法規合規性簡介
對於 專業雲端安全工程師 (Professional Cloud Security Engineer, PSE) 來說,合規性不僅僅是一項「文書工作」。它是確保您的雲端基礎設施符合您運營所在的行業和地區的法律法規要求的過程。Google Cloud 提供底層的安全基礎設施,但 PSE 負責配置和審計環境以維持合規性。
Google Cloud Artifact 是一個集中式資源庫,您可以在其中下載證明 Google 合規性的審計報告和認證,然後將這些資料提供給您自己的審計員。
白話文解釋
1. 租房子 (責任分擔模型)
當您租公寓時,房東負責建築的基礎、屋頂和管道(Google 的責任:基礎設施)。您負責鎖好前門、確保爐灶已關閉,以及將鑰匙交給誰(您的責任:配置和數據)。如果有人因為您沒關門而闖入,那是您的責任,而不是房東的責任。
2. 建築檢查員的證書 (Google Cloud Artifact)
想像您正在開一家餐廳。為了證明建築是安全的,您需要市建築檢查員的證書。您不需要自己執行檢查;您只需去市檔案室 (Artifact) 下載一份檢查員報告的副本,向您的保險公司出示即可。
3. 安全藍圖 (控制項映射)
想一想標準的電氣規範(法規框架)。PSE 採用該規範並將其映射到他們的特定建築計劃(GCP 環境)。「要求 1:所有電線必須接地」對應於「GCP 控制項:所有數據必須使用 CMEK 進行靜態加密」。
責任分擔模型 (Shared Responsibility Model)
雲端合規性是一項合作夥伴關係。
- Google 的責任(雲端內部的安全 - Security OF the Cloud): 數據中心的物理安全、硬體、Hypervisor 和全球網絡。
- 客戶的責任(雲端上的安全 - Security IN the Cloud): IAM 政策、網絡防火牆、數據加密、客戶機 OS 補丁和應用程序級安全。
責任範圍會根據服務模型(IaaS, PaaS 或 SaaS)而變化。例如,在 Compute Engine (IaaS) 中,您負責 OS 補丁。在 Cloud Functions (PaaS) 中,Google 負責 OS 補丁。
Google Cloud Artifact (合規報告管理器)
Artifact 是一個自助服務門戶,用於按需訪問合規報告。
- Artifact 中的文件類型:
- SOC 1, 2, 和 3 報告: 關於 Google 內部控制的審計報告。
- ISO/IEC 證書: 27001, 27017 和 27018 認證。
- PCI DSS 合規性證明 (AoC): 對於任何處理信用卡的業務都至關重要。
- 橋接與補充文件: 針對特定地區要求的特定文件(例如德國 BSI C5)。
Google Cloud Artifact 是一個門戶,為客戶提供免費、自助式的服務,以獲取 Google 的合規報告、證書和白皮書。
關鍵法規框架與 GCP
1. HIPAA (醫療保健)
- 核心: 保護受保護的健康信息 (PHI)。
- PSE 任務: 確保與 Google 簽署了 商業夥伴協議 (BAA)。使用 Cloud DLP 尋找 PHI,並使用 KMS 對其進行加密。
2. GDPR (隱私 - 歐盟)
- 核心: 歐盟公民的數據隱私和主權。
- PSE 任務: 使用 區域端點 (Regional Endpoints) 確保數據保留在歐洲境內。使用 BigQuery 或 GCS 中的自動數據刪除政策實施「被遺忘權」。
3. FedRAMP (美國政府)
- 核心: 美國政府使用的雲端產品的標準化安全。
- PSE 任務: 使用「FedRAMP High」授權的區域和服務。啟用 Assured Workloads 以自動執行 FedRAMP 特定的控制項。
4. PCI DSS (支付)
- 核心: 保護信用卡持有人數據。
- PSE 任務: 使用 VPC Service Controls 隔離「持卡人數據環境 (CDE)」。使用令牌化 (Tokenization)(通過 DLP),確保您的數據庫中永遠不會存儲實際的卡號。
將 GCP 安全控制項映射到框架
PSE 必須能夠將「審計員語言」翻譯成「雲端工程師語言」。
- 審計員: 「您是否有誰訪問過此數據庫的記錄?」
- PSE: 「是的,我們為 BigQuery 啟用了 數據訪問審計日誌 (Data Access Audit Logs),並將其導出到受限的 GCS 存儲桶。」
- 審計員: 「您如何防止數據被移動到未經批准的地點?」
- PSE: 「我們使用 VPC Service Controls 在敏感專案周圍創建服務邊界。」
法規合規性審計
- 持續審計: 使用 SCC Premium 持續監控是否違反 CIS, PCI DSS 或 NIST 800-53 基準。
- 日誌保留: 大多數法規要求日誌保留 1 到 7 年。使用具有長期保留政策的 日誌桶 (Log Buckets),以經濟高效的方式滿足這些要求。
使用 組織政策服務 (Organization Policy Service) 「從源頭」強制執行合規性(例如禁止在整個組織中創建外部 IP)。
管理第三方風險與評估
當您在 GCP 上使用第三方工具(例如市場鏡像或 SaaS 集成)時:
- 您負責評估該第三方的安全性。
- 檢查該第三方是否擁有自己的合規認證(SOC 2, ISO 27001)。
- 使用 Binary Authorization 確保只有經過批准的第三方鏡像才能部署到您的 GKE 集群。
地區與行業特定合規性
- 金融服務 (FSI): 對於「退場策略 (Exit Strategies)」和「運營韌性 (Operational Resilience)」有特定要求。
- 澳大利亞 (IRAP): 澳大利亞政府數據的合規性。
- 德國 (TISAX): 汽車行業的信息安全。
Assured Workloads:合規自動化
Assured Workloads 是 GCP 的一項服務,可自動執行合規性。
- 它通過自動應用組織政策和資源位置限制來創建「合規環境」。
- 它確保訪問您環境的 Google 支持人員符合特定的國籍或背景調查要求(例如針對 FedRAMP 或 IL5)。
即使使用 Assured Workloads,客戶仍然負責管理 IAM 和應用程序安全。它不是實現完全合規的「神奇按鈕」。
針對美國政府工作負載(FedRAMP High、IL5),考試情境預期使用 Assured Workloads,而不是自行拼湊 VPC-SC + 組織政策。Assured Workloads 是唯一能同時鎖定資料位置、將 Google 支援人員限制為通過篩選的美國公民,並自動套用 FedRAMP 特定資源位置防護欄的 GCP 構造。在 HIPAA 情境中,再搭配已簽署的 BAA。
可以從 Google Cloud Artifact(合規報告管理器)實際下載的文件:SOC 1、SOC 2、SOC 3 報告、ISO/IEC 27001、27017、27018 證書、PCI DSS 合規性證明 (AoC),以及區域橋接/補充文件,例如 德國 BSI C5。存取是免費且自助的——若審計員要求證明 Google 資料中心的實體控制,答案就是「從 Artifact 下載最新的 SOC 2 Type II 報告」。
PSE 安全最佳實踐
- 從 Artifact 開始: 在專案開始之前,從 Artifact 下載相關的合規報告,以了解 Google 的控制項。
- 使用合規性儀表板: 定期檢查 SCC 合規性儀表板,以識別不合規的資源。
- 記錄一切: 維持一份「合規矩陣」,將每項法規要求映射到特定的 GCP 控制項和特定的監控告警。
- 最小權限即合規: 幾乎每項法規(HIPAA, PCI, GDPR)都要求嚴格的訪問控制。通過 IAP 和 ACM 實施 零信任 (Zero Trust) 以滿足這些要求。
PSE 考試場景
場景 1:向審計員證明合規性
「審計員要求證明 Google 的數據中心在物理上是安全的,並且 Google 員工無法訪問您的加密金鑰。您在哪裡可以找到這些證明?」 解答: 登入 Google Cloud Artifact。下載最新的 SOC 2 Type II 報告(用於物理安全證明)和 Cloud KMS 白皮書/審計報告(用於金鑰管理證明)。
場景 2:部署符合 HIPAA 標準的應用程序
「您的任務是部署一個存儲病歷的新型醫療保健應用程序。您應該採取的首要三個安全步驟是什麼?」 解答:
- 確認您的組織已簽署 BAA (商業夥伴協議)。
- 使用 Assured Workloads 創建一個具有符合 HIPAA 標準防護欄的專案。
- 為所有將接觸病人數據的服務啟用 數據訪問審計日誌。
總結清單
- 定義 IaaS, PaaS 和 SaaS 的責任分擔模型。
- 解釋如何使用 Google Cloud Artifact 查找審計報告。
- 列出至少三個常見的法規框架(HIPAA, GDPR 等)。
- 描述 Assured Workloads 的目的。
- 了解 SCC 在持續合規監控中的作用。