Sicurezza, privacy, rischio e conformità per Spanner

Questo documento fornisce una panoramica dei vari controlli che supportano la sicurezza di Spanner su Google Cloud e link a ulteriori informazioni su come configurare i controlli. Controlli di sicurezza come opzioni, norme e gestione degli accessi alla sicurezza di rete possono aiutarti ad affrontare i rischi aziendali e a soddisfare i requisiti normativi e di privacy applicabili alla tua attività.

La sicurezza, la privacy, il rischio e la conformità per l'utilizzo di Spanner utilizzano un modello di responsabilità condivisa. Ad esempio, Google protegge l'infrastruttura su cui vengono eseguiti Spanner e altri Google Cloud servizi e ti fornisce le funzionalità che ti aiutano a gestire l'accesso ai tuoi servizi e alle tue risorse. Per ulteriori informazioni su come proteggiamo l'infrastruttura, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Servizi di cui è stato eseguito il provisioning

Quando inizi a utilizzare Spanner, abiliti le seguenti API:

Per saperne di più, consulta la guida rapida: crea ed esegui query su un database in Spanner utilizzando la console Google Cloud .

Autenticazione per la gestione di Google Cloud

Gli amministratori e gli sviluppatori che creano e gestiscono istanze Spanner devono autenticarsi a Google Cloud per verificare la propria identità e i propri privilegi di accesso. Devi configurare ogni utente con un account utente gestito da Cloud Identity, Google Workspace o un provider di identità che hai federato con Cloud Identity o Google Workspace. Per saperne di più, consulta Panoramica della gestione delle identità Google.

Dopo aver creato gli account utente, implementa le best practice per la sicurezza, come il Single Sign-On e la verifica in due passaggi.

Autenticazione per l'accesso alle risorse Google Cloud

La federazione delle identità per la forza lavoro ti consente di utilizzare il tuo provider di identità (IdP) esterno per autenticare gli utenti della tua forza lavoro in modo che possano accedere alle risorse Google Cloud . Utilizza la federazione delle identità per la forza lavoro quando gli utenti richiedono l'accesso programmatico alle tue risorse Google Cloud e memorizzi le credenziali degli utenti in IdP che supportano OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

La federazione delle identità per i workload ti consente di utilizzare il tuo IdP esterno per concedere ai tuoi workload on-premise o multi-cloud l'accesso alle risorse Google Cloud , senza utilizzare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità con IdP come Amazon Web Services (AWS), Microsoft Entra ID, GitHub o Okta.

Per ulteriori informazioni sul supporto di Spanner per la federazione delle identità, vedi Servizi supportati per l'identità federata.

Per saperne di più sull'autenticazione in Google Cloud, consulta Autenticazione.

Identity and Access Management

Per gestire i ruoli IAM (Identity and Access Management) su larga scala per amministratori e sviluppatori, valuta la possibilità di creare gruppi funzionali separati per i vari ruoli utente e applicazioni. Concedi i ruoli o le autorizzazioni IAM necessari per gestire Spanner ai tuoi gruppi. Quando assegni ruoli ai tuoi gruppi, segui il principio del privilegio minimo e altre best practice di sicurezza IAM. Per maggiori informazioni, consulta Best practice per l'utilizzo di Google Gruppi.

Per saperne di più sulla configurazione di IAM, consulta Panoramica di IAM.

Spanner supporta controllo dell'accesso granulare IAM, che ti consente di utilizzare i principal IAM per controllare l'accesso a database, tabelle, colonne e viste Spanner. Per maggiori informazioni, consulta Informazioni sul controllo dell'accesso granulare.

Service account Spanner

Quando abiliti Spanner, Google crea service account per te. Un service account è un tipo speciale di Account Google non interattivo che viene in genere utilizzato da un'applicazione o da un workload di computing, ad esempio un'istanza di Compute Engine, anziché da una persona. Le applicazioni utilizzano i service account per accedere alle API di Google.

Agenti di servizio

Per consentire a Spanner di accedere alle tue risorse per tuo conto, Google Cloud crea un account di servizio speciale noto come agente di servizio.

Quando abiliti Spanner, viene creato il seguente service agent Spanner:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Norme per Spanner

Le policy dell'organizzazione predefinite che si applicano a Spanner includono:

  • Limitare la creazione di istanze che utilizzano le versioni di Spanner (constraints/spanner.managed.restrictCloudSpannerEditions)

Per saperne di più sulle policy, consulta Utilizzare le policy dell'organizzazione per Spanner.

Puoi utilizzare policy dell'organizzazione personalizzate per configurare le limitazioni di Spanner a livello di progetto, cartella o organizzazione. Per saperne di più, consulta Creazione e gestione di vincoli personalizzati.

Sicurezza della rete

Per impostazione predefinita, Google applica le misure di protezione predefinite ai dati in transito per tutti i servizi Google Cloud , incluse le istanze Spanner in esecuzione su Google Cloud. Per saperne di più sulle protezioni di rete predefinite, consulta Crittografia in transito.

Se richiesto dalla tua organizzazione, puoi configurare controlli di sicurezza aggiuntivi per proteggere ulteriormente il traffico sulla rete Google Cloud e il traffico tra la rete Google Cloud e la tua rete aziendale. Considera quanto segue:

  • Spanner supporta i Controlli di servizio VPC. I Controlli di servizio VPC ti consentono di controllare lo spostamento dei dati nei servizi Google e configurare la sicurezza perimetrale basata sul contesto.
  • In Google Cloud, valuta la possibilità di utilizzare VPC condiviso come topologia di rete. VPC condiviso fornisce una gestione centralizzata della configurazione di rete, mantenendo al contempo la separazione degli ambienti.
  • Utilizza Cloud VPN o Cloud Interconnect per massimizzare la sicurezza e l'affidabilità della connessione tra la tua rete aziendale e Google Cloud. Per saperne di più, consulta Scelta di una Connettività di retek Connectivity.

Per saperne di più sulle best practice per la sicurezza di rete, vedi Implementare Zero Trust e Decidere la progettazione di rete per la tua zona di destinazione Google Cloud .

Connettività delle applicazioni

Puoi proteggere la connessione tra le applicazioni e Spanner utilizzando i seguenti metodi:

  • Accesso VPC serverless per connettere Spanner direttamente a Cloud Run.
  • Private Service Connect per connettersi a un'applicazione gestita in un altro VPC su Google Cloud utilizzando l'indirizzo IP privato di Spanner. Utilizza questo metodo per mantenere il traffico in Google Cloud.

Per ulteriori informazioni sulle opzioni per configurare le connessioni ai servizi senza un indirizzo IP esterno, consulta Opzioni di accesso privato per i servizi.

Autenticazione client

Spanner fornisce i seguenti metodi di autenticazione per i client:

Protezione dei dati e privacy

Spanner cripta i dati archiviati in Google Cloud utilizzando la crittografia predefinita. I dati di esempio includono:

  • Nomi di tabelle e colonne
  • Nomi degli indici
  • Schema del database
  • Dati archiviati nelle tabelle

Questi dati sono accessibili solo alle istanze Spanner.

Puoi attivare le chiavi di crittografia gestite dal cliente (CMEK) per criptare i tuoi dati at-rest. Con CMEK, le chiavi vengono archiviate in Cloud Key Management Service (Cloud KMS) come chiavi protette dal software o dall'hardware con Cloud HSM, ma sono gestite da te. Per eseguire il provisioning automatico delle chiavi di crittografia, puoi abilitare Cloud KMS Autokey. Quando attivi Autokey, uno sviluppatore può richiedere una chiave da Cloud KMS e il service agent esegue il provisioning di una chiave che corrisponde all'intento dello sviluppatore. Con Cloud KMS Autokey, le chiavi sono disponibili on demand, sono coerenti e seguono le pratiche standard del settore.

Inoltre, Spanner supporta Cloud External Key Manager (Cloud EKM), che ti consente di archiviare le chiavi in un gestore di chiavi esterno al di fuori di Google Cloud. Per saperne di più, consulta la panoramica delle chiavi di crittografia gestite dal cliente (CMEK).

Dove vengono trattati i dati

Spanner supporta la residenza dei dati per i dati archiviati su Google Cloud. La residenza dei dati ti consente di scegliere le regioni in cui vuoi che vengano archiviati i tuoi dati utilizzando il vincolo del criterio di limitazione della località delle risorse. Puoi utilizzare Cloud Asset Inventory per verificare la posizione delle risorse Spanner.

Se hai bisogno della residenza dei dati per i dati in uso, puoi configurare Assured Workloads. Per ulteriori informazioni, vedi Assured Workloads e residenza dei dati.

Privacy dei dati

Per contribuire a proteggere la privacy dei tuoi dati, Spanner è conforme ai Common Privacy Principles.

Spanner agisce in qualità di responsabile del trattamento dei dati per i dati dei clienti. Google agisce anche in qualità di titolare del trattamento dei dati per informazioni quali fatturazione e gestione dell'account e rilevamento di abusi. Per saperne di più, consulta l'Google Cloud informativa sulla privacy.

Audit logging

Spanner scrive i seguenti tipi di audit log:

  • Audit log per le attività di amministrazione: include le operazioni ADMIN WRITE che scrivono i metadati o le informazioni di configurazione.

  • Audit log di accesso ai dati: include le operazioni ADMIN READ che leggono i metadati o le informazioni di configurazione. Include anche le operazioni DATA READ e DATA WRITE che leggono o scrivono i dati forniti dall'utente.

  • Audit log degli eventi di sistema: identifica le azioni automatizzate Google Cloud che modificano la configurazione delle risorse.

Per saperne di più, vedi Log di controllo.

Trasparenza degli accessi

Puoi utilizzare Approvazione accesso e Access Transparency per controllare l'accesso alle istanze Spanner da parte del personale Google che supporta il servizio. Access Approval ti consente di approvare o respingere le richieste di accesso da parte dei dipendenti di Google. I log di Access Transparency offrono insight quasi in tempo reale quando Google Cloud gli amministratori accedono alle risorse.

Monitoraggio e risposta agli incidenti

Puoi utilizzare una serie di strumenti per monitorare le prestazioni e la sicurezza di Spanner. Considera quanto segue:

  • Esplora log per visualizzare e analizzare i log eventi e creare metriche personalizzate e avvisi.
  • Utilizza la dashboard di Cloud Monitoring per monitorare le prestazioni di Spanner. Per saperne di più, consulta Monitorare Spanner.
  • Implementa controlli e framework cloud in Security Command Center per rilevare vulnerabilità e minacce a Spanner (ad esempio escalation dei privilegi). Puoi configurare avvisi e playbook per gli analisti del tuo Security Operations Center (SOC) in modo che possano rispondere ai risultati.

Certificazioni e conformità

Il rispetto dei requisiti normativi è una responsabilità condivisa tra te e Google.

Spanner ha ricevuto una serie di certificazioni, tra cui le seguenti:

  • ISO 27001
  • SOC 2
  • HIPAA

Per saperne di più sulla Google Cloud conformità a diversi framework normativi e certificazioni, consulta il Centro risorse per la conformità.

Spanner supporta anche Assured Workloads, che consente di applicare controlli a cartelle specifiche della tua organizzazione Google che supportano requisiti normativi, regionali o di sovranità. Per saperne di più, consulta Prodotti supportati per pacchetto di controlli.

Passaggi successivi