkinkan administrator BigQuery mengamati performa kueri serta cara organisasi, folder, atau pemesanan menggunakan slot BigQuery.

Produk yang berlaku

BigQuery

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Kontrol penyimpanan

Kontrol ini berlaku untuk Cloud Storage.

Memblokir akses publik ke bucket Cloud Storage

ID kontrol Google GCS-CO-4.1
Penerapan Wajib
Deskripsi

Batasan boolean storage.publicAccessPrevention mencegah bucket penyimpanan diakses dari sumber publik tanpa autentikasi. Fitur ini menonaktifkan dan memblokir daftar kontrol akses (ACL) dan izin Identity and Access Management (IAM) yang memberikan akses ke allUsers dan allAuthenticatedUsers. Batasan ini berfungsi sebagai jaring pengaman di seluruh organisasi yang secara aktif memblokir setelan apa pun yang akan membuat bucket dapat diakses publik.

Produk yang berlaku
  • Organization Policy Service
  • Cloud Storage
Jalur constraints/storage.publicAccessPrevention
Operator ==
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Menggunakan akses level bucket yang seragam

ID kontrol Google GCS-CO-4.2
Penerapan Wajib
Deskripsi

Batasan boolean storage.uniformBucketLevelAccess mewajibkan bucket menggunakan akses level bucket seragam. Dengan akses level bucket yang seragam, Anda hanya dapat menggunakan izin Identity and Access Management (IAM) level bucket untuk memberikan akses ke resource Cloud Storage.

Menggunakan dua sistem yang berbeda dan bertentangan untuk mengelola izin pada bucket penyimpanan sangat rumit dan merupakan penyebab umum kebocoran data yang tidak disengaja. Setelan ini menonaktifkan sistem lama (daftar kontrol akses, atau ACL) dan menjadikan sistem modern yang terpusat (IAM) sebagai satu-satunya sumber tepercaya untuk semua izin.

Produk yang berlaku
  • Organization Policy Service
  • Cloud Storage
Jalur constraints/storage.uniformBucketLevelAccess
Operator ==
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Melindungi kunci HMAC untuk akun layanan

ID kontrol Google GCS-CO-6.9
Penerapan Wajib
Deskripsi

Kunci HMAC adalah jenis kredensial yang memiliki masa aktif lama dan dikaitkan dengan akun layanan atau akun pengguna di Cloud Storage. Gunakan kunci HMAC untuk membuat tanda tangan yang disertakan dalam permintaan ke Cloud Storage. Tanda tangan membuktikan bahwa pengguna atau akun layanan telah mengizinkan permintaan.

Tidak seperti kredensial berumur pendek (seperti. Token OAuth 2.0), kunci HMAC tidak otomatis habis masa berlakunya dan tetap valid hingga dicabut secara manual. Kunci HMAC adalah kredensial berisiko tinggi: jika dibobol, kunci ini akan memberikan akses persisten ke resource Anda. Anda harus memastikan mekanisme yang sesuai diterapkan untuk membantu melindunginya.

Produk yang berlaku

Cloud Storage

Jalur storage.projects.hmacKeys/id
Operator Ada
Nilai

[]

Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Mendeteksi enumerasi bucket Cloud Storage oleh akun layanan

ID kontrol Google GCS-CO-7.2
Penerapan Wajib
Deskripsi

Akun layanan adalah identitas non-manusia yang dirancang untuk aplikasi, dan perilakunya dapat diprediksi serta otomatis. Biasanya, akun layanan tidak perlu mengelompokkan bucket, karena sudah dipetakan. Oleh karena itu, jika Anda mendeteksi akun layanan yang mencoba mengambil daftar semua bucket Cloud Storage, segera selidiki. Pencacahan pengintaian sering digunakan sebagai teknik pengintaian oleh pihak tidak bertanggung jawab yang telah mendapatkan akses ke akun layanan.

Produk yang berlaku
  • Cloud Storage
  • Cloud Audit Logs
Operator ==
Nilai

storage.bucket.list

Jenis String
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mendeteksi modifikasi kebijakan IAM pada bucket Cloud Storage oleh akun layanan

ID kontrol Google GCS-CO-7.3
Penerapan Wajib
Deskripsi

Konfigurasi pemberitahuan yang mendeteksi saat kebijakan Identity and Access Management (IAM) bucket Cloud Storage diubah untuk memberikan akses publik. Pemberitahuan ini akan muncul saat akun utama allUsers atau allAuthenticatedUsers ditambahkan ke kebijakan IAM bucket. Peringatan ini adalah peristiwa penting dengan tingkat keparahan tinggi karena dapat mengekspos semua data dalam bucket. Segera selidiki pemberitahuan ini untuk mengonfirmasi apakah perubahan tersebut diizinkan atau merupakan tanda adanya kesalahan konfigurasi atau pihak tidak bertanggung jawab.

Dalam pemberitahuan, tetapkan atribut JSON data.protoPayload.serviceData.policyData.bindingDeltas.member ke allUsers atau allAuthenticatedUsers dan tindakan ke ADD.

Produk yang berlaku
  • Cloud Storage
  • Cloud Audit Logs
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Pastikan kebijakan retensi bucket Cloud Storage menggunakan Kunci Bucket

ID kontrol Google GCS-CO-6.1
Penerapan Disarankan
Deskripsi

Bergantung pada persyaratan peraturan Anda, pastikan setiap kebijakan retensi bucket Cloud Storage dikunci. Tetapkan periode retensi data ke jangka waktu yang memenuhi persyaratan Anda.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/retentionPolicy.isLocked
Operator !=
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menetapkan aturan siklus proses untuk tindakan SetStorageClass

ID kontrol Google GCS-CO-6.11
Penerapan Disarankan
Deskripsi

Terapkan aturan siklus proses ke setiap bucket Cloud Storage yang memiliki jenis tindakan SetStorageClass.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle.rule.action.type
Operator ==
Nilai

SetStorageClass

Jenis String
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menetapkan region yang diizinkan untuk kelas penyimpanan

ID kontrol Google GCS-CO-6.12
Penerapan Disarankan
Deskripsi
Pastikan bahwa kelas penyimpanan untuk konfigurasi siklus proses tidak berada dalam klasifikasi regional yang diizinkan.
Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle.rule.action.storageClass
Operator nin
Nilai
  • MULTI_REGIONAL
  • REGIONAL
Jenis String
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Mengaktifkan pengelolaan siklus proses untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.13
Penerapan Disarankan
Deskripsi

Pastikan pengelolaan siklus proses Cloud Storage diaktifkan dan dikonfigurasi. Kontrol siklus proses berisi konfigurasi untuk siklus proses penyimpanan. Pastikan kebijakan dalam setelan ini sesuai dengan persyaratan Anda.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle
Operator Ada
Nilai

[]

Jenis Objek
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Mengaktifkan aturan pengelolaan siklus proses untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.14
Penerapan Disarankan
Deskripsi

Pastikan aturan pengelolaan siklus proses untuk Cloud Storage diaktifkan dan dikonfigurasi. Kontrol aturan berisi konfigurasi untuk siklus proses penyimpanan. Pastikan kebijakan dalam setelan ini sesuai dengan persyaratan Anda.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle.rule
Operator Kosong
Nilai

[]

Jenis Array
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Meninjau dan mengevaluasi penangguhan sementara pada objek aktif

ID kontrol Google GCS-CO-6.16
Penerapan Disarankan
Deskripsi

Identifikasi semua objek yang temporaryHold-nya disetel ke TRUE, lalu mulai proses validasi dan penyelidikan. Evaluasi ini sesuai untuk kasus penggunaan berikut:

  • Penangguhan litigasi: Untuk mematuhi persyaratan hukum terkait penyimpanan data, penangguhan sementara dapat digunakan untuk mencegah penghapusan data sensitif yang mungkin relevan dengan penyelidikan atau proses pengadilan yang sedang berlangsung.
  • Pencegahan kehilangan data: Untuk mencegah penghapusan data penting secara tidak sengaja, penangguhan sementara dapat digunakan sebagai langkah pengamanan untuk melindungi informasi bisnis penting.
  • Moderasi konten: Untuk meninjau konten yang berpotensi sensitif atau tidak pantas sebelum dapat diakses secara publik, terapkan penangguhan sementara pada konten yang diupload ke Cloud Storage untuk pemeriksaan lebih lanjut dan keputusan moderasi.
Produk yang berlaku

Cloud Storage

Jalur storage.objects/temporaryHold
Operator ==
Nilai

TRUE

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menerapkan kebijakan retensi pada bucket Cloud Storage

ID kontrol Google GCS-CO-6.17
Penerapan Disarankan
Deskripsi

Pastikan semua bucket Cloud Storage memiliki kebijakan retensi.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/retentionPolicy.retentionPeriod
Operator agesmaller
Nilai

[90,"DAY","AFTER","yyyy-MM-dd'T'HH:mm:ss'Z'"]

Jenis int64
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menerapkan tag klasifikasi untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.18
Penerapan Disarankan
Deskripsi

Klasifikasi data adalah komponen mendasar dari setiap program tata kelola dan keamanan data. Menerapkan label klasifikasi dengan nilai seperti publik, internal, rahasia, atau terbatas ke setiap bucket sangat penting.

Konfirmasi bahwa google_storage_bucket.labels memiliki ekspresi untuk klasifikasi dan buat pelanggaran jika tidak.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/labels.classification
Operator tidak ada
Nilai

[]

Jenis Diperluas
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menerapkan bucket log untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.3
Penerapan Disarankan
Deskripsi

Pastikan setiap bucket Cloud Storage menyertakan bucket log.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/logging.logBucket
Operator tidak ada
Nilai

[]

Jenis String
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengonfigurasi aturan penghapusan untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.5
Penerapan Disarankan
Deskripsi

Di Cloud Storage, storage.buckets/lifecycle.rule.action.type mengacu pada jenis tindakan yang akan dilakukan pada objek tertentu berdasarkan aturan siklus proses dalam bucket. Konfigurasi ini membantu mengotomatiskan pengelolaan dan siklus proses data Anda yang disimpan di cloud.

Konfigurasi storage.buckets/lifecycle.rule.action.type untuk memastikan bahwa objek dihapus secara permanen dari bucket.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle.rule.action.type
Operator ==
Nilai

Delete

Jenis String
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Pastikan kondisi isLive adalah False untuk aturan penghapusan

ID kontrol Google GCS-CO-6.6
Penerapan Disarankan
Deskripsi

Untuk aturan penghapusan, pastikan kondisi isLive aturan ditetapkan ke false.

Di Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive adalah kondisi boolean yang digunakan dalam aturan siklus proses untuk menentukan apakah suatu objek dianggap aktif. Filter ini membantu memastikan bahwa tindakan dalam aturan siklus proses hanya diterapkan pada objek yang diinginkan berdasarkan status aktifnya.

Kasus penggunaan:

  • Mengarsipkan versi historis: Hanya mengarsipkan versi objek yang tidak aktif untuk menghemat biaya penyimpanan sekaligus menjaga agar versi terbaru dapat diakses dengan mudah.
  • Membersihkan objek yang dihapus: Mengotomatiskan penghapusan permanen objek yang telah dihapus oleh pengguna, sehingga mengosongkan ruang di bucket.
  • Melindungi data aktif: Pastikan tindakan seperti menyetel penangguhan sementara hanya diterapkan pada objek aktif, sehingga mencegah modifikasi yang tidak disengaja pada versi yang diarsipkan atau dihapus
Produk yang berlaku

Cloud Storage

Jalur storage.buckets/lifecycle.rule.condition.isLive
Operator ==
Nilai

False

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menerapkan pembuatan versi untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.7
Penerapan Disarankan
Deskripsi

Pastikan semua bucket Cloud Storage mengaktifkan pembuatan versi. Kasus penggunaan mencakup hal berikut:

  • Perlindungan dan pemulihan data: Melindungi dari kehilangan data yang tidak disengaja dengan mencegah penimpaan dan memungkinkan pemulihan data yang dihapus atau diubah.
  • Kepatuhan dan audit: Mempertahankan histori semua pengeditan objek untuk tujuan kepatuhan terhadap peraturan atau audit internal.
  • Kontrol versi: Melacak perubahan pada file dan set data, sehingga memungkinkan kolaborasi dan roll back ke versi sebelumnya jika diperlukan.
Produk yang berlaku

Cloud Storage

Jalur storage.buckets/versioning.enabled
Operator !=
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Menerapkan pemilik untuk bucket Cloud Storage

ID kontrol Google GCS-CO-6.8
Penerapan Disarankan
Deskripsi

Pastikan google_storage_bucket.labels memiliki ekspresi untuk pemilik.

Produk yang berlaku

Cloud Storage

Jalur storage.buckets/labels.owner
Operator tidak ada
Nilai

[]

Jenis Diperluas
Kontrol NIST-800-53 terkait
  • SI-12
Kontrol profil CRI terkait
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informasi terkait

Mengaktifkan logging aktivitas utama Cloud Storage

ID kontrol Google GCS-CO-7.4
Penerapan Disarankan
Deskripsi

Aktifkan logging tambahan di sekitar objek penyimpanan tertentu berdasarkan kasus penggunaannya. Misalnya, log akses ke bucket data sensitif sehingga Anda dapat melacak siapa yang mendapatkan akses dan kapan. Saat mengaktifkan logging tambahan, pertimbangkan volume log yang mungkin Anda buat.

Produk yang berlaku

Cloud Storage

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Kontrol database

Membatasi alamat IP publik Cloud SQL

Penerapan Wajib
Deskripsi

Cegah Cloud SQL memiliki alamat IP publik dan terekspos langsung ke internet dengan menetapkan batasan kebijakan organisasi constraints/sql.restrictPublicIp. Biasanya, database tidak diekspos langsung ke internet.

Mencegah alamat IP publik membantu mencegah database Anda mendapatkan alamat IP publik, sehingga memastikan bahwa database tersebut bersifat pribadi dan hanya dapat diakses dari aplikasi internal yang tepercaya.

Produk yang berlaku

Cloud SQL

Jalur constraints/sql.restrictPublicIp
Operator =
Nilai

True

Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Langkah berikutnya