אמצעי בקרה לניהול נתונים

במסמך הזה מפורטות שיטות מומלצות והנחיות למערכות לניהול נתונים כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

מערכות לניהול נתונים כמו BigQuery ו-Cloud Storage מאפשרות לכם לאחסן את הנתונים שאתם צריכים לתהליכי העבודה שלכם, כולל נתוני אימון, ארטיפקטים של מודלים ונתוני ייצור.

אמצעי בקרה נפוצים

אמצעי הבקרה האלה חלים על כל מערכות ניהול הנתונים.

הפעלה של Sensitive Data Protection לבדיקת נתונים

מזהה הבקרה של Google COM-CO-5.1
הטמעה מומלץ
תיאור

Cloud de Confiance מומלץ להשתמש ב-Sensitive Data Protection. סוגי המידע או תבניות המשימות שתבחרו תלויים במערכות הספציפיות שלכם.

מוצרים רלוונטיים

Sensitive Data Protection

אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-4
  • IA-7
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
מידע קשור

אמצעי בקרה במחסן נתונים

אמצעי הבקרה האלה חלים על BigQuery.

מוודאים שמערכי הנתונים ב-BigQuery לא ניתנים לקריאה על ידי הציבור או מוגדרים ל-allAuthenticatedUsers

מזהה הבקרה של Google BQ-CO-6.1
הטמעה חובה
תיאור

מוודאים שב-BigQuery אין מערכי נתונים שפתוחים לגישה ציבורית, אלא אם מערכי הנתונים מיועדים להיות ציבוריים. מערכי נתונים ב-BigQuery מכילים לעיתים קרובות מידע אישי רגיש.

הגבלת הגישה למידע במערך נתונים ב-BigQuery למשתמשים ספציפיים בלבד. כדי להגדיר את ההגנה הזו, צריך להגדיר תפקידים מפורטים.

בדיקת הגישה למערך הנתונים עוזרת לוודא שלא חושפים נתונים לאינטרנט שלא במתכוון.

מוצרים רלוונטיים
  • Organization Policy Service
  • BigQuery
  • ניהול זהויות והרשאות גישה (IAM)
נתיב cloudasset.assets/assetType
אופרטור ==
ערך

bigquery.googleapis.com/Dataset

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

מוודאים שטבלאות BigQuery לא ניתנות לקריאה באופן ציבורי או מוגדרות ל-allAuthenticatedUsers

מזהה הבקרה של Google BQ-CO-6.2
הטמעה חובה
תיאור

הגבלת הגישה למידע בטבלה ב-BigQuery למשתמשים ספציפיים בלבד. כדי להגדיר את ההגנה הזו, צריך להגדיר תפקידים מפורטים.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • BigQuery
נתיב cloudasset.assets/iamPolicy.bindings.members
אופרטור anyof
ערך
  • allUsers
  • allAuthenticatedUsers
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

הצפנה של ערכים בודדים בטבלה ב-BigQuery

מזהה הבקרה של Google BQ-CO-6.3
הטמעה אופציונלי
תיאור

אם הארגון שלכם דורש להצפין ערכים נפרדים בטבלה ב-BigQuery, אתם יכולים להשתמש בפונקציות ההצפנה של AEAD (הצפנה מאומתת עם נתונים משויכים).

מוצרים רלוונטיים

BigQuery

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-5.1
מידע קשור

שימוש בתצוגות מורשות למערכי נתונים ב-BigQuery

מזהה הבקרה של Google BQ-CO-6.4
הטמעה אופציונלי
תיאור

תצוגות מורשות מאפשרות לכם לשתף קבוצת משנה של נתונים במערך נתונים עם משתמשים ספציפיים. לדוגמה, תצוגה מורשית מאפשרת לכם לשתף תוצאות של שאילתות עם משתמשים וקבוצות מסוימים בלי לתת להם גישה לנתוני המקור הבסיסיים.

מוצרים רלוונטיים

BigQuery

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

שימוש באבטחה ברמת העמודה ב-BigQuery

מזהה הבקרה של Google BQ-CO-6.5
הטמעה אופציונלי
תיאור

משתמשים באבטחה ברמת העמודה ב-BigQuery כדי ליצור מדיניות שבודקת בזמן השאילתה אם למשתמש יש גישה מתאימה. ‫BigQuery מספק גישה מדויקת לעמודות עם נתונים רגישים באמצעות תגי מדיניות או סיווג מבוסס-נתונים.

מוצרים רלוונטיים

BigQuery

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

שימוש באבטחה ברמת השורה ב-BigQuery

מזהה הבקרה של Google BQ-CO-6.6
הטמעה אופציונלי
תיאור

אפשר להשתמש באבטחה ברמת השורה ובמדיניות גישה כדי להפעיל בקרת גישה פרטנית לקבוצת משנה של נתונים בטבלה ב-BigQuery.

מוצרים רלוונטיים

BigQuery

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

שימוש בתרשימי משאבים של BigQuery

מזהה הבקרה של Google BQ-CO-7.1
הטמעה אופציונלי
תיאור

תרשימי משאבים של BigQuery מאפשרים לאדמינים של BigQuery לראות איך הארגון, התיקייה או ההזמנה שלהם משתמשים במשבצות זמן של BigQuery ומה הביצועים של השאילתות שלהם.

מוצרים רלוונטיים

BigQuery

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

אמצעי בקרה לניהול האחסון

אמצעי הבקרה האלה חלים על Cloud Storage.

חסימת גישה ציבורית לקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-4.1
הטמעה חובה
תיאור

האילוץ הבוליאני storage.publicAccessPrevention מונע גישה לקטגוריות אחסון ממקורות ציבוריים ללא אימות. היא משביתה וחוסמת רשימות של בקרת גישה (ACL) והרשאות לניהול זהויות והרשאות גישה (IAM) שמעניקות גישה ל-allUsers ול-allAuthenticatedUsers. האילוץ הזה פועל כרשת ביטחון ברמת הארגון, וחוסם באופן פעיל כל הגדרה שתאפשר גישה ציבורית לקטגוריה.

מוצרים רלוונטיים
  • Organization Policy Service
  • Cloud Storage
נתיב constraints/storage.publicAccessPrevention
אופרטור ==
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

שימוש בגישה אחידה ברמת הקטגוריה

מזהה הבקרה של Google GCS-CO-4.2
הטמעה חובה
תיאור

האילוץ הבוליאני storage.uniformBucketLevelAccess מחייב שימוש בגישה אחידה ברמת הקטגוריה. גישה אחידה ברמת הקטגוריה מאפשרת לכם להשתמש רק בהרשאות לניהול זהויות והרשאות גישה (IAM) ברמת הקטגוריה כדי להעניק גישה למשאבים של Cloud Storage.

שימוש בשתי מערכות שונות וסותרות לניהול הרשאות בדלי אחסון הוא מורכב ומהווה סיבה נפוצה לדליפות נתונים לא מכוונות. ההגדרה הזו משביתה את המערכת מדור קודם (רשימות של בקרת גישה, או ACL) והופכת את המערכת המודרנית והמרכזית (IAM) למקור האמת היחיד לכל ההרשאות.

מוצרים רלוונטיים
  • Organization Policy Service
  • Cloud Storage
נתיב constraints/storage.uniformBucketLevelAccess
אופרטור ==
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

הגנה על מפתחות HMAC לחשבונות שירות

מזהה הבקרה של Google GCS-CO-6.9
הטמעה חובה
תיאור

מפתח HMAC הוא סוג של פרטי כניסה לטווח ארוך שמשויכים לחשבון שירות או לחשבון משתמש ב-Cloud Storage. אפשר להשתמש במפתח HMAC כדי ליצור חתימות ולכלול אותן בבקשות ל-Cloud Storage. החתימה מוכיחה שמשתמש או חשבון שירות אישרו בקשה.

בניגוד לפרטי כניסה לטווח קצר (כמו. אסימוני OAuth 2.0), מפתחות HMAC לא פוקעים באופן אוטומטי ונשארים בתוקף עד לביטול ידני. מפתחות HMAC הם פרטי כניסה בסיכון גבוה: אם הם נפרצים, הם מספקים גישה מתמשכת למשאבים שלכם. עליכם לוודא שקיימים מנגנונים מתאימים שיעזרו להגן עליהם.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.projects.hmacKeys/id
אופרטור קיים
ערך

[]

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

זיהוי של ספירת קטגוריות של Cloud Storage על ידי חשבונות שירות

מזהה הבקרה של Google GCS-CO-7.2
הטמעה חובה
תיאור

חשבונות שירות הם זהויות לא אנושיות שמיועדות לאפליקציות, וההתנהגות שלהן צפויה ואוטומטית. בדרך כלל, חשבונות שירות לא צריכים לפרט את הבאקטים, כי הם כבר ממופים. לכן, אם אתם מזהים חשבון שירות שמנסה לאחזר רשימה של כל הקטגוריות של Cloud Storage, עליכם לבדוק את זה באופן מיידי. גורם זדוני שקיבל גישה לחשבון השירות משתמש לעיתים קרובות בספירה לצורך איסוף מידע כטכניקת איסוף מידע.

מוצרים רלוונטיים
  • Cloud Storage
  • יומני ביקורת של Cloud
אופרטור ==
ערך

storage.bucket.list

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

זיהוי שינויים במדיניות IAM של דליים ב-Cloud Storage באמצעות חשבונות שירות

מזהה הבקרה של Google GCS-CO-7.3
הטמעה חובה
תיאור

הגדרת התראה שתזהה מתי מדיניות ניהול הזהויות והרשאות הגישה (IAM) של קטגוריה של Cloud Storage משתנה כדי להעניק גישה ציבורית. ההתראה הזו מופעלת כשמוסיפים את חשבונות המשתמש allUsers או allAuthenticatedUsers למדיניות IAM של קטגוריה. ההתראה הזו היא אירוע קריטי ברמת חומרה גבוהה, כי היא יכולה לחשוף את כל הנתונים בדלי. חשוב לבדוק את ההתראה הזו באופן מיידי כדי לוודא שהשינוי אושר או שהוא מעיד על הגדרה שגויה או על פעילות זדונית.

בהתראה, מגדירים את מאפיין ה-JSON‏ data.protoPayload.serviceData.policyData.bindingDeltas.member לערך allUsers או allAuthenticatedUsers ואת הפעולה לערך ADD.

מוצרים רלוונטיים
  • Cloud Storage
  • יומני ביקורת של Cloud
אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

איך מוודאים שמדיניות שמירת הנתונים של קטגוריה ב-Cloud Storage משתמשת בנעילת קטגוריה

מזהה הבקרה של Google GCS-CO-6.1
הטמעה מומלץ
תיאור

בהתאם לדרישות הרגולטוריות, חשוב לוודא שכללי מדיניות שמירת הנתונים של כל קטגוריה ב-Cloud Storage נעולים. מגדירים את תקופת השמירה לפרק זמן שעומד בדרישות שלכם.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/retentionPolicy.isLocked
אופרטור ‎!=
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

הגדרת כללים של מחזור החיים לפעולה SetStorageClass

מזהה הבקרה של Google GCS-CO-6.11
הטמעה מומלץ
תיאור

החלת כללי מחזור חיים על כל קטגוריה של Cloud Storage שיש לה סוג פעולה SetStorageClass.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle.rule.action.type
אופרטור ==
ערך

SetStorageClass

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

הגדרת אזורים מותרים לסוגי אחסון (storage classes)

מזהה הבקרה של Google GCS-CO-6.12
הטמעה מומלץ
תיאור
מוודאים שסוגי האחסון בהגדרת מחזור החיים לא נמצאים בסיווגים האזוריים המותרים.
מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle.rule.action.storageClass
אופרטור nin
ערך
  • MULTI_REGIONAL
  • REGIONAL
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

הפעלת ניהול מחזור החיים בקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.13
הטמעה מומלץ
תיאור

מוודאים שניהול מחזור החיים של Cloud Storage מופעל ומוגדר. הכלי לניהול מחזור החיים מכיל את ההגדרה של מחזור החיים של האחסון. מוודאים שהמדיניות בהגדרה הזו תואמת לדרישות שלכם.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle
אופרטור קיים
ערך

[]

סוג אובייקט
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

הפעלת כללים לניהול מחזור החיים בקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.14
הטמעה מומלץ
תיאור

מוודאים שהפעלתם והגדרתם את כללי ניהול מחזור החיים ב-Cloud Storage. אמצעי הבקרה של הכלל מכיל את ההגדרה של מחזור החיים של האחסון. מוודאים שהמדיניות בהגדרה הזו תואמת לדרישות שלכם.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle.rule
אופרטור ריק
ערך

[]

סוג מערך
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

בדיקה והערכה של השהיות זמניות באובייקטים פעילים

מזהה הבקרה של Google GCS-CO-6.16
הטמעה מומלץ
תיאור

מזהים את כל האובייקטים שבהם הערך של temporaryHold מוגדר כ-TRUE ומתחילים תהליך חקירה ואימות. ההערכה הזו מתאימה לתרחישי השימוש הבאים:

  • החזקה לצורך משפטי: כדי לעמוד בדרישות משפטיות לאחסון נתונים, אפשר להשתמש בהחזקה זמנית כדי למנוע מחיקה של מידע אישי רגיש שעשוי להיות רלוונטי לחקירות או להתדיינויות משפטיות שמתנהלות.
  • מניעת אובדן נתונים: כדי למנוע מחיקה בטעות של נתונים חשובים, אפשר להשתמש בהקפאה זמנית כאמצעי בטיחות להגנה על מידע עסקי קריטי.
  • בדיקת תוכן: כדי לבדוק תוכן שעשוי להיות רגיש או לא הולם לפני שהוא הופך לזמין לציבור, אפשר להחיל השהיה זמנית על תוכן שמועלה ל-Cloud Storage לצורך בדיקה נוספת וקבלת החלטות לגבי בדיקת התוכן.
מוצרים רלוונטיים

Cloud Storage

נתיב storage.objects/temporaryHold
אופרטור ==
ערך

TRUE

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

אכיפה של מדיניות שמירת נתונים בקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.17
הטמעה מומלץ
תיאור

מוודאים שלכל הקטגוריות ב-Cloud Storage יש מדיניות שמירת נתונים.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/retentionPolicy.retentionPeriod
אופרטור agesmaller
ערך

[90,"DAY","AFTER","yyyy-MM-dd'T'HH:mm:ss'Z'"]

סוג int64
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

אכיפה של תגי סיווג לקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.18
הטמעה מומלץ
תיאור

סיווג נתונים הוא רכיב בסיסי בכל תוכנית למשילות מידע (data governance) ולאבטחה. חשוב להחיל על כל דלי תווית סיווג עם ערכים כמו public,‏ internal,‏ confidential או restricted.

מוודאים של-google_storage_bucket.labels יש ביטוי לסיווג, ואם לא, יוצרים הפרה.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/labels.classification
אופרטור notexists
ערך

[]

סוג מורחב
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

אכיפה של קטגוריות ליומנים בקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.3
הטמעה מומלץ
תיאור

מוודאים שכל קטגוריה של Cloud Storage כוללת קטגוריית יומנים.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/logging.logBucket
אופרטור notexists
ערך

[]

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הגדרת כללי מחיקה לקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.5
הטמעה מומלץ
תיאור

ב-Cloud Storage, ‏ storage.buckets/lifecycle.rule.action.type מתייחס לסוג הפעולה שתתבצע על אובייקט ספציפי על סמך כלל מחזור החיים בקטגוריה. ההגדרה הזו עוזרת להפוך את הניהול ומחזור החיים של הנתונים שמאוחסנים בענן לאוטומטיים.

מגדירים את storage.buckets/lifecycle.rule.action.type כדי לוודא שהאובייקטים נמחקים באופן סופי מהקטגוריה.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle.rule.action.type
אופרטור ==
ערך

Delete

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

לוודא שהתנאי isLive הוא False עבור כללי מחיקה

מזהה הבקרה של Google GCS-CO-6.6
הטמעה מומלץ
תיאור

בכללי מחיקה, מוודאים שהתנאי isLive של הכלל מוגדר ל-false.

ב-Cloud Storage, ‏ storage.buckets/lifecycle.rule.condition.isLive הוא תנאי בוליאני שמשמש בכללי מחזור החיים כדי לקבוע אם אובייקט נחשב פעיל. המסנן הזה עוזר לוודא שפעולות בכלל מחזור החיים יחולו רק על האובייקטים הרצויים על סמך הסטטוס שלהם בזמן אמת.

תרחישים לדוגמה:

  • ארכיון של גרסאות היסטוריות: אפשר לארכב רק גרסאות לא עדכניות של אובייקטים כדי לחסוך בעלויות האחסון, ועדיין לשמור את הגרסה העדכנית ביותר נגישה בקלות.
  • ניקוי אובייקטים שנמחקו: אוטומציה של מחיקה סופית של אובייקטים שנמחקו על ידי משתמשים, כדי לפנות מקום בקטגוריה.
  • הגנה על נתונים פעילים: מוודאים שפעולות כמו הגדרת השהיות זמניות חלות רק על אובייקטים פעילים, כדי למנוע שינוי מקרי של גרסאות שנמחקו או הועברו לארכיון.
מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/lifecycle.rule.condition.isLive
אופרטור ==
ערך

False

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

אכיפת ניהול גרסאות בקטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.7
הטמעה מומלץ
תיאור

מוודאים שבכל הקטגוריות של Cloud Storage מופעל ניהול גרסאות. תרחישי שימוש לדוגמה:

  • הגנה על נתונים ושחזור שלהם: הגנה מפני אובדן נתונים בטעות על ידי מניעת החלפה של נתונים, ואפשרות לשחזור נתונים שנמחקו או שונו.
  • תאימות וביקורת: שמרו היסטוריה של כל העריכות באובייקטים לצורך עמידה בתקנות או לביקורת פנימית.
  • ניהול גרסאות: מעקב אחרי שינויים בקבצים ובמערכי נתונים, שמאפשר שיתוף פעולה והחזרה למצב קודם לגרסאות קודמות אם יש צורך.
מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/versioning.enabled
אופרטור ‎!=
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

אכיפת בעלות על קטגוריות של Cloud Storage

מזהה הבקרה של Google GCS-CO-6.8
הטמעה מומלץ
תיאור

מוודאים של-google_storage_bucket.labels יש ביטוי לבעלים.

מוצרים רלוונטיים

Cloud Storage

נתיב storage.buckets/labels.owner
אופרטור notexists
ערך

[]

סוג מורחב
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

הפעלת רישום ביומן של פעילויות מרכזיות ב-Cloud Storage

מזהה הבקרה של Google GCS-CO-7.4
הטמעה מומלץ
תיאור

הפעלת רישום נוסף ביומן לגבי אובייקטים מסוימים באחסון על סמך תרחיש השימוש שלהם. לדוגמה, אפשר לרשום ביומן גישה לקטגוריות של מידע אישי רגיש כדי לעקוב אחרי מי קיבל גישה ומתי. כשמפעילים רישום נוסף ביומן, חשוב לקחת בחשבון את נפח היומנים שייווצרו.

מוצרים רלוונטיים

Cloud Storage

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

אמצעי בקרה על מסד הנתונים

הגבלת כתובות IP ציבוריות ב-Cloud SQL

הטמעה חובה
תיאור

כדי למנוע מ-Cloud SQL לקבל כתובת IP ציבורית ולהיחשף ישירות לאינטרנט, מגדירים את האילוץ constraints/sql.restrictPublicIp של מדיניות הארגון. בדרך כלל, מסדי נתונים לא נחשפים ישירות לאינטרנט.

מניעת כתובות IP ציבוריות עוזרת למנוע ממסדי הנתונים שלכם לקבל כתובות IP ציבוריות, וכך לוודא שהם פרטיים ושהגישה אליהם אפשרית רק מאפליקציות פנימיות מהימנות.

מוצרים רלוונטיים

Cloud SQL

נתיב constraints/sql.restrictPublicIp
אופרטור =
ערך

True

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

המאמרים הבאים