合規的架構師視角
許多團隊把合規當成上線前的勾選清單——這是危險的思維。對架構師來說,合規是架構設計的一等公民,必須從第一天就融入系統設計,而不是事後補救。
GCP 採用共同責任模型(Shared Responsibility Model):Google 負責基礎設施的實體安全、硬體加密和平台可用性;客戶負責資料分類、存取控制、應用層安全和合規配置。架構師的角色正是在這條責任分界線上,確保「客戶端」的每一層都有對應的控制措施。
核心原則:可稽核性(Auditability) — 每一個操作都必須有跡可循。誰在什麼時間對哪個資源做了什麼事?這個問題的答案,決定了你的合規架構是否站得住腳。
Cloud Audit Logs
Cloud Audit Logs 是 GCP 稽核體系的基石,提供四種日誌類型:
| 日誌類型 | 記錄內容 | 預設狀態 | 保留期限 | 費用 |
|---|---|---|---|---|
| Admin Activity | 資源建立、刪除、IAM 變更等管理操作 | 永遠開啟,無法停用 | 400 天 | 免費 |
| Data Access | 讀取資源配置、讀寫使用者資料 | 預設關閉(需手動啟用) | 30 天 | 依日誌量計費 |
| System Event | Google 系統自動執行的操作(如即時遷移) | 永遠開啟,無法停用 | 400 天 | 免費 |
| Policy Denied | 因安全策略拒絕存取的事件 | 永遠開啟,無法停用 | 30 天 | 免費 |
日誌匯出與長期保存
預設保留期限無法滿足多數合規要求(如 HIPAA 要求保留 6 年)。架構師必須設計日誌匯出管線:
- Log Sink — 在 Organization 或 Folder 層級建立 aggregated sink,將所有專案的稽核日誌匯出
- BigQuery — 匯出至 BigQuery 做結構化查詢和分析,適合合規報告和異常偵測
- Cloud Storage — 匯出至 GCS bucket 做長期歸檔,搭配生命週期規則降級至 Coldline/Archive 節省成本
- SIEM 整合 — 透過 Pub/Sub 即時串流至 Chronicle SIEM 或第三方 SIEM(Splunk、Datadog)做安全事件監控
💡 考試小提示:Admin Activity 和 System Event 日誌是永遠開啟且免費的。Data Access 日誌需要手動啟用,且會產生費用——題目常考「哪些日誌預設開啟」和「如何查看誰讀取了 BigQuery 資料」(答案是啟用 Data Access logs)。
Access Transparency
Access Transparency 提供 Google 員工存取客戶資料時的可見性。當 Google 支援工程師或系統自動化程序存取你的資源時,Access Transparency 會記錄:
- 誰存取了資源(Google 員工的身分)
- 為什麼存取(正當理由代碼,例如:客戶發起的支援案例、Google 內部系統維運)
- 哪個資源被存取
- 存取時間(近乎即時的日誌產出)
Access Transparency 日誌同樣可以匯出至 BigQuery 或 Cloud Storage 進行合規分析,對於需要向監管機構證明「雲端供應商存取行為受控」的企業尤為關鍵。
Access Approval
如果 Access Transparency 是「看得到」,Access Approval 就是「管得住」——它要求 Google 支援人員在存取客戶資源之前必須取得客戶的明確核准。
- 客戶可以針對特定資源或整個組織設定審核流程
- 核准請求包含存取原因、預計存取範圍和時間
- 支援緊急維運的自動核准例外機制,但仍會記錄日誌
- 搭配 Access Transparency 形成完整的「事前核准 + 事後稽核」控制鏈
💡 考試小提示:Access Transparency 是「監控日誌」(被動),Access Approval 是「存取控制」(主動)。題目問「如何確保 Google 員工未經授權不能存取資料」,答案是 Access Approval。
Assured Workloads
Assured Workloads 讓你在 GCP 上建立符合特定合規框架的受控環境,自動套用資料位置限制、人員存取控制和加密要求:
| 合規框架 | 適用地區 | 關鍵控制措施 |
|---|---|---|
| FedRAMP High | 美國 | 資料限於美國區域、僅美國人員存取 |
| HIPAA | 美國 | BAA 涵蓋的服務、加密和存取控制 |
| PCI DSS | 全球 | 持卡人資料隔離、存取日誌 |
| IRAP | 澳洲 | 資料限於澳洲區域 |
| IL4/IL5 | 美國 | 美國政府影響等級的隔離要求 |
Assured Workloads 的核心機制是在背後自動配置 Organization Policy Constraints,確保在該環境中建立的資源只能使用合規的區域、服務和加密金鑰。它不是另一套平台——而是在標準 GCP 之上疊加一層合規護欄。
資料落地(Data Residency)
資料落地要求是跨國企業最常面臨的合規挑戰。GCP 透過多層機制協助實現:
Organization Policy Constraints
gcp.resourceLocations— 限制資源只能建立在允許的地理位置(如in:asia-locations或特定區域asia-east1)- 套用在 Organization 或 Folder 層級,所有子專案自動繼承,開發者無法在非允許區域建立資源
區域服務 vs 全域服務
並非所有 GCP 服務都支援資料落地。架構師必須區分:
- 區域服務 — Cloud SQL、GKE、Cloud Storage(單區域 bucket)、BigQuery(資料儲存在建立資料集時指定的 region,建立後不可更改)等,資料明確儲存在指定區域
- 全域服務 — Cloud DNS、IAM 等,本身沒有地理位置概念,其元資料(如 IAM policy、DNS 記錄)無法限制落地於特定地區
- Multi-regional — Cloud Storage 多區域 bucket、BigQuery 多區域資料集(如
US、EU)、Spanner 多區域配置,需確認涵蓋範圍是否符合法規
💡 考試小提示:Organization Policy 的
gcp.resourceLocations是 PCA 考試中「如何強制資料留在特定區域」的標準答案。注意它限制的是資源建立位置,不是網路流量路徑。
常見合規框架比較
| 框架 | 適用範圍 | 核心要求 | GCP 對應工具 |
|---|---|---|---|
| HIPAA | 美國醫療資料 | PHI 保護、存取控制、稽核日誌 | BAA、Cloud Audit Logs、CMEK、VPC-SC |
| GDPR | 歐盟個資 | 資料最小化、刪除權、資料落地 | Data Loss Prevention、資源位置限制、Cloud KMS |
| PCI DSS | 支付卡資料 | 網路隔離、加密傳輸、存取日誌 | VPC-SC、Cloud HSM、Cloud Audit Logs |
| SOC 2 | 服務組織 | 安全性、可用性、機密性控制 | Cloud Audit Logs、Access Transparency、Security Command Center |
| ISO 27001 | 全球通用 | 資訊安全管理體系(ISMS) | Security Command Center、Cloud Audit Logs、Organization Policy |
Google 維護的 Compliance Reports Manager 讓客戶可以直接下載 GCP 的第三方稽核報告(SOC 2、ISO 27001 等),用於自身的合規證明。
稽核架構設計模式
企業級稽核架構的最佳實踐是建立集中式日誌專案:
架構要素
- 專用日誌專案(Logging Project) — 獨立於業務專案,僅限安全團隊存取,存放所有稽核日誌
- Organization-level Aggregated Sink — 在組織層級建立 Log Sink,自動收集所有專案的 Admin Activity、Data Access 和 Policy Denied 日誌
- BigQuery 資料集 — 日誌匯入 BigQuery 後可執行 SQL 查詢,建立定期合規報告(如每月 IAM 變更摘要)
- 告警與異常偵測 — 透過 Cloud Monitoring 或 Chronicle SIEM 設定告警規則:
- IAM 角色被授予
roles/owner - Service Account 金鑰被建立(應優先使用 Workload Identity)
- Organization Policy 被修改
- 大量 Data Access 事件在非工作時間發生
- IAM 角色被授予
日誌保護
- Log bucket 啟用 Bucket Lock,防止日誌被刪除或竄改
- 使用 CMEK(Customer-Managed Encryption Keys) 加密日誌,確保客戶對加密金鑰有完全控制權
- 設定 IAM 最小權限,分離「寫入日誌」和「讀取日誌」的角色
實戰情境
情境一:醫療 SaaS 的 HIPAA 合規架構
背景:一家醫療科技公司在 GCP 上運行電子健康紀錄(EHR)系統,需要符合 HIPAA 要求,處理受保護的健康資訊(PHI)。
架構決策:
- 與 Google 簽署 Business Associate Agreement(BAA),僅使用 BAA 涵蓋的 GCP 服務
- 啟用 Assured Workloads(HIPAA 設定檔),自動限制資料只能儲存在美國區域
- 全面啟用 Data Access Audit Logs,記錄所有對 PHI 資料的讀寫操作
- 建立集中式日誌專案,透過 Organization Aggregated Sink 匯出至 BigQuery,保留 7 年
- 使用 CMEK 加密所有 Cloud Storage 和 Cloud SQL 資料,金鑰由安全團隊管理
- VPC Service Controls 建立安全邊界,防止 PHI 資料從授權專案外洩
- 設定 Access Approval,確保 Google 支援人員無法未經核准存取 PHI
情境二:歐洲金融機構的 GDPR 資料落地
背景:一家歐洲銀行需要確保所有客戶個資僅儲存在歐盟境內,並滿足 GDPR 的資料主體權利要求。
架構決策:
- 在 Organization Policy 設定
gcp.resourceLocations,限制為in:eu-locations,所有資源只能建立在歐盟區域 - 使用 Cloud KMS 搭配歐盟區域的金鑰環(Key Ring),確保加密金鑰也在歐盟境內
- 部署 Cloud DLP(Data Loss Prevention) 掃描並分類個資資料,自動偵測 PII 並套用遮罩或去識別化
- Access Transparency 記錄所有 Google 員工存取行為,搭配 Access Approval 確保存取需經客戶核准
- 實作資料刪除管線:收到 GDPR 刪除請求時,Cloud Run functions 觸發跨服務的個資清除流程,並記錄稽核軌跡
- Cloud Storage 搭配 Object Lifecycle Management,個資資料保留期滿後自動刪除
重點整理
- 合規是架構設計的一等公民——共同責任模型下,架構師負責客戶端的所有合規控制
- Cloud Audit Logs 四種類型:Admin Activity 和 System Event 永遠開啟免費;Data Access 需手動啟用且計費;Policy Denied 永遠開啟免費
- Access Transparency(被動監控)搭配 Access Approval(主動控制)形成對 Google 員工存取的完整管控
- Assured Workloads 為特定合規框架建立受控環境,自動套用 Organization Policy 護欄
gcp.resourceLocations是強制資料落地的核心 Organization Policy 約束- 集中式日誌專案 + Organization Aggregated Sink + BigQuery 是企業稽核架構的標準模式
- 日誌保護三要素:Bucket Lock(防刪除)、CMEK(加密控制)、最小權限 IAM(存取分離)
下一步
在下一課中,我們將探討零信任安全架構實戰,實踐 BeyondCorp 模型,整合 Cloud Armor、Hierarchical Firewall 與 VPC Service Controls 建構縱深防禦。