本文档介绍 Cloud Monitoring 中静态数据的加密政策,以及您为了确保敏感客户数据受到保护可以执行的步骤。
本文档适用于必须符合数据安全要求的客户。
静态数据加密
Cloud Monitoring 中的所有静态数据均使用 Google 管理的加密密钥。 如需了解详情,请参阅默认静态加密。
Cloud Monitoring 不支持使用客户管理的加密 密钥 (CMEK) 来保护静态数据。默认情况下 监控不会存储敏感数据 用于个人身份信息 (PII) 或其他私人客户的信息 内容。您可以使用 Monitoring 存储汇总、 无法识别的用户活动数据或基于二阶事件的汇总数据 请求数量和其他类似指标但是,您可能会无意中在 Monitoring 的一些位置插入敏感客户数据。由于 Cloud Monitoring 会存储元数据和资源标签, 客户数据可能会进入 Monitoring, 或执行元数据操作,例如为资源添加标签、 为实例添加注释,或使用 Google Kubernetes Engine 中的自定义资源定义 (CRD)。
本文档的其余部分介绍了此类数据可能插入的位置,以及如何查找此类数据的捕获。
可能的插入点
下表介绍了敏感数据可能会发送到 Cloud Monitoring 中的位置。
| Google 生成的数据 例如系统定义的指标 和内置信息中心 |
客户生成的数据 例如自定义指标或基于日志的指标 和自定义信息中心 |
|
|---|---|---|
| 资源标签 | 根据客户数据(例如虚拟机)派生的值 实例名称,也可以独立于客户数据(例如项目编号) | 包含敏感数据的值,例如 尚未发布的硬件 |
| 指标标签 | 根据客户数据(例如虚拟机)派生的值 实例名称,也可以独立于客户数据(例如项目编号) |
|
| 时序中的数据点 | 无法执行任何操作;无法遮盖 | 用户定义的指标(自定义指标和基于日志的指标)中的时间序列 可能会包含敏感的客户数据 收集这些数据。 |
| 指标描述符 | 无法执行任何操作;无法遮盖 |
|
| 提醒政策 | 无法执行任何操作;无法遮盖 |
|
| 信息中心 | 无法执行任何操作;无法遮盖 |
|
| 通知渠道 | 无法执行任何操作;无法遮盖 |
|
| 资源组 | 无法执行任何操作;无法遮盖 |
|
| 拨测 | 无法执行任何操作;无法遮盖 |
|
| 指标范围 | 不适用 | 仅元数据 |
保护敏感元数据
如果您希望所有数据都受 CMEK 保护,则不应在 Google Cloud 的资源配置或元数据中添加敏感信息。如果 必须在资源配置、资源元数据和 或标签值,我们建议您使用经过遮盖的标识符 以及 Google Cloud 外部的映射表。
如果您要将敏感时序数据发送到 Monitoring,则确保数据删除的唯一方法是删除您的 Google Cloud 项目。否则,系统只会删除时间序列数据 数据保留期结束后 对于用户定义的指标,为 24 个月。
检查数据以确保合规性
您可以在 Cloud Monitoring 中手动检查数据, 以确保符合安全标准
配置数据
为了确保像 提醒政策均经过适当模糊处理后 配置数据检查以下内容:
提醒政策,具体说明请参阅 列出并获取提醒政策。 基于服务等级目标的提醒政策具有过滤条件 指的是 SLO,例如:
filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")您可以通过从过滤条件向
serviceLevelObjects/get方法提供 SLO 的完全限定名称来检索 SLO 的配置。通知渠道,具体说明请参阅 列出项目中的通知渠道。
拨测配置,如 管理拨测。
自定义信息中心,如列表信息中心中所述。
使用
groups.list方法实现资源组。
指标数据
要检查指标数据,您必须同时考虑以下两项指标描述符: 用户定义的指标以及针对这些描述符写入的时间序列数据。
指标描述符
要确保所有指标中的显示名称、说明和标签键 描述符被适当遮盖后,请检查描述符,如 列出指标描述符。
如需搜索自定义指标,请使用以下过滤条件:
metric.type = starts_with("custom.googleapis.com")如需搜索基于日志的指标,请使用以下过滤条件:
metric.type = starts_with("logging.googleapis.com/user")
时间序列数据
为确保时序数据本身经过正确遮盖,请检索时序数据并检查指标和资源标签的值以及其他存储的数据。请特别注意自定义指标或 基于日志的指标。如需了解如何检索时间序列数据,请参阅 检索时间序列数据。