במסמך הזה מפורטות שיטות מומלצות והנחיות למערכות לניהול נתונים כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.
מערכות לניהול נתונים כמו BigQuery ו-Cloud Storage מאפשרות לכם לאחסן את הנתונים שאתם צריכים לתהליכי העבודה שלכם, כולל נתוני אימון, ארטיפקטים של מודלים ונתוני ייצור.
אמצעי בקרה נפוצים
אמצעי הבקרה האלה חלים על כל מערכות ניהול הנתונים.
הפעלה של Sensitive Data Protection לבדיקת נתונים
| מזהה הבקרה של Google | COM-CO-5.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | Cloud de Confiance מומלץ להשתמש ב-Sensitive Data Protection. סוגי המידע או תבניות המשימות שתבחרו תלויים במערכות הספציפיות שלכם. |
| מוצרים רלוונטיים |
Sensitive Data Protection |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אמצעי בקרה במחסן נתונים
אמצעי הבקרה האלה חלים על BigQuery.
מוודאים שמערכי הנתונים ב-BigQuery לא ניתנים לקריאה על ידי הציבור או מוגדרים ל-allAuthenticatedUsers
| מזהה הבקרה של Google | BQ-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | מוודאים שב-BigQuery אין מערכי נתונים שפתוחים לגישה ציבורית, אלא אם מערכי הנתונים מיועדים להיות ציבוריים. מערכי נתונים ב-BigQuery מכילים לעיתים קרובות מידע אישי רגיש. הגבלת הגישה למידע במערך נתונים ב-BigQuery למשתמשים ספציפיים בלבד. כדי להגדיר את ההגנה הזו, צריך להגדיר תפקידים מפורטים. בדיקת הגישה למערך הנתונים עוזרת לוודא שלא חושפים נתונים לאינטרנט שלא במתכוון. |
| מוצרים רלוונטיים |
|
| נתיב | cloudasset.assets/assetType |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
מוודאים שטבלאות BigQuery לא ניתנות לקריאה באופן ציבורי או מוגדרות ל-allAuthenticatedUsers
| מזהה הבקרה של Google | BQ-CO-6.2 |
|---|---|
| הטמעה | חובה |
| תיאור | הגבלת הגישה למידע בטבלה ב-BigQuery למשתמשים ספציפיים בלבד. כדי להגדיר את ההגנה הזו, צריך להגדיר תפקידים מפורטים. |
| מוצרים רלוונטיים |
|
| נתיב | cloudasset.assets/iamPolicy.bindings.members |
| אופרטור | anyof |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הצפנה של ערכים בודדים בטבלה ב-BigQuery
| מזהה הבקרה של Google | BQ-CO-6.3 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | אם הארגון שלכם דורש להצפין ערכים נפרדים בטבלה ב-BigQuery, אתם יכולים להשתמש בפונקציות ההצפנה של AEAD (הצפנה מאומתת עם נתונים משויכים). |
| מוצרים רלוונטיים |
BigQuery |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש בתצוגות מורשות למערכי נתונים ב-BigQuery
| מזהה הבקרה של Google | BQ-CO-6.4 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | תצוגות מורשות מאפשרות לכם לשתף קבוצת משנה של נתונים במערך נתונים עם משתמשים ספציפיים. לדוגמה, תצוגה מורשית מאפשרת לכם לשתף תוצאות של שאילתות עם משתמשים וקבוצות מסוימים בלי לתת להם גישה לנתוני המקור הבסיסיים. |
| מוצרים רלוונטיים |
BigQuery |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש באבטחה ברמת העמודה ב-BigQuery
| מזהה הבקרה של Google | BQ-CO-6.5 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | משתמשים באבטחה ברמת העמודה ב-BigQuery כדי ליצור מדיניות שבודקת בזמן השאילתה אם למשתמש יש גישה מתאימה. BigQuery מספק גישה מדויקת לעמודות עם נתונים רגישים באמצעות תגי מדיניות או סיווג מבוסס-נתונים. |
| מוצרים רלוונטיים |
BigQuery |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש באבטחה ברמת השורה ב-BigQuery
| מזהה הבקרה של Google | BQ-CO-6.6 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | אפשר להשתמש באבטחה ברמת השורה ובמדיניות גישה כדי להפעיל בקרת גישה פרטנית לקבוצת משנה של נתונים בטבלה ב-BigQuery. |
| מוצרים רלוונטיים |
BigQuery |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש בתרשימי משאבים של BigQuery
| מזהה הבקרה של Google | BQ-CO-7.1 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | תרשימי משאבים של BigQuery מאפשרים לאדמינים של BigQuery לראות איך הארגון, התיקייה או ההזמנה שלהם משתמשים במשבצות זמן של BigQuery ומה הביצועים של השאילתות שלהם. |
| מוצרים רלוונטיים |
BigQuery |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אמצעי בקרה לניהול האחסון
אמצעי הבקרה האלה חלים על Cloud Storage.
חסימת גישה ציבורית לקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-4.1 |
|---|---|
| הטמעה | חובה |
| תיאור | האילוץ הבוליאני |
| מוצרים רלוונטיים |
|
| נתיב | constraints/storage.publicAccessPrevention |
| אופרטור | == |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש בגישה אחידה ברמת הקטגוריה
| מזהה הבקרה של Google | GCS-CO-4.2 |
|---|---|
| הטמעה | חובה |
| תיאור | האילוץ הבוליאני שימוש בשתי מערכות שונות וסותרות לניהול הרשאות בדלי אחסון הוא מורכב ומהווה סיבה נפוצה לדליפות נתונים לא מכוונות. ההגדרה הזו משביתה את המערכת מדור קודם (רשימות של בקרת גישה, או ACL) והופכת את המערכת המודרנית והמרכזית (IAM) למקור האמת היחיד לכל ההרשאות. |
| מוצרים רלוונטיים |
|
| נתיב | constraints/storage.uniformBucketLevelAccess |
| אופרטור | == |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגנה על מפתחות HMAC לחשבונות שירות
| מזהה הבקרה של Google | GCS-CO-6.9 |
|---|---|
| הטמעה | חובה |
| תיאור | מפתח HMAC הוא סוג של פרטי כניסה לטווח ארוך שמשויכים לחשבון שירות או לחשבון משתמש ב-Cloud Storage. אפשר להשתמש במפתח HMAC כדי ליצור חתימות ולכלול אותן בבקשות ל-Cloud Storage. החתימה מוכיחה שמשתמש או חשבון שירות אישרו בקשה. בניגוד לפרטי כניסה לטווח קצר (כמו. אסימוני OAuth 2.0), מפתחות HMAC לא פוקעים באופן אוטומטי ונשארים בתוקף עד לביטול ידני. מפתחות HMAC הם פרטי כניסה בסיכון גבוה: אם הם נפרצים, הם מספקים גישה מתמשכת למשאבים שלכם. עליכם לוודא שקיימים מנגנונים מתאימים שיעזרו להגן עליהם. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.projects.hmacKeys/id |
| אופרטור | קיים |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
זיהוי של ספירת קטגוריות של Cloud Storage על ידי חשבונות שירות
| מזהה הבקרה של Google | GCS-CO-7.2 |
|---|---|
| הטמעה | חובה |
| תיאור | חשבונות שירות הם זהויות לא אנושיות שמיועדות לאפליקציות, וההתנהגות שלהן צפויה ואוטומטית. בדרך כלל, חשבונות שירות לא צריכים לפרט את הבאקטים, כי הם כבר ממופים. לכן, אם אתם מזהים חשבון שירות שמנסה לאחזר רשימה של כל הקטגוריות של Cloud Storage, עליכם לבדוק את זה באופן מיידי. גורם זדוני שקיבל גישה לחשבון השירות משתמש לעיתים קרובות בספירה לצורך איסוף מידע כטכניקת איסוף מידע. |
| מוצרים רלוונטיים |
|
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
זיהוי שינויים במדיניות IAM של דליים ב-Cloud Storage באמצעות חשבונות שירות
| מזהה הבקרה של Google | GCS-CO-7.3 |
|---|---|
| הטמעה | חובה |
| תיאור | הגדרת התראה שתזהה מתי מדיניות ניהול הזהויות והרשאות הגישה (IAM) של קטגוריה של Cloud Storage משתנה כדי להעניק גישה ציבורית. ההתראה הזו מופעלת כשמוסיפים את חשבונות המשתמש בהתראה, מגדירים את מאפיין ה-JSON |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
איך מוודאים שמדיניות שמירת הנתונים של קטגוריה ב-Cloud Storage משתמשת בנעילת קטגוריה
| מזהה הבקרה של Google | GCS-CO-6.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | בהתאם לדרישות הרגולטוריות, חשוב לוודא שכללי מדיניות שמירת הנתונים של כל קטגוריה ב-Cloud Storage נעולים. מגדירים את תקופת השמירה לפרק זמן שעומד בדרישות שלכם. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/retentionPolicy.isLocked |
| אופרטור | != |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת כללים של מחזור החיים לפעולה SetStorageClass
| מזהה הבקרה של Google | GCS-CO-6.11 |
|---|---|
| הטמעה | מומלץ |
| תיאור | החלת כללי מחזור חיים על כל קטגוריה של Cloud Storage שיש לה סוג פעולה |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle.rule.action.type |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת אזורים מותרים לסוגי אחסון (storage classes)
| מזהה הבקרה של Google | GCS-CO-6.12 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שסוגי האחסון בהגדרת מחזור החיים לא נמצאים בסיווגים האזוריים המותרים.
|
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle.rule.action.storageClass |
| אופרטור | nin |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת ניהול מחזור החיים בקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.13 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שניהול מחזור החיים של Cloud Storage מופעל ומוגדר. הכלי לניהול מחזור החיים מכיל את ההגדרה של מחזור החיים של האחסון. מוודאים שהמדיניות בהגדרה הזו תואמת לדרישות שלכם. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle |
| אופרטור | קיים |
| ערך |
|
| סוג | אובייקט |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת כללים לניהול מחזור החיים בקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.14 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שהפעלתם והגדרתם את כללי ניהול מחזור החיים ב-Cloud Storage. אמצעי הבקרה של הכלל מכיל את ההגדרה של מחזור החיים של האחסון. מוודאים שהמדיניות בהגדרה הזו תואמת לדרישות שלכם. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle.rule |
| אופרטור | ריק |
| ערך |
|
| סוג | מערך |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
בדיקה והערכה של השהיות זמניות באובייקטים פעילים
| מזהה הבקרה של Google | GCS-CO-6.16 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מזהים את כל האובייקטים שבהם הערך של temporaryHold מוגדר כ-TRUE ומתחילים תהליך חקירה ואימות. ההערכה הזו מתאימה לתרחישי השימוש הבאים:
|
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.objects/temporaryHold |
| אופרטור | == |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפה של מדיניות שמירת נתונים בקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.17 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שלכל הקטגוריות ב-Cloud Storage יש מדיניות שמירת נתונים. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/retentionPolicy.retentionPeriod |
| אופרטור | agesmaller |
| ערך |
|
| סוג | int64 |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפה של תגי סיווג לקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.18 |
|---|---|
| הטמעה | מומלץ |
| תיאור | סיווג נתונים הוא רכיב בסיסי בכל תוכנית למשילות מידע (data governance) ולאבטחה. חשוב להחיל על כל דלי תווית סיווג עם ערכים כמו public, internal, confidential או restricted. מוודאים של- |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/labels.classification |
| אופרטור | notexists |
| ערך |
|
| סוג | מורחב |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפה של קטגוריות ליומנים בקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.3 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שכל קטגוריה של Cloud Storage כוללת קטגוריית יומנים. |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/logging.logBucket |
| אופרטור | notexists |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת כללי מחיקה לקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.5 |
|---|---|
| הטמעה | מומלץ |
| תיאור | ב-Cloud Storage, מגדירים את |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle.rule.action.type |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
לוודא שהתנאי isLive הוא False עבור כללי מחיקה
| מזהה הבקרה של Google | GCS-CO-6.6 |
|---|---|
| הטמעה | מומלץ |
| תיאור | בכללי מחיקה, מוודאים שהתנאי ב-Cloud Storage, תרחישים לדוגמה:
|
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/lifecycle.rule.condition.isLive |
| אופרטור | == |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפת ניהול גרסאות בקטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.7 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים שבכל הקטגוריות של Cloud Storage מופעל ניהול גרסאות. תרחישי שימוש לדוגמה:
|
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/versioning.enabled |
| אופרטור | != |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפת בעלות על קטגוריות של Cloud Storage
| מזהה הבקרה של Google | GCS-CO-6.8 |
|---|---|
| הטמעה | מומלץ |
| תיאור | מוודאים של- |
| מוצרים רלוונטיים |
Cloud Storage |
| נתיב | storage.buckets/labels.owner |
| אופרטור | notexists |
| ערך |
|
| סוג | מורחב |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת רישום ביומן של פעילויות מרכזיות ב-Cloud Storage
| מזהה הבקרה של Google | GCS-CO-7.4 |
|---|---|
| הטמעה | מומלץ |
| תיאור | הפעלת רישום נוסף ביומן לגבי אובייקטים מסוימים באחסון על סמך תרחיש השימוש שלהם. לדוגמה, אפשר לרשום ביומן גישה לקטגוריות של מידע אישי רגיש כדי לעקוב אחרי מי קיבל גישה ומתי. כשמפעילים רישום נוסף ביומן, חשוב לקחת בחשבון את נפח היומנים שייווצרו. |
| מוצרים רלוונטיים |
Cloud Storage |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אמצעי בקרה על מסד הנתונים
הגבלת כתובות IP ציבוריות ב-Cloud SQL
| הטמעה | חובה |
|---|---|
| תיאור | כדי למנוע מ-Cloud SQL לקבל כתובת IP ציבורית ולהיחשף ישירות לאינטרנט, מגדירים את האילוץ מניעת כתובות IP ציבוריות עוזרת למנוע ממסדי הנתונים שלכם לקבל כתובות IP ציבוריות, וכך לוודא שהם פרטיים ושהגישה אליהם אפשרית רק מאפליקציות פנימיות מהימנות. |
| מוצרים רלוונטיים |
Cloud SQL |
| נתיב | constraints/sql.restrictPublicIp |
| אופרטור | = |
| ערך |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |