Well-Architected Framework：安全性、隱私權和法規遵循支柱

Google Cloud Well-Architected Framework 的「安全性、隱私權和法規遵循」支柱提供相關建議，協助您設計、部署及運作雲端工作負載，同時滿足安全性、隱私權和法規遵循需求。

本文旨在提供實用洞察資訊，滿足各種資安專業人員和工程師的需求。下表說明這份文件的目標對象：

目標對象	本文件提供的內容
資訊安全長 (CISO)、業務部門主管和 IT 經理	這個一般架構可協助您在雲端建立並維持卓越的安全性，全面掌握安全領域的狀況，進而做出明智的安全投資決策。
安全架構師和工程師	設計和營運階段的關鍵安全做法，有助於確保解決方案的設計兼顧安全性、效率和可擴充性。
DevSecOps 團隊	提供整合全面性安全控管機制的指引，協助您規劃自動化作業，打造安全可靠的基礎架構。
法規遵循人員和風險管理人員	遵循重要安全性建議，以有條不紊的方式管理風險，並採取安全措施，確保符合法規遵循義務。

為確保工作負載符合安全性、隱私權和法規遵循規定，貴機構的所有利害關係人都必須採取協作方式。 Google Cloud 此外，您必須瞭解雲端安全是您與 Google 的共同責任。詳情請參閱「Shared responsibilities and shared fate on Google Cloud」。

這個支柱的建議會依核心安全原則分組。每項以原則為依據的建議，都會對應到一或多個雲端安全重點領域，這些領域對貴機構可能至關重要。每項建議都會著重說明如何使用及設定Google Cloud 產品和功能，以提升貴機構的安全防護能力。

核心原則

這個支柱的建議會依據下列安全核心原則分組。這個支柱中的每項原則都很重要。您可以根據貴機構和工作負載的需求，優先採用特定原則。

• 採用融入安全考量的設計： 從應用程式和基礎架構的初始設計階段開始，整合雲端安全性和網路安全考量。 Google Cloud 提供架構藍圖和建議，協助您套用這項原則。
• 實作零信任機制： 採用「絕不輕信，一律驗證」的做法，根據持續驗證的信任度授予資源存取權。 Google Cloud 透過 Chrome Enterprise 進階版和 Identity-Aware Proxy (IAP) 等產品支援這項原則。
• 實作「提早測試」的安全性原則： 在軟體開發生命週期的早期階段實作安全性控管措施。 在系統變更前避免安全缺陷。在系統變更提交後，盡早、快速且可靠地偵測及修正安全性錯誤。 Google Cloud 透過 Cloud Build、二進位授權和 Artifact Registry 等產品支援這項原則。
• 預先防範網路威脅： 採取主動式安全防護做法，實行完善的基本措施，例如威脅情報。這種做法有助於奠定基礎，進而更有效地偵測及因應威脅。Google Cloud的多層式安全控管措施符合這項原則。
• 以安全且負責任的方式使用 AI： 以負責任且安全的方式開發及部署 AI 系統。這項原則的建議與 Well-Architected Framework 的AI 和機器學習觀點，以及 Google 的安全 AI 架構 (SAIF) 指引一致。
• 運用 AI 提升安全性： 透過 Gemini in Security 和整體平台安全防護功能，運用 AI 功能改善現有的安全系統和程序。運用 AI 做為工具，提高補救作業的自動化程度，確保安全衛生，讓其他系統更加安全。
• 滿足法規、法規遵循和隱私權需求： 遵守特定產業的法規、法規遵循標準和隱私權規定。 Google Cloud 可透過 Assured Workloads、機構政策服務和法規遵循資源中心等產品，協助您履行這些義務。

組織安全思維

以安全為重的組織思維，是成功採用及運作雲端服務的關鍵。這種思維應深植於貴機構的文化中，並反映在實務做法上，而這些做法應以先前所述的核心安全原則為依據。

組織安全思維強調在系統設計期間考量安全性、假設零信任，以及在整個開發過程中整合安全功能。抱持這種心態時，您也會主動思考網路防禦措施、安全地使用 AI 和將 AI 用於安全防護，並考量法規、隱私權和法規遵循要求。貴機構可以秉持這些原則，培養以安全為優先的文化，主動因應威脅、保護重要資產，並確保負責任地使用技術。

雲端安全重點領域

本節說明規劃、導入及管理應用程式、系統和資料安全時，應著重的領域。這個支柱的每個原則都包含與上述一或多個重點領域相關的建議。在本文件的其餘部分，建議會指定對應的安全重點領域，進一步提供清楚的說明和情境。

對焦區域	活動和元件	相關 Google Cloud 產品、功能和解決方案
基礎架構安全性	確保網路基礎架構安全無虞。 加密傳輸中的資料和靜態資料。 控管流量。 保護 IaaS 和 PaaS 服務。 防範未經授權的存取行為。	防火牆政策 VPC Service Controls Google Cloud Armor Cloud Next Generation Firewall Secure Web Proxy
身分與存取權管理	使用驗證、授權和存取權控管機制。 管理雲端身分。 管理身分與存取權管理政策。	Cloud Identity Google 的身分與存取權管理 (IAM) 服務 員工身分聯盟 Workload Identity 聯盟
資料安全性	安全地儲存資料。 Google Cloud 控管資料存取權。 探索及分類資料。 設計必要的控管機制，例如加密、存取控管和資料遺失防護。 保護靜態、傳輸中和使用中的資料。	Google 的 IAM 服務 Sensitive Data Protection VPC Service Controls Cloud KMS 機密運算
AI 和機器學習安全性	在 AI 和機器學習基礎架構和管道的不同層級套用安全控管措施。 確保模型安全。	Google 的 SAIF Model Armor
資安營運 (SecOps)	採用現代化 SecOps 平台和做法，有效管理事件、偵測威脅及應變。 持續監控系統和應用程式，找出安全性事件。	Google Security Operations
應用程式安全防護	保護應用程式，防範軟體漏洞和攻擊。	Artifact Registry Artifact Analysis 二進位授權 Assured Open Source Software Google Cloud Armor Web Security Scanner
雲端管理、風險與法規遵循	制定政策、程序和控管措施，有效且安全地管理雲端資源。	機構政策服務 Cloud Asset Inventory Security Command Center Enterprise Resource Manager
記錄、稽核和監控	分析記錄檔，找出潛在威脅。 追蹤及記錄系統活動，以利法規遵循和安全性分析。	Cloud Logging Cloud Monitoring Cloud 稽核記錄 虛擬私有雲流量記錄

貢獻者

作者：

• Wade Holmes | 全球解決方案總監
• 赫克托迪亞茲 | 雲端安全架構師
• Carlos Leonardo Rosario | Google Cloud 安全專家
• John Bacon | 合作夥伴解決方案架構師
• Sachin Kalra | 全球安全解決方案經理

其他貢獻者：

• Anton Chuvakin | 安全顧問，資安長辦公室
• Daniel Lees | 雲端安全架構師
• Filipe Gracio 博士 | 客戶工程師、AI/機器學習專家
• Gary Harmson | 首席架構師
• Gino Pelliccia | 首席架構師
• Jose Andrade | 客戶工程師、網站可靠性工程專家
• Kumar Dhanagopal | 跨產品解決方案開發人員
• Laura Hyatt | 客戶工程師，金融服務業
• Marwan Al Shawi | 合作夥伴客戶工程師
• Nicolas Pintaux | 客戶工程師、應用程式現代化專家
• Noah McDonald | 雲端安全顧問
• Osvaldo Costa | 網路專家客戶工程師
• Radhika Kanakam | Google Cloud Well-Architected Framework 計畫主管
• Samantha He | 技術文件撰稿者
• Susan Wu | 對外產品經理