資料管理控制項

Google Cloud 建議使用 Sensitive Data Protection。您選取的 infoType 或工作範本取決於特定系統。

只允許特定使用者存取 BigQuery 資料集中的資訊。如要設定這項保護措施，請務必設定詳細角色。

只允許特定使用者可以存取 BigQuery 資料表中的資訊。如要設定這項保護措施，請務必設定詳細角色。

如果貴組織規定必須加密 BigQuery 資料表中的個別值，請使用「附帶相關資料的驗證加密」(AEAD) 加密函式。

授權 view 可讓您與特定使用者分享資料集中的部分資料。舉例來說，授權 view 可讓您與特定使用者和群組分享查詢結果，無須授予他們基礎來源資料的存取權。

您可以使用 BigQuery 資料欄層級的安全防護機制來建立政策，以便在執行查詢當下檢查使用者是否具備適當存取權。BigQuery 透過資料的政策標記 (或依據類型的分類方式)，對機密資料欄提供精細的存取權限。

使用資料列層級安全防護機制和存取權政策，對 BigQuery 資料表中的部分資料啟用精細的存取控管。

BigQuery 資源圖表可讓 BigQuery 管理員觀察組織、資料夾或預留項目如何使用 BigQuery 運算單元，以及查詢的執行情況。

storage.publicAccessPrevention 布林值限制可防止未經驗證的公開來源存取儲存空間 bucket。這項功能會停用並封鎖存取控制清單 (ACL) 和 Identity and Access Management (IAM) 權限，禁止存取 allUsers 和 allAuthenticatedUsers。這項限制可做為機構全體適用的安全網，主動封鎖任何會讓 bucket 可公開存取的設定。

storage.uniformBucketLevelAccess 布林限制規定值區必須使用統一值區層級存取權。統一 bucket 層級存取權可讓您只使用 bucket 層級的身分與存取權管理 (IAM) 權限，授予 Cloud Storage 資源的存取權。

使用兩個不同且衝突的系統來管理儲存空間值區的權限，不僅複雜，也是造成資料意外外洩的常見原因。這項設定會關閉舊版系統 (存取控制清單或 ACL)，並將現代化的集中式系統 (IAM) 設為所有權限的單一可靠資料來源。

HMAC 金鑰是與 Cloud Storage 中的服務帳戶或使用者帳戶相關聯的長期憑證。使用 HMAC 金鑰建立簽名，然後將其加入傳送至 Cloud Storage 的要求中。簽名可證明使用者或服務帳戶已授權要求。

與短期憑證 (例如 OAuth 2.0 權杖)，HMAC 金鑰不會自動過期，且在手動撤銷前都有效。HMAC 金鑰是高風險憑證，一旦遭盜用，就能持續存取您的資源。您必須確保已採取適當的機制來保護這些資料。

服務帳戶是專為應用程式設計的非人類身分，行為可預測且自動化。一般來說，服務帳戶不需要列出儲存空間，因為這些儲存空間已對應。因此，如果偵測到服務帳戶嘗試擷取所有 Cloud Storage 值區的清單，請立即展開調查。惡意行為人取得服務帳戶存取權後，通常會使用偵察列舉做為偵察技術。

設定快訊，在 Cloud Storage bucket 的身分與存取權管理 (IAM) 政策遭到修改，授予公開存取權時發出通知。如果將 allUsers 或 allAuthenticatedUsers 主體新增至值區的 IAM 政策，系統就會觸發這項快訊。這項快訊屬於重大事件，嚴重程度為「高」，因為這類事件可能會導致儲存空間中的所有資料外洩。請立即調查這則快訊，確認變更是否經過授權，或是設定錯誤或惡意行為人的跡象。

在快訊中，將 data.protoPayload.serviceData.policyData.bindingDeltas.member JSON 屬性設為 allUsers 或 allAuthenticatedUsers，並將動作設為 ADD。

請根據法規要求，確保每個 Cloud Storage bucket 的資料保留政策都已鎖定。將保留期限設為符合您需求的時間範圍。

對具有 SetStorageClass 動作類型的每個 Cloud Storage bucket 套用生命週期規則。

確認已啟用並設定 Cloud Storage 的生命週期管理功能。生命週期控制項包含儲存空間生命週期的設定。確認這項設定中的政策符合您的需求。

確認已啟用並設定 Cloud Storage 的生命週期管理規則。規則控制項包含儲存空間生命週期的設定。確認這項設定中的政策符合您的需求。

找出所有將 temporaryHold 設為 TRUE 的物件，並開始調查和驗證程序。這項評估適用於下列用途：

• 訴訟保留：為遵守資料儲存的法律要求，您可以暫時保留資料，防止系統刪除可能與進行中調查或訴訟相關的機密資料。
• 資料遺失防護：為防止重要資料遭誤刪，您可以暫時保留資料，確保重要業務資訊安全無虞。
• 內容審查：如要在潛在敏感或不當內容公開前進行審查，可以暫時保留上傳至 Cloud Storage 的內容，以便進一步檢查及做出審查決策。

確認所有 Cloud Storage bucket 都有資料保留政策。

資料分類是所有資料治理和安全計畫的基礎。請務必為每個值區套用分類標籤，例如公開、內部、機密或受限。

確認 google_storage_bucket.labels 具有分類的運算式，如果沒有，請建立違規事項。

確認每個 Cloud Storage bucket 都包含記錄檔 bucket。

在 Cloud Storage 中，storage.buckets/lifecycle.rule.action.type 是指根據值區中的生命週期規則，對特定物件執行的動作類型。這項設定有助於自動管理儲存在雲端中的資料和生命週期。

設定 storage.buckets/lifecycle.rule.action.type，確保物件會從值區永久刪除。

如果是刪除規則，請確認規則的 isLive 條件已設為 false。

在 Cloud Storage 中，storage.buckets/lifecycle.rule.condition.isLive 是布林值條件，用於生命週期規則，判斷物件是否為有效。這個篩選條件可確保生命週期規則中的動作只會套用至所需物件，並根據物件的即時狀態進行判斷。

應用實例：

• 封存舊版本：只封存物件的非現行版本，節省儲存空間費用，同時確保最新版本隨時可用。
• 清理已刪除的物件：自動永久刪除使用者已刪除的物件，釋出值區空間。
• 保護使用中資料：確保暫時性訴訟保留等動作只會套用至使用中的物件，防止封存或刪除的版本遭到意外修改

確保所有 Cloud Storage bucket 都已啟用版本管理。用途包括：

• 資料保護和復原：防止資料遭到覆寫，並啟用刪除或修改資料的復原功能，避免資料意外遺失。
• 法規遵循和稽核：保留所有物件編輯記錄，以符合法規或進行內部稽核。
• 版本管控：追蹤檔案和資料集的變更，方便協作，並在必要時復原至先前版本。

確認 google_storage_bucket.labels 具有擁有者的運算式。

根據用途，針對特定儲存空間物件啟用額外記錄功能。舉例來說，您可以記錄私密資料 bucket 的存取權，追蹤存取者和存取時間。啟用額外記錄功能時，請考量您可能會產生的記錄量。