Spanner 的安全性、隐私权、风险和合规性

本文档简要介绍了各种有助于确保 Spanner on Google Cloud 安全性的控制机制,并提供了有关如何配置这些控制机制的更多信息的链接。网络安全选项、政策和访问管理等安全控制机制可以帮助您应对业务风险,并满足适用于您的业务的隐私权和监管要求。

Spanner 的安全性、隐私性、风险和合规性采用责任共担模型。例如,Google 会确保 Spanner 和其他 Google Cloud 服务运行的基础设施的安全,并为您提供相关功能,帮助您管理对服务和资源的访问权限。如需详细了解我们如何确保基础设施的安全,请参阅 Google 基础设施安全设计概览

已预配的服务

开始使用 Spanner 时,您需要启用以下 API:

如需了解详情,请参阅快速入门:使用 Google Cloud 控制台在 Spanner 中创建和查询数据库

Google Cloud 管理的身份验证

创建和管理 Spanner 实例的管理员和开发者必须向 Google Cloud 进行身份验证,以验证其身份和访问权限。 您必须为每位用户设置一个由 Cloud Identity、Google Workspace 或您已与之建立联合身份的身份提供方管理的用户账号。如需了解详情,请参阅 Google 身份管理概览

创建用户账号后,请实施安全最佳实践,例如单点登录两步验证

Google Cloud 资源访问的身份验证

借助员工身份联合,您可以使用外部身份提供方 (IdP) 对员工用户进行身份验证,以便他们能够访问 Google Cloud 资源。如果用户需要以程序化方式访问您的 Google Cloud 资源,并且您将用户的凭据存储在支持 OpenID Connect (OIDC) 或安全断言标记语言 (SAML) 的 IdP 中,请使用员工身份联合。

借助工作负载身份联合,您可以使用外部 IdP 授予本地或多云工作负载对 Google Cloud 资源的访问权限,而无需使用服务账号密钥。您可以将身份联合与 Amazon Web Services (AWS)、Microsoft Entra ID、GitHub 或 Okta 等 IdP 搭配使用。

如需详细了解 Spanner 对身份联合的支持,请参阅支持联合身份的服务

如需详细了解 Google Cloud中的身份验证,请参阅身份验证

Identity and Access Management

如需大规模管理管理员和开发者的 Identity and Access Management (IAM) 角色,请考虑为各种用户角色和应用创建单独的功能组。向群组授予管理 Spanner 所需的 IAM 角色或权限。向群组分配角色时,请遵循最小权限原则和其他 IAM 安全最佳实践。如需了解详情,请参阅使用 Google 群组的最佳实践

如需详细了解如何设置 IAM,请参阅 IAM 概览

Spanner 支持 IAM 精细的访问权限控制,可让您使用 IAM 主账号来控制对 Spanner 数据库、表、列和视图的访问权限。如需了解详情,请参阅精细访问权限控制简介

Spanner 服务账号

启用 Spanner 时,Google 会为您创建服务账号。服务账号是一种特殊的非交互式 Google 账号,通常由应用或计算工作负载(例如 Compute Engine 实例)而非真人使用。应用使用服务账号来访问 Google API。

服务代理

为了让 Spanner 能够代表您访问您的资源,Google Cloud 会创建一个名为服务代理的特殊服务账号。

启用 Spanner 时,系统会创建以下 Spanner 服务代理:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Spanner 政策

适用于 Spanner 的预定义组织政策包括:

  • 限制使用 Spanner 版本 (constraints/spanner.managed.restrictCloudSpannerEditions) 的实例的创建

如需详细了解政策,请参阅使用组织政策管理 Spanner

您可以使用自定义组织政策在项目、文件夹或组织级层配置对 Spanner 的限制。如需了解详情,请参阅创建和管理自定义限制条件

网络安全

默认情况下,Google 会对所有 Google Cloud 服务(包括在 Google Cloud上运行的 Spanner 实例)传输中的数据应用默认保护。如需详细了解默认网络保护功能,请参阅传输中加密

如果您的组织要求,则可以配置额外的安全控制机制,以进一步保护 Google Cloud 网络上的流量以及 Google Cloud 网络与公司网络之间的流量。请考虑以下事项:

  • Spanner 支持 VPC Service Controls。 借助 VPC Service Controls,您可以控制 Google 服务中数据的移动,并设置基于上下文的边界安全性。
  • 在 Google Cloud中,请考虑使用共享 VPC 作为您的网络拓扑。共享 VPC 提供集中式网络配置管理,同时使环境保持分离。
  • 使用 Cloud VPN 或 Cloud Interconnect 可最大限度地提高公司网络与 Google Cloud之间的连接的安全性和可靠性。如需了解详情,请参阅选择 Network Connectivity 产品

如需详细了解网络安全最佳实践,请参阅实现零信任确定 Google Cloud 着陆区的网络设计

应用连接

您可以使用以下方法保护应用与 Spanner 之间的连接:

  • 无服务器 VPC 访问通道,用于将 Spanner 与 Cloud Run 直接连接。
  • Private Service Connect,可使用 Spanner 专用 IP 地址连接到 Google Cloud 上另一个 VPC 中的代管式应用。使用此方法可将流量保留在 Google Cloud中。

如需详细了解如何设置与没有外部 IP 地址的服务的连接的选项,请参阅服务的专用访问通道选项

客户端身份验证

Spanner 为客户端提供以下身份验证方法:

数据保护和隐私权

Spanner 使用默认加密对存储在 Google Cloud中的数据进行加密。示例数据包括以下内容:

  • 表和列名称
  • 索引名称
  • 数据库架构
  • 存储在表中的数据

只有 Spanner 实例可以访问此类数据。

您可以启用客户管理的加密密钥 (CMEK) 来加密静态数据。借助 CMEK,密钥会以软件保护的密钥或硬件保护的密钥(通过 Cloud HSM)的形式存储在 Cloud Key Management Service (Cloud KMS) 中,但由您管理。如需自动预配加密密钥,您可以启用 Cloud KMS Autokey。启用 Autokey 后,开发者可以向 Cloud KMS 请求密钥,服务代理会预配符合开发者意图的密钥。借助 Cloud KMS Autokey,密钥可按需使用、一致且遵循行业标准实践。

此外,Spanner 还支持 Cloud External Key Manager (Cloud EKM),让您可以在 Google Cloud之外的外部密钥管理器中存储密钥。如需了解详情,请参阅客户管理的加密密钥 (CMEK) 概览

数据的处理地点

Spanner 支持对存储在 Google Cloud上的数据进行数据驻留。借助数据驻留,您可以使用资源位置限制政策限制条件选择要存储数据的区域。您可以使用 Cloud Asset Inventory 验证 Spanner 资源的位置。

如果您需要对使用中的数据进行数据驻留,可以配置 Assured Workloads。如需了解详情,请参阅 Assured Workloads 和数据驻留

数据隐私

为了帮助保护数据隐私权,Spanner 遵循通用隐私权原则

Spanner 充当客户数据的处理方。Google 还充当数据控制方,负责处理结算、账号管理和滥用检测等信息。如需了解详情,请参阅Google Cloud 隐私权声明

审核日志记录

Spanner 会写入以下类型的审核日志:

  • 管理员活动审核日志:包括写入元数据或配置信息的 ADMIN WRITE 操作。

  • 数据访问审核日志:包括读取元数据或配置信息的 ADMIN READ 操作。此外,还包括读取或写入用户提供的数据的 DATA READDATA WRITE 操作。

  • 系统事件审核日志:标识修改资源配置的自动 Google Cloud操作。

如需了解详情,请参阅审核日志记录

Access Transparency

您可以使用 Access ApprovalAccess Transparency 来控制支持相应服务的 Google 人员对 Spanner 实例的访问权限。借助 Access Approval,您可以批准或拒绝 Google 员工的访问请求。Access Transparency 日志可让您近乎实时地了解管理员何时访问了资源。 Google Cloud

监控和突发事件响应

您可以使用各种工具来帮助您监控 Spanner 的性能和安全性。请考虑以下事项:

  • Logs Explorer 查看和分析事件日志,并创建自定义指标和提醒。
  • 使用 Cloud Monitoring 信息中心监控 Spanner 的性能。如需了解详情,请参阅监控 Spanner
  • 在 Security Command Center 中部署云控制措施和框架,以检测 Spanner 的漏洞和威胁(例如提升权限)。您可以为安全运维中心 (SOC) 分析师设置提醒和 playbook,以便他们能够响应发现结果。

认证和合规性

满足监管要求是您与 Google 共同承担的责任

Spanner 已获得各种认证,包括:

  • ISO 27001
  • SOC 2
  • HIPAA

如需详细了解 Google Cloud 如何遵守不同的监管框架和认证,请访问合规性资源中心

Spanner 还支持 Assured Workloads,让您可以对 Google 组织中的特定文件夹应用控制措施,以满足监管、区域或主权要求。如需了解详情,请参阅按控制措施套餐支持的产品

后续步骤