Einstellungen für die Datenverwaltung für Anwendungsfälle für generative KI

Google Cloud empfiehlt die Verwendung von Sensitive Data Protection. Die von Ihnen ausgewählten infoTypes oder Jobvorlagen hängen von Ihren jeweiligen Systemen ab.

Den Zugriff auf die Informationen in einem BigQuery-Dataset auf bestimmte Nutzer beschränken. Um diesen Schutz zu konfigurieren, müssen Sie detaillierte Rollen einrichten.

Den Zugriff auf die Informationen in einer BigQuery-Tabelle auf bestimmte Nutzer beschränken Um diesen Schutz zu konfigurieren, müssen Sie detaillierte Rollen einrichten.

Wenn Ihre Organisation erfordert, dass Sie einzelne Werte in einer BigQuery-Tabelle verschlüsseln, verwenden Sie die AEAD-Verschlüsselungsfunktionen (Authenticated Encryption with Associated Data).

Mit autorisierten Ansichten können Sie eine Teilmenge der Daten in einem Dataset für bestimmte Nutzer freigeben. Mit einer autorisierten Ansicht können Sie beispielsweise Abfrageergebnisse mit bestimmten Nutzern und Gruppen teilen, ohne diesen Zugriff auf die zugrunde liegenden Quelldaten zu erteilen.

Mit der BigQuery-Sicherheit auf Spaltenebene können Sie Richtlinien erstellen, mit denen zum Zeitpunkt der Abfrage überprüft wird, ob ein Nutzer den entsprechenden Zugriff hat. BigQuery bietet mithilfe von Richtlinien-Tags oder der typbasierten Klassifizierung von Daten differenzierten Zugriff auf vertrauliche Spalten.

Mit Sicherheit auf Zeilenebene und Zugriffsrichtlinien können Sie eine detaillierte Zugriffssteuerung für eine Teilmenge von Daten in einer BigQuery-Tabelle aktivieren.

Mit BigQuery-Ressourcendiagrammen können BigQuery-Administratoren beobachten, wie ihre Organisation, ihr Ordner oder ihre Reservierung BigQuery-Slots nutzt und wie ihre Abfragenqualität ist.

Die boolesche Einschränkung storage.publicAccessPrevention verhindert, dass ohne Authentifizierung von öffentlichen Quellen auf Speicher-Buckets zugegriffen wird. Dabei werden ACLs und IAM-Berechtigungen deaktiviert und blockiert, die allUsers und allAuthenticatedUsers Zugriff gewähren. Diese Einschränkung dient als organisationsweites Sicherheitsnetz, das alle Einstellungen aktiv blockiert, die einen Bucket öffentlich zugänglich machen würden.

Die boolesche Einschränkung storage.uniformBucketLevelAccess erfordert, dass Buckets einen einheitlichen Zugriff auf Bucket-Ebene verwenden. Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie nur IAM-Berechtigungen (Identity and Access Management) auf Bucket-Ebene verwenden, um Zugriff auf Ihre Cloud Storage-Ressourcen zu gewähren.

Die Verwendung von zwei verschiedenen und in Konflikt stehenden Systemen zur Verwaltung von Berechtigungen für Speicher-Buckets ist komplex und eine häufige Ursache für versehentliche Datenlecks. Mit dieser Einstellung wird das alte System (Zugriffssteuerungslisten oder ACLs) deaktiviert und das moderne, zentralisierte System (IAM) zur einzigen Quelle der Wahrheit für alle Berechtigungen.

Ein HMAC-Schlüssel ist eine langlebige Art von Anmeldedaten, die mit einem Dienstkonto oder einem Nutzerkonto in Cloud Storage verknüpft ist. Mit einem HMAC-Schlüssel können Sie Signaturen erstellen, die in Anfragen an Cloud Storage aufgenommen werden. Eine Signatur beweist, dass ein Nutzer oder Dienstkonto eine Anfrage autorisiert hat.

Im Gegensatz zu kurzlebigen Anmeldedaten (z. B. HMAC-Schlüssel laufen nicht automatisch ab und bleiben gültig, bis sie manuell widerrufen werden. HMAC-Schlüssel sind Anmeldedaten mit hohem Risiko: Wenn sie manipuliert werden, ermöglichen sie dauerhaften Zugriff auf Ihre Ressourcen. Sie müssen dafür sorgen, dass geeignete Mechanismen zum Schutz vorhanden sind.

Dienstkonten sind nicht menschliche Identitäten, die für Anwendungen entwickelt wurden. Ihr Verhalten ist vorhersehbar und automatisiert. Normalerweise müssen für Dienstkonten keine Buckets aufgeschlüsselt werden, da sie bereits zugeordnet sind. Wenn Sie also feststellen, dass ein Dienstkonto versucht, eine Liste aller Cloud Storage-Buckets abzurufen, sollten Sie dies sofort untersuchen. Die Aufzählung zur Informationsbeschaffung wird häufig von einem böswilligen Akteur verwendet, der Zugriff auf das Dienstkonto erhalten hat.

Konfigurieren Sie eine Benachrichtigung, die erkennt, wenn die IAM-Richtlinie eines Cloud Storage-Bucket so geändert wird, dass öffentlicher Zugriff gewährt wird. Diese Benachrichtigung wird ausgelöst, wenn die Hauptkonten allUsers oder allAuthenticatedUsers der IAM-Richtlinie eines Buckets hinzugefügt werden. Diese Benachrichtigung ist ein kritisches Ereignis mit hoher Schwere, da dadurch alle Daten im Bucket offengelegt werden können. Untersuchen Sie diese Benachrichtigung sofort, um zu bestätigen, ob die Änderung autorisiert war oder ein Zeichen für eine Fehlkonfiguration oder einen böswilligen Akteur ist.

Legen Sie in der Benachrichtigung das JSON-Attribut data.protoPayload.serviceData.policyData.bindingDeltas.member auf allUsers oder allAuthenticatedUsers und die Aktion auf ADD fest.

Je nach Ihren behördlichen Anforderungen müssen Sie dafür sorgen, dass die Aufbewahrungsrichtlinie für jeden Cloud Storage-Bucket gesperrt ist. Legen Sie die Aufbewahrungsdauer auf einen Zeitraum fest, der Ihren Anforderungen entspricht.

Wenden Sie Lebenszyklusregeln auf jeden Cloud Storage-Bucket mit dem Aktionstyp SetStorageClass an.

Achten Sie darauf, dass die Lebenszyklusverwaltung von Cloud Storage aktiviert und konfiguriert ist. Die Lebenszyklussteuerung enthält die Konfiguration für den Speicherlebenszyklus. Prüfen Sie, ob die Richtlinien in dieser Einstellung Ihren Anforderungen entsprechen.

Achten Sie darauf, dass Regeln für die Lebenszyklusverwaltung für Cloud Storage aktiviert und konfiguriert sind. Die Regelsteuerung enthält die Konfiguration für den Speicherlebenszyklus. Prüfen Sie, ob die Richtlinien in dieser Einstellung Ihren Anforderungen entsprechen.

Identifizieren Sie alle Objekte, für die „temporaryHold“ auf „TRUE“ gesetzt ist, und starten Sie einen Untersuchungs- und Validierungsprozess. Diese Bewertung eignet sich für die folgenden Anwendungsfälle:

• Litigation Hold:Um die gesetzlichen Anforderungen für die Speicherung von Daten zu erfüllen, kann ein temporärer Hold verwendet werden, um das Löschen sensibler Daten zu verhindern, die für laufende Untersuchungen oder Rechtsstreitigkeiten relevant sein könnten.
• Schutz vor Datenverlust:Um ein versehentliches Löschen wichtiger Daten zu verhindern, kann ein temporärer Hold als Sicherheitsmaßnahme zum Schutz wichtiger Geschäftsinformationen verwendet werden.
• Inhaltsmoderation:Wenden Sie eine temporäre Sperre auf Inhalte an, die in Cloud Storage hochgeladen werden, um potenziell sensible oder unangemessene Inhalte zu überprüfen, bevor sie öffentlich zugänglich werden.

Achten Sie darauf, dass alle Cloud Storage-Buckets eine Aufbewahrungsrichtlinie haben.

Die Datenklassifizierung ist ein grundlegender Bestandteil jedes Programms für Data Governance und Sicherheit. Es ist wichtig, jedem Bucket ein Klassifizierungslabel mit Werten wie „Öffentlich“, „Intern“, „Vertraulich“ oder „Eingeschränkt“ zuzuweisen.

Prüfen Sie, ob google_storage_bucket.labels einen Ausdruck für die Klassifizierung enthält, und erstellen Sie einen Verstoß, falls dies nicht der Fall ist.

Achten Sie darauf, dass jeder Cloud Storage-Bucket einen Log-Bucket enthält.

In Cloud Storage bezieht sich storage.buckets/lifecycle.rule.action.type auf den Aktionstyp, der für ein bestimmtes Objekt basierend auf einer Lebenszyklusregel in einem Bucket ausgeführt werden soll. Diese Konfiguration trägt dazu bei, die Verwaltung und den Lebenszyklus Ihrer in der Cloud gespeicherten Daten zu automatisieren.

Konfigurieren Sie storage.buckets/lifecycle.rule.action.type so, dass Objekte dauerhaft aus dem Bucket gelöscht werden.

Achten Sie bei Löschregeln darauf, dass die isLive-Bedingung der Regel auf false festgelegt ist.

In Cloud Storage ist storage.buckets/lifecycle.rule.condition.isLive eine boolesche Bedingung, die in Lebenszyklusregeln verwendet wird, um zu bestimmen, ob ein Objekt als aktiv gilt. Mit diesem Filter wird dafür gesorgt, dass Aktionen in einer Lebenszyklusregel nur auf die gewünschten Objekte angewendet werden, basierend auf ihrem Live-Status.

Anwendungsfälle:

• Alte Versionen archivieren:Archivieren Sie nur nicht aktuelle Versionen von Objekten, um Speicherkosten zu sparen und gleichzeitig die neueste Version leicht zugänglich zu halten.
• Gelöschte Objekte bereinigen:Automatisieren Sie das endgültige Löschen von Objekten, die von Nutzern gelöscht wurden, um Speicherplatz im Bucket freizugeben.
• Live-Daten schützen:Aktionen wie das Festlegen temporärer Holds dürfen nur auf Live-Objekte angewendet werden, um eine versehentliche Änderung von archivierten oder gelöschten Versionen zu verhindern.

Achten Sie darauf, dass für alle Cloud Storage-Buckets die Versionsverwaltung aktiviert ist. Anwendungsfälle:

• Datenschutz und ‑wiederherstellung:Schützen Sie sich vor versehentlichem Datenverlust, indem Sie das Überschreiben von Daten verhindern und die Wiederherstellung gelöschter oder geänderter Daten ermöglichen.
• Compliance und Auditing:Speichern Sie einen Verlauf aller Objektbearbeitungen für die Einhaltung von Vorschriften oder interne Audits.
• Versionsverwaltung:Änderungen an Dateien und Datasets nachverfolgen, um die Zusammenarbeit zu ermöglichen und bei Bedarf Rollbacks auf frühere Versionen durchzuführen.

Achten Sie darauf, dass google_storage_bucket.labels einen Ausdruck für einen Inhaber hat.

Zusätzliches Logging für bestimmte Speicherobjekte basierend auf ihrem Anwendungsfall aktivieren. Protokollieren Sie beispielsweise den Zugriff auf Buckets mit sensiblen Daten, damit Sie nachvollziehen können, wer wann Zugriff erhalten hat. Berücksichtigen Sie beim Aktivieren zusätzlicher Protokollierung das Volumen der Protokolle, die Sie möglicherweise generieren.