Sicurezza, privacy, rischio e conformità per Spanner

Questo documento fornisce una panoramica dei vari controlli che supportano la sicurezza di Spanner su Google Cloud e link a ulteriori informazioni su come configurare i controlli. I controlli di sicurezza come le opzioni di sicurezza di rete, le policy e la gestione degli accessi possono aiutarti a gestire i rischi aziendali e a soddisfare i requisiti di privacy e normativi applicabili alla tua attività.

La sicurezza, la privacy, il rischio e la conformità di Spanner utilizzano un modello di responsabilità condivisa. Ad esempio, Google protegge l'infrastruttura su cui vengono eseguiti Spanner e altri Google Cloud servizi e ti fornisce le funzionalità che ti aiutano a gestire l'accesso ai tuoi servizi e alle tue risorse. Per saperne di più su come proteggiamo l'infrastruttura, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Servizi di cui è stato eseguito il provisioning

Quando inizi a utilizzare Spanner, devi abilitare le seguenti API:

https://spanner.googleapis.com

Per saperne di più, consulta la guida rapida: crea ed esegui query su un database in Spanner utilizzando la console Google Cloud .

Autenticazione per la gestione Google Cloud

Gli amministratori e gli sviluppatori che creano e gestiscono le istanze di Spanner devono autenticarsi per Google Cloud verificare la propria identità e i privilegi di accesso. Devi configurare ogni utente con un account utente gestito da Cloud Identity, Google Workspace o un provider di identità di cui hai eseguito la federazione con Cloud Identity o Google Workspace. Per saperne di più, consulta Panoramica di Identity and Access Management.

Dopo aver creato gli account utente, implementa le best practice di sicurezza, come il Single Sign-On e la verifica in due passaggi.

Autenticazione per l'accesso alle risorse Google Cloud

La federazione delle identità per la forza lavoro ti consente di utilizzare il tuo provider di identità (IdP) esterno per autenticare gli utenti della forza lavoro in modo che possano accedere Google Cloud alle risorse. Utilizza la federazione delle identità per la forza lavoro quando gli utenti richiedono l'accesso programmatico alle tue Google Cloud risorse e memorizzi le credenziali degli utenti negli IdP che supportano OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

La federazione delle identità per i workload ti consente di utilizzare il tuo IdP esterno per concedere ai workload on-premise o multi-cloud l'accesso alle Google Cloud risorse senza utilizzare una chiave dell'account di servizio. Puoi utilizzare la federazione delle identità con IdP come Amazon Web Services (AWS), Microsoft Entra ID, GitHub o Okta.

Per saperne di più sul supporto di Spanner per la federazione delle identità, consulta Servizi supportati per l'identità federata.

Per saperne di più sull'autenticazione in Google Cloud, consulta Autenticazione.

Identity and Access Management

Per gestire i ruoli IAM (Identity and Access Management) su larga scala per amministratori e sviluppatori, valuta la possibilità di creare gruppi funzionali separati per i vari ruoli utente e applicazioni. Concedi ai tuoi gruppi i ruoli o le autorizzazioni IAM necessari per gestire Spanner. Quando assegni i ruoli ai gruppi, segui il principio del privilegio minimo e altre best practice di sicurezza IAM. Per saperne di più, consulta Best practice per l'utilizzo di Gruppi Google.

Per saperne di più sulla configurazione di IAM, consulta Panoramica di IAM.

Spanner supporta il controllo dell'accesso granulare IAM, che ti consente di utilizzare le entità IAM per controllare l'accesso a database, tabelle, colonne e viste di Spanner. Per saperne di più, consulta Informazioni sul controllo dell'accesso granulare.

Account di servizio Spanner

Quando abiliti Spanner, Google crea account di servizio per te. Un account di servizio è un tipo speciale di Account Google non interattivo utilizzato in genere da un'applicazione o da un carico di lavoro di calcolo, come un'istanza di Compute Engine, anziché da una persona. Le applicazioni utilizzano gli account di servizio per accedere alle API di Google.

Agenti di servizio

Per consentire a Spanner di accedere alle tue risorse per tuo conto, Google Cloud crea un account di servizio speciale noto come service agent.

Quando abiliti Spanner, viene creato il seguente service agent Spanner:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Policy per Spanner

Le policy dell'organizzazione predefinite che si applicano a Spanner includono le seguenti:

Limita la creazione di istanze che utilizzano le versioni di Spanner (constraints/spanner.managed.restrictCloudSpannerEditions)

Per saperne di più sulle policy, consulta Utilizzare le policy dell'organizzazione per Spanner.

Puoi utilizzare le policy dell'organizzazione personalizzate per configurare le limitazioni su Spanner a livello di progetto, cartella o organizzazione. Per saperne di più, consulta Creazione e gestione di vincoli personalizzati.

Sicurezza della rete

Per impostazione predefinita, Google applica le protezioni predefinite ai dati in transito per tutti i Google Cloud servizi, incluse le istanze di Spanner in esecuzione su Google Cloud. Per saperne di più sulle protezioni di rete predefinite, consulta Crittografia dei dati in transito.

Se richiesto dalla tua organizzazione, puoi configurare controlli di sicurezza aggiuntivi per proteggere ulteriormente il traffico sulla Google Cloud rete e il traffico tra la Google Cloud rete e la rete aziendale. Considera quanto segue:

Spanner supporta i Controlli di servizio VPC. I Controlli di servizio VPC ti consentono di controllare lo spostamento dei dati nei servizi Google e di configurare la sicurezza perimetrale basata sul contesto.
In Google Cloud, valuta la possibilità di utilizzare il VPC condiviso come tua topologia di rete. Il VPC condiviso fornisce una gestione centralizzata della configurazione di rete mantenendo al contempo la separazione degli ambienti.
Utilizza Cloud VPN o Cloud Interconnect per massimizzare la sicurezza e l'affidabilità della connessione tra la rete aziendale e Google Cloud. Per saperne di più, consulta Scegliere un prodotto di connettività di rete.

Per saperne di più sulle best practice per la sicurezza di rete, consulta Implementare Zero Trust e Decidere la progettazione della rete per la tua Google Cloud landing zone.

Connettività delle applicazioni

Puoi proteggere la connessione tra le applicazioni e Spanner utilizzando i seguenti metodi:

Accesso VPC serverless per connettere Spanner direttamente a Cloud Run.
Private Service Connect per connetterti a un' applicazione gestita in un altro VPC su Google Cloud utilizzando l'indirizzo IP privato di Spanner. Utilizza questo metodo per mantenere il traffico in Google Cloud.

Per saperne di più sulle opzioni per la configurazione delle connessioni ai servizi senza un indirizzo IP esterno, consulta Opzioni di accesso privato per i servizi.

Autenticazione client

Spanner fornisce i seguenti metodi di autenticazione per i client:

Autenticazione IAM

Protezione e privacy dei dati

Spanner cripta i dati archiviati in Google Cloud utilizzando la crittografia predefinita. I dati di esempio includono quanto segue:

Nomi di tabelle e colonne
Nomi degli indici
Schema del database
Dati archiviati nelle tabelle

Questi dati sono accessibili solo dalle istanze di Spanner.

Puoi abilitare le chiavi di crittografia gestite dal cliente (CMEK) per criptare i dati at-rest. Con CMEK, le chiavi vengono archiviate in Cloud Key Management Service (Cloud KMS) come chiavi protette dal software o chiavi protette dall'hardware con Cloud HSM, ma sono gestite da te. Per eseguire automaticamente il provisioning delle chiavi di crittografia, puoi abilitare Cloud KMS Autokey. Quando abiliti Autokey, uno sviluppatore può richiedere una chiave da Cloud KMS e il service agent esegue il provisioning di una chiave che corrisponde all'intento dello sviluppatore. Con Cloud KMS Autokey, le chiavi sono disponibili on demand, sono coerenti e seguono le pratiche standard del settore.

Inoltre, Spanner supporta Cloud External Key Manager (Cloud EKM), che ti consente di archiviare le chiavi in un gestore di chiavi esterno al di fuori di Google Cloud. Per saperne di più, consulta Panoramica delle chiavi di crittografia gestite dal cliente (CMEK).

Dove vengono trattati i dati

Spanner supporta la residenza dei dati per i dati archiviati su Google Cloud. La residenza dei dati ti consente di scegliere le regioni in cui vuoi archiviare i dati utilizzando il vincolo di policy Restrizione della località delle risorse. Puoi utilizzare Cloud Asset Inventory per verificare la località delle risorse Spanner.

Se hai bisogno della residenza dei dati per i dati in uso, puoi configurare Assured Workloads. Per saperne di più, consulta Assured Workloads e residenza dei dati.

Privacy dei dati

Per proteggere la privacy dei tuoi dati, Spanner è conforme ai Principi di privacy comuni.

Spanner agisce in qualità di responsabile del trattamento dei dati per i dati dei clienti. Google agisce anche in qualità di titolare del trattamento dei dati per informazioni come la fatturazione e la gestione degli account e il rilevamento di comportamenti illeciti. Per saperne di più, consulta l'Google Cloud Informativa sulla privacy.

Audit logging

Spanner scrive i seguenti tipi di audit log:

Audit log delle attività di amministrazione: include le operazioni ADMIN WRITE che scrivono i metadati o le informazioni di configurazione.
Audit log di accesso ai dati: include le operazioni ADMIN READ che leggono i metadati o le informazioni di configurazione. Include anche le operazioni DATA READ e DATA WRITE che leggono o scrivono i dati forniti dall'utente.
Audit log degli eventi di sistema: identifica le azioni automatizzate Google Cloud che modificano la configurazione delle risorse.

Per saperne di più, consulta Audit logging.

Trasparenza degli accessi

Puoi utilizzare Access Approval e Access Transparency per controllare l'accesso alle istanze di Spanner da parte del personale Google che supporta il servizio. Access Approval ti consente di approvare o respingere le richieste di accesso da parte dei dipendenti di Google. I log di Access Transparency offrono informazioni quasi in tempo reale quando Google Cloudgli amministratori accedono alle risorse.

Monitoraggio e risposta agli incidenti

Puoi utilizzare una serie di strumenti per monitorare le prestazioni e la sicurezza di Spanner. Considera quanto segue:

Esplora log per visualizzare e analizzare i log degli eventi e creare metriche personalizzate e avvisi.
Utilizza la dashboard di Cloud Monitoring per monitorare le prestazioni di Spanner. Per saperne di più, consulta Monitorare Spanner.
Esegui il deployment di controlli e framework cloud in Security Command Center per rilevare vulnerabilità e minacce a Spanner (ad esempio escalation dei privilegi). Puoi configurare avvisi e playbook per gli analisti del Security Operations Center (SOC) in modo che possano rispondere ai risultati.

Certificazioni e conformità

Il rispetto dei requisiti normativi è una responsabilità condivisa tra te e Google.

Spanner ha ricevuto una serie di certificazioni, tra cui:

ISO 27001
SOC 2
HIPAA

Per saperne di più sulla Google Cloud conformità a diversi framework normativi e certificazioni, consulta il Centro risorse per la conformità.

Spanner supporta anche Assured Workloads, che ti consente di applicare i controlli a cartelle specifiche della tua organizzazione Google che supportano i requisiti normativi, regionali o di sovranità. Per saperne di più, consulta Prodotti supportati per pacchetto di controlli.

Passaggi successivi

Abilita i backup.
Utilizza Google Threat Intelligence per monitorare le minacce esterne applicabili alla tua attività.
Scopri di più su Identity and Access Management in Spanner.
Scopri di più sulla crittografia dei dati in Spanner.

Sicurezza, privacy, rischio e conformità per Spanner Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.