Kontrol pengelolaan data untuk kasus penggunaan AI generatif

Google Cloud merekomendasikan penggunaan Sensitive Data Protection. InfoType atau template tugas yang Anda pilih bergantung pada sistem tertentu Anda.

Membatasi akses ke informasi dalam set data BigQuery hanya untuk pengguna tertentu. Untuk mengonfigurasi perlindungan ini, Anda harus menyiapkan peran yang terperinci.

Membatasi akses ke informasi dalam tabel BigQuery hanya untuk pengguna tertentu. Untuk mengonfigurasi perlindungan ini, Anda harus menyiapkan peran yang terperinci.

Jika organisasi Anda mengharuskan Anda mengenkripsi setiap nilai dalam tabel BigQuery, gunakan fungsi enkripsi Authenticated Encryption with Associated Data (AEAD).

Tampilan yang diotorisasi memungkinkan Anda membagikan subkumpulan data dalam set data kepada pengguna tertentu. Misalnya, tampilan yang diotorisasi memungkinkan Anda membagikan hasil kueri dengan pengguna dan grup tertentu tanpa memberi mereka akses ke data sumber yang mendasarinya.

Gunakan keamanan tingkat kolom BigQuery untuk membuat kebijakan yang memeriksa pada waktu kueri apakah pengguna memiliki akses yang tepat. BigQuery menyediakan akses terperinci ke kolom sensitif menggunakan tag kebijakan atau klasifikasi data berbasis jenis.

Gunakan keamanan tingkat baris dan kebijakan akses untuk mengaktifkan kontrol akses terperinci ke subset data dalam tabel BigQuery.

Diagram resource BigQuery memungkinkan administrator BigQuery mengamati performa kueri serta cara organisasi, folder, atau pemesanan menggunakan slot BigQuery.

Batasan boolean storage.publicAccessPrevention mencegah bucket penyimpanan diakses dari sumber publik tanpa autentikasi. Fitur ini menonaktifkan dan memblokir daftar kontrol akses (ACL) dan izin Identity and Access Management (IAM) yang memberikan akses ke allUsers dan allAuthenticatedUsers. Batasan ini berfungsi sebagai jaring pengaman di seluruh organisasi yang secara aktif memblokir setelan apa pun yang akan membuat bucket dapat diakses publik.

Batasan boolean storage.uniformBucketLevelAccess mewajibkan bucket menggunakan akses level bucket seragam. Akses level bucket yang seragam memungkinkan Anda hanya menggunakan izin Identity and Access Management (IAM) level bucket untuk memberikan akses ke resource Cloud Storage.

Menggunakan dua sistem yang berbeda dan bertentangan untuk mengelola izin pada bucket penyimpanan sangat rumit dan merupakan penyebab umum kebocoran data yang tidak disengaja. Setelan ini menonaktifkan sistem lama (daftar kontrol akses, atau ACL) dan menjadikan sistem modern yang terpusat (IAM) sebagai satu-satunya sumber tepercaya untuk semua izin.

Kunci HMAC adalah jenis kredensial yang memiliki masa aktif lama dan dikaitkan dengan akun layanan atau akun pengguna di Cloud Storage. Gunakan kunci HMAC untuk membuat tanda tangan yang disertakan dalam permintaan ke Cloud Storage. Tanda tangan membuktikan bahwa pengguna atau akun layanan telah mengizinkan permintaan.

Tidak seperti kredensial berumur pendek (seperti. Token OAuth 2.0), kunci HMAC tidak otomatis habis masa berlakunya dan tetap valid hingga dicabut secara manual. Kunci HMAC adalah kredensial berisiko tinggi: jika dibobol, kunci ini akan memberikan akses persisten ke resource Anda. Anda harus memastikan mekanisme yang sesuai diterapkan untuk membantu melindunginya.

Akun layanan adalah identitas non-manusia yang dirancang untuk aplikasi, dan perilakunya dapat diprediksi dan otomatis. Biasanya, akun layanan tidak perlu mencantumkan bucket, karena sudah dipetakan. Oleh karena itu, jika Anda mendeteksi akun layanan yang mencoba mengambil daftar semua bucket Cloud Storage, segera selidiki. Pencacahan pengintaian sering digunakan sebagai teknik pengintaian oleh pihak tidak bertanggung jawab yang telah mendapatkan akses ke akun layanan.

Konfigurasi pemberitahuan yang mendeteksi saat kebijakan IAM bucket Cloud Storage diubah untuk memberikan akses publik. Pemberitahuan ini diaktifkan saat akun utama allUsers atau allAuthenticatedUsers ditambahkan ke kebijakan IAM bucket. Peringatan ini adalah peristiwa penting dengan tingkat keparahan tinggi karena dapat mengekspos semua data dalam bucket. Segera selidiki pemberitahuan ini untuk mengonfirmasi apakah perubahan tersebut diizinkan atau merupakan tanda adanya kesalahan konfigurasi atau pelaku berbahaya.

Dalam pemberitahuan, tetapkan atribut JSON data.protoPayload.serviceData.policyData.bindingDeltas.member ke allUsers atau allAuthenticatedUsers dan tindakan ke ADD.

Bergantung pada persyaratan peraturan Anda, pastikan setiap kebijakan retensi bucket Cloud Storage dikunci. Tetapkan periode retensi ke jangka waktu yang memenuhi persyaratan Anda.

Terapkan aturan siklus proses ke setiap bucket Cloud Storage yang memiliki jenis tindakan SetStorageClass.

Pastikan pengelolaan siklus proses Cloud Storage diaktifkan dan dikonfigurasi. Kontrol siklus proses berisi konfigurasi untuk siklus proses penyimpanan. Pastikan kebijakan dalam setelan ini sesuai dengan persyaratan Anda.

Pastikan aturan pengelolaan siklus proses untuk Cloud Storage diaktifkan dan dikonfigurasi. Kontrol aturan berisi konfigurasi untuk siklus proses penyimpanan. Pastikan kebijakan dalam setelan ini sesuai dengan persyaratan Anda.

Identifikasi semua objek yang temporaryHold-nya disetel ke TRUE, lalu mulai proses penyelidikan dan validasi. Evaluasi ini sesuai untuk kasus penggunaan berikut:

• Pembekuan litigasi: Untuk mematuhi persyaratan hukum terkait penyimpanan data, pembekuan sementara dapat digunakan untuk mencegah penghapusan data sensitif yang mungkin relevan dengan penyelidikan atau litigasi yang sedang berlangsung.
• Pencegahan kehilangan data: Untuk mencegah penghapusan data penting secara tidak sengaja, penangguhan sementara dapat digunakan sebagai langkah pengamanan untuk melindungi informasi bisnis penting.
• Moderasi konten: Untuk meninjau konten yang berpotensi sensitif atau tidak pantas sebelum dapat diakses secara publik, terapkan penangguhan sementara pada konten yang diupload ke Cloud Storage untuk pemeriksaan lebih lanjut dan keputusan moderasi.

Pastikan semua bucket Cloud Storage memiliki kebijakan retensi.

Klasifikasi data adalah komponen mendasar dari setiap program tata kelola dan keamanan data. Menerapkan label klasifikasi dengan nilai seperti publik, internal, rahasia, atau terbatas ke setiap bucket sangat penting.

Pastikan google_storage_bucket.labels memiliki ekspresi untuk klasifikasi dan buat pelanggaran jika tidak ada.

Pastikan setiap bucket Cloud Storage menyertakan bucket log.

Di Cloud Storage, storage.buckets/lifecycle.rule.action.type mengacu pada jenis tindakan yang akan dilakukan pada objek tertentu berdasarkan aturan siklus proses dalam bucket. Konfigurasi ini membantu mengotomatiskan pengelolaan dan siklus proses data Anda yang disimpan di cloud.

Konfigurasi storage.buckets/lifecycle.rule.action.type untuk memastikan bahwa objek dihapus secara permanen dari bucket.

Untuk aturan penghapusan, pastikan kondisi isLive aturan ditetapkan ke false.

Di Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive adalah kondisi boolean yang digunakan dalam aturan siklus proses untuk menentukan apakah suatu objek dianggap aktif. Filter ini membantu memastikan bahwa tindakan dalam aturan siklus proses hanya diterapkan pada objek yang diinginkan berdasarkan status aktifnya.

Kasus penggunaan:

• Mengarsipkan versi historis: Hanya mengarsipkan versi objek yang tidak aktif untuk menghemat biaya penyimpanan sekaligus menjaga agar versi terbaru dapat diakses dengan mudah.
• Membersihkan objek yang dihapus: Mengotomatiskan penghapusan permanen objek yang telah dihapus oleh pengguna, sehingga mengosongkan ruang di bucket.
• Melindungi data aktif: Pastikan tindakan seperti menyetel penangguhan sementara hanya diterapkan pada objek aktif, sehingga mencegah modifikasi yang tidak disengaja pada versi yang diarsipkan atau dihapus

Pastikan semua bucket Cloud Storage mengaktifkan pembuatan versi. Kasus penggunaan mencakup hal berikut:

• Perlindungan dan pemulihan data: Melindungi dari kehilangan data yang tidak disengaja dengan mencegah penimpaan dan memungkinkan pemulihan data yang dihapus atau diubah.
• Kepatuhan dan audit: Pertahankan histori semua pengeditan objek untuk tujuan kepatuhan terhadap peraturan atau audit internal.
• Kontrol versi: Melacak perubahan pada file dan set data, sehingga memungkinkan kolaborasi dan roll back ke versi sebelumnya jika diperlukan.

Pastikan google_storage_bucket.labels memiliki ekspresi untuk pemilik.

Aktifkan logging tambahan di sekitar objek penyimpanan tertentu berdasarkan kasus penggunaannya. Misalnya, log akses ke bucket data sensitif sehingga Anda dapat melacak siapa yang mendapatkan akses dan kapan. Saat mengaktifkan logging tambahan, pertimbangkan volume log yang mungkin Anda buat.