數據主權簡介
對於 專業雲端安全工程師 (PSE) 而言,數據主權(Data Sovereignty)和數據駐留(Data Residency)不僅僅是簡單的「數據位置」。數據駐留 關乎數據物理存儲的位置。數據主權 則關乎誰對該數據擁有司法管轄權,以及誰可以訪問該數據,包括雲端供應商的員工。
在高度受監管的行業(政府、金融、醫療保健)或地區(歐盟、中東),您必須證明外國政府和 Google 本身都無法在未經您明確且記錄在案的同意下訪問您的數據。
白話文解釋
1. 銀行保險箱 (數據駐留)
數據駐留就像選擇特定城市的銀行分行來存儲您的黃金。您希望黃金在蘇黎世,而不是紐約。
2. 雙金鑰系統 (訪問核准)
主權就像一個需要兩把金鑰才能打開的高級安全金庫。一把金鑰由銀行(Google 支持團隊)持有,另一把金鑰由您(客戶)持有。即使銀行需要進入金庫進行維護,除非您帶著您的金鑰出現並同時轉動,否則他們也無法進入。
3. 走廊上的監視器 (訪問透明化)
訪問透明化就像一個 24/7 全天候運行的攝像頭,記錄銀行員工甚至只是走近您金庫的每一次行為。即使他們沒有打開金庫,您也有誰在何時、為什麼在那裡的記錄。
配置資源位置限制
正如組織策略中所提到的,constraints/gcp.resourceLocations 限制條件是實現數據駐留的主要機制。
數據駐留不僅適用於數據本身(靜態數據),通常也適用於 計算 (Compute)(使用中的數據)和 備份 (Backups)。PSE 必須確保 GCS 或 BigQuery 的備份策略也指向合規的區域。
訪問核准 (Access Approval):守門 Google 支持團隊
即使有最好的加密,Google 支持團隊偶爾也可能需要訪問您的數據以解決關鍵技術問題。訪問核准 (Access Approval) 允許您明確核准或拒絕這些請求。
- 工作流程:
- Google 支持團隊需要訪問權限。
- 系統向您指定的核准人發送電子郵件/通知。
- 您審查「理由」(例如:「修復案件 #123」)。
- 您在有限的時間內(例如:4 小時)授予訪問權限。
- PSE 任務: 在資料夾或組織層級實施訪問核准,以確保不會發生「影子訪問」。
訪問核准 (Access Approval) 是一項確保 Google 員工在未經您明確且有時限核准的情況下,無法訪問您的內容的服務。
訪問透明化 (Access Transparency):可視化 Google 的行為
訪問透明化 (Access Transparency) 提供 Google 人員訪問您內容時所採取行動的近乎實時日誌。
- 記錄內容: 員工身份、其所在地、訪問原因以及訪問的資源。
- 整合: 這些日誌會發送到您的 雲端審核日誌 (Cloud Audit Logs),並可匯出到 SIEM(如 Chronicle 或 Splunk)進行合規性報告。
GCP 上的主權雲端解決方案
對於具有最高主權要求的客戶(例如歐洲各國政府),Google 提供專業解決方案:
- Google Distributed Cloud (GDC) Hosted: 一種不連接公共互聯網的實體隔離 (air-gapped) 解決方案,由當地合作夥伴管理。
- 合作夥伴主導的主權雲端: 與當地實體(如德國的 T-Systems、法國的 Thales)合作,提供對雲端基礎設施的「本地控制」。
管理跨區域的數據移動
合規性通常禁止數據跨越國界,即使是為了進行處理。
- VPC 服務控制 (VPC-SC): 使用周邊防止數據從歐盟的「主權專案」複製到美國的「標準專案」。
- 區域端點 (Regional Endpoints): 為 API 使用區域端點(例如
europe-west3-aiplatform.googleapis.com),以確保元數據和處理保留在該區域內。
要做到歐盟駐留,組織策略 constraints/gcp.resourceLocations 必須搭配 VPC-SC 周邊一起部署,缺一不可:限制條件擋的是「區域外資源的建立」,但只有 VPC-SC 周邊能擋掉「已在區域內的數據被外傳」。同時要強制呼叫端走區域端點(如 europe-west3-aiplatform.googleapis.com),請求 metadata 才不會經過全球前端。
PSE 考試常見誤解:以為啟用 CMEK 搭配 Cloud HSM 就達成真正的數據主權。其實不然 — 金鑰仍存活在 Google 基礎設施內,理論上 Google 在法律強制下仍可解密。真正的主權需要 EKM + 金鑰訪問理由 (KAJ),讓外部 HSM 能獨立拒絕任何「理由」不被您接受的金鑰解封請求。
適用於受監管行業的 Assured Workloads
Assured Workloads 簡化了「合規飛地」(Compliant Enclaves) 的創建。
- 強制執行的控制: 資源位置、人員訪問(基於國籍/安全審查)以及加密要求。
- 合規體系: 支持 FedRAMP (High/Moderate)、IL4/IL5、CJIS、HIPAA 和 HITRUST。
Assured Workloads 體系對應護欄速查:FedRAMP High / IL4 / IL5 把 Google 支持人員限制為美國公民;EU Regions and Support 把數據和人員都釘在歐盟成員國內;CJIS 額外加上執法等級的人員背景調查;HIPAA / HITRUST 聚焦於 BAA 涵蓋服務與加密預設值。所有體系都會替您預先設定 constraints/gcp.resourceLocations,您不需要也不應該在 Assured Workloads 資料夾內手動設定它。
使用 Assured Workloads 監控,如果專案的配置偏離其合規基準(例如,如果管理員意外將不獲核准的區域添加到允許清單中),您將收到警報。
用於區域數據保護的金鑰管理
要實現真正的數據主權,您必須控制加密金鑰。
- Cloud HSM: 使用 FIPS 140-2 第 3 級硬體來存儲金鑰。
- 外部金鑰管理 (EKM): 將金鑰存儲在 Google 基礎設施 之外(例如:本地 HSM 或 Thales/Fortanix 等第三方提供商)。
- 金鑰訪問理由 (KAJ): 與 EKM 配合使用,如果 Google 提供的「理由」無效,允許您的外部 HSM 拒絕金鑰請求。
數據主權 = EKM + KAJ + 訪問核准。 這種組合可確保 Google 在沒有您的外部金鑰和明確核准的情況下,無法解密您的數據。
審核數據主權的數據訪問
- 數據訪問日誌 (Data Access Logs): 為所有敏感服務啟用此功能。它們顯示「誰」(包括您自己的用戶)觸碰了數據。
- 訪問透明化日誌: 它們顯示「Google 何時」觸碰了數據。
- 組合審核: 使用 BigQuery 合併這些日誌,以獲得數據訪問的 360 度全方位視圖。
PSE 最佳安全實踐
- 默認啟用訪問透明化: 這是一項低開銷、高價值的合規性勝利。
- 定義「主權邊界」: 使用 VPC-SC 包裝所有處理敏感區域數據的專案。
- 使用藍圖 (Blueprints): 使用 Google 提供的 Terraform 藍圖部署您的「主權登陸區」,以確保一致性。
- 區域性輪換金鑰: 如果使用 CMEK,請確保金鑰及其保護的數據位於同一區域,以避免跨國界的元數據洩漏。
PSE 考試場景
場景 1:防止支持團隊訪問
「您的公司有嚴格的政策,規定任何外部實體(包括雲端供應商)都不能在沒有核准記錄的情況下訪問數據。您應該使用哪些 GCP 服務?」 答案: 啟用 訪問透明化 (Access Transparency)(用於記錄)和 訪問核准 (Access Approval)(用於把關)。
場景 2:美國政府機構的合規性
「一個美國政府機構需要在 GCP 上存儲敏感數據 (CUI),並要求只有美國公民才能管理底層基礎設施。您如何滿足這一要求?」 答案: 使用具有 FedRAMP High 或 IL4 體系的 Assured Workloads。這會自動根據國籍限制 Google 支持人員。
總結清單
- 區分數據駐留和數據主權。
- 配置訪問核准並識別其核准人。
- 說明如何使用訪問透明化日誌。
- 描述 EKM 和金鑰訪問理由在主權中的作用。
- 了解 Assured Workloads 如何自動化合規護欄。