Questa pagina è stata tradotta dall'API Cloud Translation.

Guida all'implementazione di FedRAMP di Google Cloud

Last reviewed 2024-02-27 UTC

Questa guida è rivolta a responsabili della sicurezza, responsabili della conformità, amministratori IT, e altri dipendenti responsabili di Federal Risk and Authorization l'implementazione del programma FedRAMP (Management Program) e conformità su Google Cloud. Questa guida ti aiuta a capire in che modo Google può supportare la conformità FedRAMP e quali strumenti, prodotti e servizi Google Cloud configurare adempiere alle tue responsabilità ai sensi di FedRAMP.

Panoramica

Google Cloud supporta la conformità FedRAMP e fornisce dettagli specifici sull'approccio alla sicurezza e alla protezione dei dati White paper sulla sicurezza di Google e Panoramica sulla progettazione della sicurezza dell'infrastruttura Google. Sebbene Google fornisca un'infrastruttura cloud sicura e conforme, responsabile ultimo della valutazione della conformità al FedRAMP. In questo modo garantire che l'ambiente e le applicazioni che crei di Google Cloud siano adeguatamente configurati e protetti in base Requisiti FedRAMP.

Questo documento descrive Autorità FedRAMP (ATO) fasi a un livello generale, spiega la responsabilità condivisa di Google Cloud del cliente, evidenzia le responsabilità specifiche del cliente e suggerisce come soddisfarle a questi requisiti e linee guida su Google Cloud.

FedRAMP

La FedRAMP (Federal Risk and Authorization Management Program) è un programma a livello governativo che standardizza il modo in cui FISMA (Federal Information Security Modernization Act) si applica anche al cloud computing. Stabilisce un approccio ripetibile alla sicurezza la valutazione, l'autorizzazione e il monitoraggio continuo dei servizi basati su cloud.

Utilizzando gli standard e le linee guida di FedRAMP, puoi proteggere e mission-critical nel cloud, consentendo di rilevare rapidamente le vulnerabilità della cybersicurezza.

A livello generale, FedRAMP ha i seguenti obiettivi:

Assicurarsi che i servizi e i sistemi cloud utilizzati dagli enti statali abbiano adeguate misure di sicurezza.
Deduplicare le attività e ridurre i costi di gestione del rischio.
Consentire agli enti statali di approvvigionare in modo rapido ed economico sistemi informativi e servizi.

In conformità al FedRAMP, gli enti statali federali devono:

Garantire che tutti i sistemi cloud che elaborano, trasmettono e archiviano i dati governativi utilizzano la base di controllo dei controlli di sicurezza FedRAMP.
Usa il piano di valutazione della sicurezza quando concedi la sicurezza ai sensi della FISMA.
Applica i requisiti FedRAMP tramite contratti con i servizi cloud provider (CSP).

Autorizzazione a operare (ATO)

Implementazione ed esecuzione corretta del processo di accreditamento FedRAMP culmina con un'autorità per operare (ATO) nel cloud. Esistono due percorsi per FedRAMP ATO: P-ATO e Agency ATO.

P-ATO, o Provisional Authority to Operate, concesso dal FedRAMP Joint Authorization Board (JAB). Il JAB è composto dai CIO del Dipartimento di Homeland Security (DHS), General Services Administration (GSA) e Dipartimento della Difesa (DoD). Il consiglio definisce la sicurezza FedRAMP di riferimento controlli e stabilire i criteri di accreditamento FedRAMP per di valutazione delle prestazioni (3PAO). Le organizzazioni e le agenzie chiedono di il pacchetto per la sicurezza dei sistemi informativi elaborati dal JAB e dal JAB, emette un P-ATO per l'utilizzo dei servizi cloud.

Con l'ATO dell'agenzia, l'organizzazione o l'agenzia interna designa l'autorizzazione responsabili (AO) di condurre una valutazione dei rischi relativi alla sicurezza del sistema informatico pacchetto. L'AO può coinvolgere 3PAO o revisori indipendenti non accreditati per esaminare il pacchetto per la sicurezza dei sistemi informativi. L'AO e poi l'agenzia o organizzazione, autorizza quindi l'utilizzo dei servizi cloud da parte del sistema informatico. Il pacchetto per la sicurezza viene inviato anche al FedRAMP Program Management Office (PMO) per la revisione; Gboard è il PMO di FedRAMP. Dopo la revisione, il PMO pubblica per la sicurezza utilizzabile da altre agenzie e organizzazioni.

Piano di valutazione della sicurezza

I funzionari autorizzati (AO) presso agenzie e organizzazioni devono incorporare i Piano di valutazione della sicurezza FedRAMP (SAP) nei processi di autorizzazione interni per garantire il rispetto del FedRAMP i requisiti per l'utilizzo dei servizi cloud. La SAF viene implementata in quattro fasi:

Le quattro fasi del piano di valutazione della sicurezza.

Tu o il tuo AO categorizzare il tuo sistema informatico come Basso, Moderato, o Alto di impatto secondo PUB FIPS 199 gli obiettivi di sicurezza in termini di riservatezza, integrità e disponibilità.

In base alla categorizzazione FIPS del sistema, seleziona il valore Base di riferimento per i controlli di sicurezza FedRAMP correlato al livello di categorizzazione FIPS 199: basso, moderato alto. Devi poi implementare i controlli di sicurezza acquisiti la rispettiva base di controllo. Implementazioni alternative e giustificazione sul perché non è possibile soddisfare o implementare un controllo.

Acquisisci i dettagli dell'implementazione dei controlli di sicurezza in un sistema Security Plan (SSP). Ti consigliamo di selezionare il modello SSP in base al livello di conformità FedRAMP: Basso, Moderato o Alto.

La SSP esegue le seguenti operazioni:

Descrive il confine di autorizzazione di sicurezza.
Spiega in che modo l'implementazione del sistema risponde a ogni sicurezza FedRAMP controllo.
Delinea i ruoli e le responsabilità del sistema.
Definisce il comportamento previsto degli utenti di sistema.
Mostra come è progettato il sistema e quali sono gli elementi di supporto l'infrastruttura.

Puoi utilizzare Modello di revisione delle autorizzazioni FedRAMP per monitorare l'avanzamento dell'ATO.

Per ulteriori dettagli sulle fasi di implementazione, consulta Procedura di autorizzazione di un'agenzia di FedRAMP.

Modello di responsabilità cloud

Organizzazioni e agenzie richieste dalla tecnologia dell'infrastruttura convenzionale (IT) all'acquisto, data center fisici o spazi di colocation, server fisici, apparecchiature di rete, software, licenze e altri dispositivi per sistemi edili e servizi. Con il cloud computing, un CSP investe in hardware fisico, dati e networking globale, fornendo al contempo attrezzature virtuali, strumenti e i servizi che i clienti possono usare.

Esistono tre modelli di cloud computing: IaaS (Infrastructure as a Service), piattaforma as a Service (PaaS) e Software as a Service (SaaS):

Nel modello IaaS, i CSP forniscono sostanzialmente un data center virtuale nel cloud e forniscono un'infrastruttura di computing virtualizzata come i server, le reti e l'archiviazione. Anche se i CSP gestiscono le apparecchiature fisiche e data center di queste risorse, spetta a te configurare e la sicurezza delle risorse delle piattaforme o delle applicazioni in esecuzione l'infrastruttura virtualizzata.
Nel modello PaaS, i CSP non solo forniscono e gestiscono l'infrastruttura e virtualizzazione, forniscono inoltre ai clienti un'infrastruttura una piattaforma preconfigurata per la creazione di software, applicazioni e web i servizi di machine learning. PaaS semplifica la creazione di applicazioni e servizi il middleware senza doversi preoccupare della sicurezza l'hardware sottostante.
Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma, offrendo al contempo applicazioni basate su cloud che i clienti possono utilizzare. Applicazioni internet eseguite direttamente dal browser web o visitando un sito web sono applicazioni SaaS. Con questo modello, le organizzazioni e le agenzie non devono preoccuparsi di installare, aggiornare o supportare applicazioni; si limitano a gestire il sistema e i dati criteri di accesso.

La figura seguente evidenzia le responsabilità di CSP e le tue delle responsabilità sia on-premise che nei modelli di cloud computing:

Responsabilità dei CSP e dei clienti.

Responsabilità FedRAMP

Puoi visualizzare lo stack IT del cloud relativamente a quattro livelli: il livello dell'infrastruttura, il livello dell'infrastruttura cloud, il livello della piattaforma cloud e il livello software del cloud. Il seguente diagramma mostra questi livelli.

Livelli nello stack IT del cloud.

I livelli numerati nel diagramma corrispondono:

Software as a Service. Google Workspace è anche certificato come FedRAMP Moderate. Per ereditare questi controlli di sicurezza SaaS, puoi: richiedi una copia di Pacchetto ATO di Google dal JAB e includere una copia dei Lettera di attestazione di Google nel pacco.
Platform as a Service. Oltre al programma FedRAMP di Google Cloud infrastruttura fisica certificata, prodotti e servizi PaaS aggiuntivi sono coperti da FedRAMP, inclusi App Engine, Cloud Storage e e i servizi di database. Utilizza questi prodotti e servizi precertificati ovunque possibile.
Infrastructure as a Service. Oltre alle risorse di Google Cloud, Infrastruttura fisica certificata FedRAMP, prodotti IaaS aggiuntivi e sono coperti da FedRAMP, tra cui Google Kubernetes Engine (GKE) e in Compute Engine. Utilizza questi prodotti e servizi precertificati ovunque possibile.
Infrastruttura fisica. Google Cloud è certificato dalla JAB come FedRAMP Moderate. Per ereditare questi controlli di sicurezza fisica, può richiedere una copia del pacchetto ATO di Google e includere l'attestazione di Google nel pacco.

Per quanto riguarda FedRAMP ATO, ogni livello dello stack IT del cloud è considerato confine di controllo indipendente e ciascun confine di controllo richiede un ATO separato. Ciò significa che, nonostante Conformità FedRAMP di Google Cloud e avere decine di servizi Google Cloud coperti da FedRAMP, devi comunque implementare i controlli di base di sicurezza FedRAMP Processo SAF per qualificare i sistemi e i carichi di lavoro cloud come conformi a FedRAMP.

Esistono due tipi di controlli di sicurezza FedRAMP: basso, moderato e alto basi di conformità: controlli implementati dal sistema informatico e i controlli implementati dall'organizzazione. Mentre la tua organizzazione o agenzia crea conformi a FedRAMP su Google Cloud, erediterai i requisiti i controlli di sicurezza dell'infrastruttura che Google soddisfa Certificazione FedRAMP. Inoltre, erediti i controlli di sicurezza per infrastrutture fisiche, IaaS e PaaS. integrati Prodotti e servizi conformi a FedRAMP di Google, e in tutti i controlli SaaS quando si usa Google Workspace. Tuttavia, necessarie per implementare tutti gli altri controlli e configurazioni di sicurezza Livelli IaaS, PaaS e SaaS, come definiti dai controlli di sicurezza FedRAMP base di riferimento.

Suggerimenti per l'implementazione di FedRAMP

Come già detto, erediti alcuni controlli di sicurezza da CSP. Per altro devi configurarli in modo specifico e creare criteri, regole e regolamenti definiti dall'organizzazione per soddisfare ogni tipo di controllo.

Questa sezione consiglia i supporti per l'implementazione NIST 800-53 di sicurezza nel cloud mediante criteri definiti dall'organizzazione con Strumenti, servizi e best practice di Google Cloud.

Controllo degli accessi

Per gestire il controllo dell'accesso in Google Cloud, definisci gli amministratori dell'organizzazione che gestirà gli account dei sistemi informativi nel cloud. Inserisci questi amministratori in per i gruppi di controllo dell'accesso Cloud Identity Console di amministrazione, o un altro provider di identità (ad esempio Active Directory o LDAP), assicurando che i provider di identità di terze parti siano federati con in Google Cloud. Utilizza le funzionalità di Identity and Access Management (IAM) di assegnare ruoli e autorizzazioni ai gruppi amministrativi, implementando privilegi e separazione dei compiti.

Sviluppa un criterio di controllo dell'accesso a livello di organizzazione per il sistema informatico nel cloud. Definisci i parametri e le procedure mediante i quali un'organizzazione crea, abilita, modifica, disattiva e rimuove le informazioni account di sistema.

Gestione dell'account, separazione dei compiti e privilegio minimo

Nel criterio di controllo dell'accesso, definisci i parametri e le procedure mediante i quali l'organizzazione creerà, attiverà, modificherà, disattiverà e rimuoverà le informazioni account di sistema. Definire le condizioni in base alle quali gli account del sistema informatico di destinazione.

Inoltre, identifica periodo di tempo di inattività in cui agli utenti verrà richiesto di disconnettersi da un sistema (ad esempio, dopo *x* minuti, ore o giorni). Utilizza Cloud Identity, la Console di amministrazione o configurazioni dell'applicazione per forzare gli utenti a uscire o eseguire nuovamente l'autenticazione dopo per il periodo di tempo definito.

Definisci le azioni da eseguire se le assegnazioni dei ruoli con privilegi non sono consentite più appropriato per un utente della tua organizzazione. di Google *Policy Intelligence ha una funzionalità del motore per suggerimenti IAM che ti aiuta a rimuovere gli accessi indesiderati alle risorse Google Cloud utilizzando il machine learning per creare un accesso intelligente i suggerimenti di controllo.

Definisci condizioni in base a cui gli account di gruppo vengano considerati appropriati. Utilizza le funzionalità di Cloud Identity o Console di amministrazione per creare gruppi o account di servizio. Assegna ruoli e autorizzazioni a gruppi condivisi e account di servizio utilizzando IAM. Utilizza gli account di servizio ove possibile. Specifica l'uso atipico di un account del sistema informatico per il tuo dell'organizzazione. Quando rilevi un uso atipico, usa strumenti come Google Cloud Observability o *Security Command Center agli amministratori del sistema informatico per gli avvisi.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Applicazione del flusso di informazioni e accesso remoto

Nel criterio di controllo dell'accesso a livello di organizzazione, definisci il flusso di informazioni di controllo dei criteri per la tua organizzazione. Identificare le porte vietate o limitate. protocolli e servizi. Definire requisiti e restrizioni per le interconnessioni con sistemi interni ed esterni. Utilizza strumenti come Virtual Private Cloud per creare firewall, reti isolate logicamente e subnet. Controllo della guida il flusso di informazioni implementando Cloud Load Balancing, *Cloud Service Mesh, e Controlli di servizio VPC.

Quando imposti i criteri di controllo del flusso di informazioni, identifica la rete controllata i punti di accesso per la tua organizzazione. Utilizza strumenti come Identity-Aware Proxy per fornire accesso basato sul contesto alle risorse cloud per gli utenti remoti e in loco. Utilizza le funzionalità di Cloud VPN o Cloud Interconnect per fornire un accesso sicuro e diretto ai VPC.

Imposta criteri a livello di organizzazione per l'esecuzione di comandi con privilegi e l'accesso proteggere i dati con l'accesso remoto. Utilizza IAM e Controlli di servizio VPC per limitare l'accesso a dati e carichi di lavoro sensibili.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Tentativi di accesso, notifica per l'utilizzo del sistema e chiusura della sessione

Nel criterio di controllo dell'accesso, specifica per quanto tempo un utente deve subire il ritardo di accedere a una richiesta di accesso dopo tre tentativi di accesso non riusciti in un periodo di 15 minuti. Definisci le condizioni e gli attivatori in base alle quali gli utenti sessioni terminate o disconnesse.

Utilizza le funzionalità di Cloud Identity Premium Edition o Console di amministrazione per gestire i dispositivi mobili che si connettono alla tua rete, incluso il BYOD (Bring your own device, Porta il tuo dispositivo). Crea criteri di sicurezza a livello di organizzazione che si applicano ai dispositivi mobili dispositivi mobili. Delineare i requisiti e le procedure per eliminare definitivamente i dati dei dispositivi mobili dispositivi dopo tentativi di accesso non riusciti consecutivi.

Sviluppa notifiche a livello di organizzazione per il linguaggio e l'uso del sistema, che forniscano norme sulla privacy, termini e condizioni d'uso e informative sulla sicurezza per gli utenti che accedono il sistema informatico. Definisci le condizioni a cui l'intera organizzazione le notifiche vengono visualizzate prima di concedere l'accesso agli utenti. Pub/Sub è un sistema globale di messaggistica e di importazione di eventi che puoi usare per eseguire il push alle applicazioni e agli utenti finali. Puoi anche utilizzare *Suite Chrome Enterprise, tra cui *Browser Chrome e *Chrome OS, con *API push e *API Notifications per inviare notifiche e aggiornamenti agli utenti.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Azioni consentite, dispositivi mobili, condivisione di informazioni

Nel criterio di controllo dell'accesso, definisci le azioni utente che possono essere eseguite su un sistema informatico senza identificazione e autenticazione. Utilizza IAM per regolare l'accesso degli utenti per visualizzare, creare, eliminare e modificare risorse specifiche.

Sviluppo di criteri a livello di organizzazione per la condivisione delle informazioni. Determina circostanze in cui le informazioni possono essere condivise e a discrezione dell'utente richiesta per la condivisione delle informazioni. Utilizzare procedure per assistere gli utenti durante la condivisione informazioni e la collaborazione all'interno dell'organizzazione. Google Workspace ha un ottimo set di funzionalità per la collaborazione e il coinvolgimento controllati team di sicurezza.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-14, AC-19 (05), AC-21.

Awareness e formazione

Creare politiche di sicurezza e materiali per la formazione associati da diffondere per gli utenti e i gruppi di sicurezza dell'organizzazione almeno una volta all'anno. Google offerte Servizi professionali opzioni per istruire gli utenti sulla sicurezza del cloud, inclusa, a titolo esemplificativo, un Sicurezza di Cloud Discover coinvolgimento e Valutazione della sicurezza di Google Workspace.

Aggiorna i criteri di sicurezza e la formazione inerente almeno una volta all'anno.

Seguire queste linee guida per facilitare l'implementazione del controllo di sicurezza AT-01.

Controllo e responsabilizzazione

Creare criteri di controllo e controlli di responsabilità a livello di organizzazione che le procedure e i requisiti di implementazione per il personale di auditing, eventi e azioni legati ai sistemi informativi sul cloud.

Nel criterio di controllo a livello di organizzazione, descrivi gli eventi che devono essere controllate nei sistemi informativi dell'organizzazione e la frequenza dei controlli. Esempi di eventi registrati includono accesso all'account riuscito e non riuscito eventi, eventi di gestione degli account, accesso agli oggetti, modifica dei criteri, privilegio funzioni, monitoraggio dei processi ed eventi di sistema. Per le applicazioni web, gli esempi includono attività di amministrazione, controlli di autenticazione, controlli di autorizzazione, dati eliminazioni, accesso ai dati, modifiche ai dati e modifiche alle autorizzazioni. Definisci ulteriori eventi di interesse per la tua organizzazione.

Per i criteri di controllo, consigliamo inoltre di specificare le indicazioni Attività inappropriate o insolite per la tua organizzazione. Monitora, registra e segnala queste attività regolarmente (almeno una volta alla settimana).

Utilizza le funzionalità di Osservabilità di Google Cloud per gestire il logging, il monitoraggio e gli avvisi per Google Cloud, ambienti on-premise o in altri ambienti cloud. Utilizzare Google Cloud Observability per configurare e monitorare gli eventi di sicurezza nella tua organizzazione. Puoi anche utilizzare Cloud Monitoring per impostare metriche personalizzate da monitorare per i parametri definiti dall'organizzazione degli eventi nei record di controllo.

Consente ai sistemi informativi di avvisare gli amministratori in caso di errori di elaborazione dei controlli. Puoi implementare questi avvisi con strumenti come Pub/Sub e avvisi.

Definire standard per avvisare gli amministratori entro un periodo di tempo prestabilito (ad esempio, entro 15 minuti), in caso di guasto del sistema o del funzionamento, per includere quando i record di controllo raggiungono una soglia o una capacità di volume prestabilita. Definisci un granularità della misurazione del tempo a livello di organizzazione, mediante la quale i record di audit con timestamp e registrazione. Definisci il livello di tolleranza per il timestamp nell'audit trail del sistema informatico (ad esempio, quasi in tempo reale entro 20 minuti).

Imposta Quote delle risorse VPC per stabilire le soglie di capacità per l'archiviazione dei record di controllo. Configura avvisi relativi al budget per informare gli amministratori quando è stata raggiunta una percentuale del limite di risorse superato.

Definire i requisiti di archiviazione a livello di organizzazione per i dati e i record di controllo per includono requisiti di disponibilità e conservazione dei log di controllo. Utilizza le funzionalità di Cloud Storage per archiviare gli audit log BigQuery per eseguire ulteriori analisi dei log.

Segui queste linee guida per implementare più facilmente questi controlli di sicurezza: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Valutazione e autorizzazione della sicurezza

Sviluppare una politica di valutazione della sicurezza e autorizzazione a livello di organizzazione che definisce le procedure e i requisiti di implementazione dell’organizzazione valutazioni della sicurezza, controlli di sicurezza e controlli di autorizzazione.

Nella valutazione della sicurezza e nei criteri di autorizzazione, devi definire il livello necessaria per consentire ai team di valutazione della sicurezza di operare in modo imparziale delle valutazioni dei sistemi informativi nel cloud. Identifica le informazioni sistemi che devono essere valutati da un revisore indipendente.

Le valutazioni della sicurezza dovrebbero includere almeno quanto segue:

Monitoraggio approfondito
Analisi delle vulnerabilità
Test su utenti dannosi
Valutazione delle minacce interne
Test delle prestazioni e del carico

L’organizzazione deve definire ulteriori requisiti e forme di sicurezza la valutazione.

Assicurati che la valutazione della sicurezza e il criterio di autorizzazione specifichino classificazioni e requisiti dei sistemi di sicurezza, tra cui i requisiti per sistemi di sicurezza non classificati e non nazionali.

Nella sezione criteri di controllo del flusso di informazioni per la tua organizzazione, delineare requisiti e restrizioni per le interconnessioni con sistemi interni ed esterni. Imposta VPC regole firewall per consentire e negare il traffico ai sistemi informatici e utilizzare Controlli di servizio VPC per proteggere i dati sensibili mediante parametri di sicurezza.

Imposta a livello di organizzazione norme di revisione e responsabilità che applicano requisiti di monitoraggio continuo (CA-07).

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestione della configurazione

Crea un criterio di gestione delle configurazioni a livello di organizzazione che definisca le procedure e i requisiti di implementazione per l'intera i controlli per la gestione delle configurazioni, i ruoli, le responsabilità, l'ambito conformità.

Standardizza i requisiti delle impostazioni di configurazione per i dispositivi di proprietà dell'organizzazione sistemi informatici e componenti di sistema. Fornire requisiti operativi e le procedure per la configurazione dei sistemi informativi. Indica in modo esplicito quanti versioni precedenti di una configurazione di base che gli amministratori di sistema devono conservare per il supporto del rollback dei sistemi informativi. Utilizza le funzionalità di Suite di strumenti di gestione delle configurazioni di Google per controllare le configurazioni dei sistemi IT come codice e monitorare le modifiche alla configurazione utilizzando *Policy Intelligence o *Security Command Center.

Specifica i requisiti di configurazione per ciascun tipo di sistema informatico nel tuo dell'organizzazione (ad esempio cloud, on-premise, ibrido, non classificato, informazioni non classificate (CUI) o classificate). Definisci anche la protezione di sicurezza requisiti per i dispositivi di proprietà dell'organizzazione e BYOD (Bring your own device, Porta il tuo dispositivo) l'identificazione di posizioni geografiche sicure e non sicure. Utilizzare Identity-Aware Proxy applicare in modo forzato i controlli di accesso basati sul contesto ai dati di proprietà dell'organizzazione, tra cui: controlli dell'accesso per posizione geografica. Utilizzare Cloud Identity Premium o la Console di amministrazione per applicare le configurazioni di sicurezza sui dispositivi mobili che si connettono alla rete aziendale.

Nel criterio di gestione della configurazione, definisci un'istanza a livello di organizzazione configurazione di controllo delle modifiche, come un comitato di controllo dei cambiamenti . Documentare la frequenza con cui il comitato si riunisce e in quali condizioni. Istituisci un organismo formale per la revisione e l'approvazione delle modifiche alla configurazione.

Identifica le autorità di approvazione per la gestione della configurazione dell'organizzazione. Questi amministratori esaminano le richieste di modifiche ai sistemi informativi. Definisci il periodo di tempo entro il quale le autorità devono approvare o non approvare la modifica richieste. Fornire indicazioni per gli utenti che implementano le modifiche per notificare l'approvazione autorità competenti una volta apportate le modifiche al sistema informatico.

Imposta restrizioni sull'uso del software open source in tutta l'organizzazione per includano la specifica dei software approvati e non approvati per l'uso. Utilizza Cloud Identity o la Console di amministrazione per applicare le applicazioni approvate e per la tua organizzazione. Con Cloud Identity Premium puoi abilitare il Single Sign-On e l'autenticazione a più fattori per diverse applicazioni.

Utilizzare strumenti come gli avvisi che consentono di inviare notifiche agli amministratori della sicurezza quando vengono registrate nel log le modifiche apportate alla configurazione. Concedi l'accesso amministrativo a strumenti come *Security Command Center per monitorare le modifiche alla configurazione quasi in tempo reale. Con *Policy Intelligence, puoi utilizzare il machine learning per studiare configurazioni definite dalla tua organizzazione, per aumentare la consapevolezza su quando le configurazioni cambiano rispetto alla base di riferimento.

Imponi il minor numero di funzionalità all'interno dell'organizzazione utilizzando criteri di controllo del flusso di informazioni.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Pianificazione della contingenza

Sviluppa un piano di emergenza per la tua organizzazione che definisca le le procedure e i requisiti di implementazione dei controlli di pianificazione delle emergenze all'interno dell'organizzazione. Identificare il personale addetto alle emergenze, i ruoli e responsabilità nei vari elementi organizzativi.

Mettere in evidenza il sistema informatico essenziale per la missione ed essenziale per il business operazioni all'interno dell'organizzazione. Outline Recovery Time Objective (RTO) e Recovery Point Objective (RPO) per il ripristino delle operazioni essenziali quando è stato attivato.

Sistemi informativi critici per i documenti e software associati. Identifica qualsiasi ulteriori informazioni relative alla sicurezza e fornire indicazioni e requisiti per l'archiviazione di copie di backup di dati e componenti critici del sistema. Esegui il deployment Risorse globali, regionali e a livello di zona di Google e località in tutto il mondo per garantire l'alta disponibilità. Usa le classi di Cloud Storage per regioni multiregionali regionali, di backup e di archiviazione. Implementare la scalabilità automatica della rete globale con Cloud Load Balancing.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identificazione e autenticazione

Crea un criterio di identificazione e autenticazione per la tua organizzazione. che specifica le procedure di identificazione e autenticazione, gli ambiti, i ruoli responsabilità, gestione, entità e conformità. Specifica l'identificazione e i controlli di autenticazione richiesti dalla tua organizzazione. Utilizza le funzionalità di Cloud Identity Premium o la Console di amministrazione per identificare i dati aziendali dispositivi personali in grado di connettersi alle risorse della tua organizzazione. Utilizza le funzionalità di Identity-Aware Proxy per imporre l'accesso sensibile al contesto alle risorse.

Includi indicazioni sui contenuti dell'autenticatore per la tua organizzazione, le condizioni di riutilizzo dell'autenticazione, gli standard per la protezione degli autenticatori e standard per la modifica o l'aggiornamento degli autenticatori. Inoltre, i requisiti per l'acquisizione per l'uso di autenticatori memorizzati nella cache. Specifica i limiti di tempo per l'utilizzo della cache e creare definizioni per la scadenza degli autenticatori memorizzati nella cache. Definisci i requisiti minimi e massimi di durata e i periodi di aggiornamento. che devono essere applicate dai sistemi informativi della tua organizzazione.

Utilizza Cloud Identity o la Console di amministrazione per applicare criteri relativi alle password per sensibilità, utilizzo dei caratteri, creazione o riutilizzo di nuove password, password e i requisiti di durata, archiviazione e trasmissione.

Delineare i requisiti di autenticazione mediante token hardware e software per autenticazione in tutta l'organizzazione, inclusa, a titolo esemplificativo, la card PIV e infrastruttura a chiave pubblica. Puoi usare i token di sicurezza Titan *per applicare criteri i requisiti di autenticazione per amministratori e personale con privilegi.

Nelle norme relative a identificazione e autenticazione, descrivi le regole Sistema informatico FICAM (Identity, Credential and Access Management) che possono accettare terze parti nella tua organizzazione. Identity Platform di Google è una piattaforma di gestione di identità e accessi cliente (GIAC) che consente le organizzazioni aggiungono funzionalità di gestione di identità e accessi alle applicazioni a cui accedono entità esterne.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Risposta agli incidenti

Stabilisci un criterio di risposta agli incidenti per la tua organizzazione, che includa per facilitare e implementare i controlli di risposta agli incidenti. Crea gruppi di sicurezza per i team di risposta agli incidenti e le autorità della tua organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per condividere l'incidente eventi, log e dettagli.

Sviluppare un piano di test di risposta agli incidenti, procedure ed elenchi di controllo e requisiti e benchmark per il successo. Specifica le classi di incidenti di cui organizzazione deve riconoscere e delineare le azioni associate da intraprendere in risposta a tali incidenti. Definisci le azioni che prevedi siano autorizzate del personale a cui è rivolto se si verifica un incidente. Queste azioni possono essere la gestione di fuoriuscite di informazioni, vulnerabilità di cybersicurezza e attacchi. sfruttare le funzionalità di Google Workspace per scansionare e mettere in quarantena i contenuti delle email, bloccare i tentativi di phishing, e impostare limitazioni sugli allegati. Utilizza le funzionalità di Protezione dei dati sensibili di esaminare, classificare e anonimizzare i dati sensibili al fine di limitare l'esposizione.

Specificare i requisiti a livello di organizzazione per la formazione sulla risposta agli incidenti, tra cui requisiti di formazione per utenti generici e ruoli con privilegi e le responsabilità aziendali. Applicare requisiti relativi a periodi di tempo per seguire la formazione (ad (ad esempio, entro 30 giorni dall'iscrizione, trimestrale o annuale).

Seguire queste linee guida per facilitare l’implementazione di questi controlli di sicurezza: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Manutenzione del sistema

Crea un criterio di manutenzione del sistema per la tua organizzazione, documentando controlli di manutenzione del sistema, ruoli, responsabilità, gestione, coordinamento requisiti e conformità. Definisci i parametri per la manutenzione controllata, tra cui processi di approvazione per la manutenzione e le riparazioni fuori sede, e i tempi di risposta a livello di organizzazione per la sostituzione di dispositivi e componenti guasti. La tua organizzazione trarrà vantaggio Eliminazione di dati su Google Cloud la sanificazione di dati e apparecchiature e Sicurezza e innovazione dei data center di Google per interventi di manutenzione e riparazioni esterne.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: MA-01, MA-02, MA-06.

Protezione dei contenuti multimediali

Nell'ambito di FedRAMP ATO di Google Cloud, rispettiamo la protezione dei media i requisiti per l'infrastruttura fisica. Recensisci le recensioni di Google Progettazione della sicurezza dell'infrastruttura e Panoramica sulla sicurezza. Successivamente, sei responsabile del rispetto della sicurezza dell'infrastruttura virtuale requisiti.

Sviluppa un criterio di protezione dei contenuti multimediali per la tua organizzazione, documentando i contenuti multimediali i controlli, le politiche e le procedure di protezione, i requisiti di conformità e i ruoli e le responsabilità aziendali. Procedure documentali per facilitare e l'implementazione di protezioni per i contenuti multimediali nella tua organizzazione. Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione dei media e delle relative protezioni.

Specifica i tipi di media e gli accessi approvati per la tua organizzazione, tra cui restrizioni sui media digitali e non. Impostare i contrassegni sui contenuti multimediali e la gestione dei contenuti multimediali eccezioni che devono essere implementate nell'intera organizzazione, inclusa la sicurezza i requisiti di marcatura all'interno e all'esterno delle aree di accesso controllato. Utilizza le funzionalità di *Data Catalog per gestire i metadati delle risorse cloud, semplificando il rilevamento dei dati. Controllo del cloud la conformità delle risorse all'interno dell'organizzazione, regolando la distribuzione il rilevamento di risorse cloud *Catalogo dei servizi.

Identifica come sanificare, smaltire o riutilizzare i contenuti multimediali della tua organizzazione gestisce il traffico. Descrivere i casi d'uso e le circostanze in cui la sanificazione, lo smaltimento è obbligatorio o accettabile il riutilizzo di contenuti multimediali e dispositivi. Definire la protezione dei contenuti multimediali metodi e meccanismi che la tua organizzazione ritiene accettabili.

Con Google, trarrai vantaggio dall'eliminazione dei dati di Google Cloud e sanificazione delle apparecchiature e sicurezza e innovazione dei data center di Google. Nella addizioni, Cloud KMS e Cloud HSM che forniscono una protezione crittografica conforme a FIPS e puoi utilizzare *Token di sicurezza Titan per applicare un'autenticazione fisica aggiuntiva per gli amministratori e il personale con privilegi.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Tutela fisica e ambientale

Nell'ambito di FedRAMP ATO di Google Cloud, incontriamo i requisiti fisici e ambientali i requisiti di protezione per l'infrastruttura fisica. Recensisci le recensioni di Google Progettazione della sicurezza dell'infrastruttura e Panoramica sulla sicurezza. Successivamente, sei responsabile del rispetto della sicurezza dell'infrastruttura virtuale requisiti.

Stabilire una politica di protezione fisica e ambientale per il tuo organizzazione, che delineano i controlli di protezione, le entità di protezione, la conformità standard, ruoli, responsabilità e requisiti di gestione. Descrivere come implementare la protezione fisica e ambientale in tutta l'organizzazione.

Creare gruppi di sicurezza che identificano il personale e i ruoli per la gestione fisica e della protezione dell'ambiente. Richiede gli amministratori che accedono a dati sensibili risorse di calcolo per utilizzare i token di sicurezza Titan *o altre forme di MFA per verificare l'integrità dell'accesso.

Nelle norme di protezione fisica e ambientale, definisci l'accesso fisico di controllo dei requisiti per la tua organizzazione. Identifica l'entrata e l'uscita di una struttura punti per i siti di sistemi informativi, misure di salvaguardia dell'accesso per strutture e requisiti di inventario. Sfrutta strumenti come *Google Maps Platform per visualizzare e tracciare visivamente le strutture e i punti di ingresso e di uscita per mappature delle località. Utilizza le funzionalità di Gestione delle risorse e *catalogo dei servizi per controllare l'accesso alle risorse cloud, organizzati e facilmente rilevabili.

Utilizza le funzionalità di Cloud Monitoring per configurare eventi, accessi e incidenti registrabili. Definisci a livello di organizzazione eventi di accesso fisico che devono essere registrati Cloud Logging.

Utilizzare le norme di protezione fisica e ambientale per tenere conto delle situazioni di emergenza, come l'arresto d'emergenza dei sistemi informatici, alimentazione di emergenza, soppressione incendi e risposta alle emergenze. Identifica i punti di contatto per gli addetti alla risposta alle emergenze, inclusi il personale di primo intervento locale e il personale addetto alla sicurezza fisica della tua organizzazione. Outline requisiti e luoghi di lavoro alternativi. Specifica i controlli di sicurezza e il personale per siti di lavoro principali e alternativi. Esegui il deployment dell'infrastruttura a livello globale, regionale e a livello di zona di risorse e località in tutto il mondo per garantire una disponibilità elevata. Utilizza le funzionalità di Cloud Storage per opzioni multiregionali, regionali, di backup e di archiviazione. Implementa la scalabilità automatica della rete globale e il bilanciamento del carico con Cloud Load Balancing. Crea modelli di deployment per stabilire un processo di deployment ripetibile basato su modelli.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Pianificazione della sicurezza del sistema

Sviluppa un criterio di pianificazione della sicurezza per l'organizzazione, delineando controlli della pianificazione della sicurezza, ruoli, responsabilità, gestione entità di pianificazione della sicurezza per la tua organizzazione e requisiti di conformità. Delineare come prevedi che venga implementata la pianificazione della sicurezza nei tuoi dell'organizzazione.

Creare gruppi per definire opportunamente il personale addetto alla pianificazione della sicurezza. Specifica gruppi di sicurezza per valutazioni della sicurezza, controlli, hardware e software manutenzione, gestione delle patch e pianificazione delle emergenze per la tua organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per monitorare sicurezza, conformità e controllo dell'accesso nella tua organizzazione.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PL-01, PL-02, PL-02 (03).

Sicurezza del personale

Crea un criterio di sicurezza del personale che identifichi il personale addetto alla sicurezza, i loro ruoli e responsabilità, come vi aspettate che la sicurezza del personale e quali controlli di sicurezza del personale applicare in tutti i dell'organizzazione. Acquisisci le condizioni che richiederebbero la visita degli individui controllo, riesame e indagine sulla sicurezza dell'organizzazione. Sommario i requisiti per i permessi di sicurezza nella tua organizzazione.

Includi istruzioni per affrontare il licenziamento e il trasferimento del personale. Definisci le esigenze i parametri per i colloqui finali e gli argomenti di sicurezza che dovrebbero discussi durante le interviste. Specifica quando prevedi la sicurezza e l'amministrazione di essere avvisate in caso di cessazione, trasferimento, o una riassegnazione (ad esempio, entro 24 ore). Specifica le azioni che il personale e l'organizzazione devono completare un trasferimento, una riassegnazione o la risoluzione. Inoltre, illustra i requisiti per l'applicazione formale dei dipendenti dell'applicazione di sanzioni. Spiega quando prevedi che il personale di sicurezza e gli amministratori ricevano una notifica delle sanzioni per i dipendenti e spiegare i relativi processi.

Utilizza IAM per assegnare ruoli e autorizzazioni al personale. Aggiungi rimuovere, disabilitare e abilitare profili e accessi del personale nelle Cloud Identity o Console di amministrazione. Applica misure fisiche aggiuntive di autenticazione per amministratori e personale con privilegi che utilizzano *Token di sicurezza Titan.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Analisi del rischio

Implementare una politica di valutazione del rischio che identifichi la valutazione del rischio. il personale, controlli di valutazione del rischio che si prevede vengano applicati in dell'organizzazione e le procedure per l'esecuzione della valutazione dei rischi dell'organizzazione. Definisci il modo in cui ti aspetti che le valutazioni del rischio siano documentate segnalato. Usa strumenti come *Security Command Center per informare automaticamente il personale addetto alla sicurezza dei rischi per la sicurezza e della tua organizzazione.

Sfrutta la suite di strumenti di valutazione del rischio di Google, come Web Security Scanner Artifact Analysis Google Cloud Armor, e Protezione da phishing e malware di Google Workspace per analizzare e segnalare le vulnerabilità attraverso le informazioni della tua organizzazione sistemi operativi. Rendere questi strumenti disponibili al personale addetto alla valutazione dei rischi e agli amministratori per aiutano a identificare ed eliminare le vulnerabilità.

Il rispetto di queste linee guida getterà le basi per l'implementazione del seguenti controlli di sicurezza: RA-01, RA-03, RA-05.

Acquisizione di sistemi e servizi

Sviluppa una politica di acquisizione di sistemi e servizi che delinei i principali ruoli e responsabilità del personale, gestione di acquisizioni e servizi, conformità ed entità. Descrivere le procedure di acquisizione di sistemi e servizi e linee guida di implementazione per la tua organizzazione. Definisci lo spazio di archiviazione il ciclo di vita dello sviluppo dei sistemi di informazione e la sicurezza delle informazioni. Descrivere i ruoli e le responsabilità in materia di sicurezza delle informazioni, il personale e il modo in cui si aspetti che la politica di valutazione del rischio della tua organizzazione guidi e influenzi il sistema di sviluppo e sviluppo.

Evidenzia le procedure che prevedi di eseguire all'interno della tua organizzazione quando la documentazione del sistema informatico non è disponibile o non è definita. Coinvolgi gli altri amministratori dei sistemi informativi dell'organizzazione e personale dei servizi di sistema obbligatorio. Definisci l'eventuale formazione richiesta per gli amministratori e gli utenti l'implementazione o l'accesso ai sistemi informativi nella tua organizzazione.

Usa strumenti come *Security Command Center per monitorare la sicurezza la conformità, i risultati e i criteri di controllo della sicurezza per la tua organizzazione. Google illustra tutte le sue standard di sicurezza, normative e certificazioni per informare i clienti su come soddisfare i requisiti di conformità e le leggi sulla in Google Cloud. Inoltre, Google offre una suite di prodotti per la sicurezza per aiutare i clienti a monitorare continuamente i loro sistemi informativi, comunicazioni e dati sia nel cloud che on-premise.

Specifica eventuali limitazioni di località per i dati, i servizi e il trattamento delle informazioni e le condizioni in cui i dati possono essere archiviati altrove. Google offre opzioni globali, regionali e a livello di zona per l'archiviazione, l'elaborazione e l'utilizzo dei servizi in Google Cloud.

Sfrutta la criterio di gestione delle configurazioni per regolare la gestione della configurazione degli sviluppatori per il sistema e i servizi controlli di acquisizione e utilizza norme relative alla valutazione della sicurezza e all'autorizzazione per applicare i requisiti di test e valutazione della sicurezza degli sviluppatori.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protezione del sistema e delle comunicazioni

Crea un criterio di protezione del sistema e delle comunicazioni che delinei le principali ruoli e responsabilità del personale, requisiti di implementazione dei sistemi le politiche di protezione delle comunicazioni e i controlli di protezione richiesti per dell'organizzazione. Identifica i tipi di attacchi denial of service alla tua organizzazione riconosce, monitora e delinea i requisiti di protezione DoS per il tuo dell'organizzazione.

Utilizza Google Cloud Observability per registrare, monitorare e generare avvisi sulla sicurezza predefinita attacchi contro la tua organizzazione. Implementa strumenti come Cloud Load Balancing e Google Cloud Armor per salvaguardare il tuo cloud e sfruttare servizi VPC come firewall e i controlli di sicurezza di rete per proteggere la rete cloud interna.

Identificare i requisiti di disponibilità delle risorse della tua organizzazione. e definire in che modo prevedi che le risorse cloud vengano allocate in tutta l'organizzazione e i vincoli da implementare per limitare l'uso eccessivo. Usa strumenti come in qualità di Resource Manager, per controllare l'accesso alle risorse nell'organizzazione, a livello di cartella, progetto e singola risorsa. Imposta quote delle risorse per gestire le richieste API e l'utilizzo delle risorse in Google Cloud.

Stabilisci requisiti di protezione dei confini per i tuoi sistemi informatici e comunicazioni di sistema. Definire i requisiti per il traffico delle comunicazioni interne e le modalità di interazione del traffico interno con le reti esterne. Specifica requisiti per i server proxy e altre impostazioni di routing e autenticazione di rete componenti.

Sfruttare *Cloud Service Mesh per gestire il traffico di rete e flusso di comunicazione per la tua organizzazione. Utilizzare Identity-Aware Proxy per controllare l'accesso a di risorse cloud basate su autenticazione, autorizzazione e contesto, tra cui posizione geografica o impronta digitale del dispositivo. Implementa *Accesso privato Google, *Cloud VPN o *Cloud Interconnect per proteggere il traffico di rete e le comunicazioni tra risorse interne ed esterne. Utilizza le funzionalità di VPC per definire e proteggere le reti cloud della tua organizzazione; stabilire subnet per isolare ulteriormente le risorse cloud e i perimetri di rete.

Google offre reti globali definite dal software con reti multiregionali, regionali a livello di zona e di disponibilità. Definisci errore la tua organizzazione in modo da garantire il malfunzionamento dei sistemi informativi in uno stato noto. Acquisisci requisiti per preservare lo stato del sistema informatico informazioni. Utilizzare i gruppi di istanze gestite Deployment Manager per rinforzare le risorse non riuscite o non integre. Concedere agli amministratori l'accesso a *Security Command Center per monitorare attivamente le attività il livello di riservatezza, integrità e disponibilità.

Nel criterio, descrivi i requisiti dell'organizzazione per la gestione chiavi di crittografia, inclusi i requisiti per la generazione, la distribuzione archiviazione, accesso e distruzione. Utilizza Cloud KMS e Cloud HSM per gestire, generare, utilizzare, ruotare, archiviare ed eliminare una sicurezza conforme a FIPS nel cloud.

Google cripta i dati at-rest per impostazione predefinita. ma puoi Utilizza Cloud KMS con Compute Engine e Cloud Storage per criptare ulteriormente i dati usando chiavi di crittografia. Puoi anche eseguire il deployment VM schermate per applicare i controlli di integrità a livello di kernel su Compute Engine.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12 SC-24, SC-28, SC-28 (01).

Integrità del sistema e delle informazioni

Implementa un criterio di integrità del sistema e delle informazioni che delinei i principali ruoli e responsabilità del personale, procedure di implementazione dell'integrità e requisiti, standard di conformità e controlli di sicurezza per la tua organizzazione. Crea gruppi di sicurezza per il personale dell'organizzazione che responsabile dell'integrità del sistema e delle informazioni. Correzione dei difetti di Outline per soddisfare i requisiti della tua organizzazione, tra cui linee guida per il monitoraggio, Valutazione, autorizzazione, implementazione, pianificazione, benchmarking e correzione di problemi nella sicurezza della tua organizzazione e dei suoi sistemi informativi.

Sfrutta la suite di strumenti per la sicurezza di Google, inclusi, a titolo esemplificativo: le seguenti:

Browser Chrome
Web Security Scanner
Analisi degli artefatti
Protezioni da phishing e malware di Google Workspace
Centro sicurezza Google Workspace
Google Cloud Armor

Utilizza questi strumenti per:

Proteggiti da codice dannoso, attacchi informatici e vulnerabilità comuni.
Mettere in quarantena lo spam e impostare criteri relativi a spam e malware.
Avvisa gli amministratori sulle vulnerabilità.
Acquisisci insight all'interno della tua organizzazione per una gestione centralizzata.

Usa strumenti come Google Cloud Observability o *Security Command Center per gestire, avvisare e monitorare centralmente i controlli di sicurezza della tua organizzazione e risultati. In particolare, usa Google Cloud Observability per registrare azioni amministrative, accessi ai dati ed eventi di sistema avviati da account con privilegi utenti e personale dell'organizzazione. Avvisare gli amministratori sui messaggi di errore e la gestione degli errori nel sistema informatico.

Definire gli eventi importanti per la sicurezza in relazione al software dell'organizzazione, firmware e informazioni (ad esempio, vulnerabilità zero-day, eliminazione dei dati, installazione di nuovi hardware, software o firmware). Spiega la i passaggi da seguire quando si verificano questi tipi di cambiamenti importanti per la sicurezza. Specifica il monitoraggio degli obiettivi e degli indicatori di attacco per consentire agli amministratori per includere informazioni essenziali che dovrebbero essere monitorate sistemi informativi dell'intera organizzazione. Definire il sistema e le informazioni ruoli e responsabilità nel monitoraggio, nonché monitoraggio e reporting frequenza (ad esempio in tempo reale, ogni 15 minuti, ogni ora o trimestrale).

Acquisisci i requisiti per l'analisi del traffico delle comunicazioni alla ricerca di informazioni sistemi aziendali all'interno dell'organizzazione. Specifica i requisiti per il rilevamento anomalie, inclusi i punti di sistema per il monitoraggio. *Network Intelligence Center di Google di servizi di rete consentono di condurre analisi approfondite di prestazioni e sicurezza il monitoraggio. Google ha anche forti partnership con terze parti che si integrano con Google Cloud per la scansione e la protezione di endpoint e host del cloud, come +Aqua Security e +Crowdstrike. Le Shielded VM consentono di proteggere i dispositivi e verificare l'autenticazione e garantire processi di avvio protetti.

Definisci in che modo la tua organizzazione deve eseguire controlli e misure di protezione contro la sicurezza di anomalie e violazioni dell'integrità. Usa strumenti come *Security Command Center o *Policy Intelligence per monitorare e rilevare modifiche alla configurazione. Utilizza +strumenti di gestione delle configurazioni oppure Modelli di Deployment Manager per confermare o bloccare le modifiche alle risorse cloud.

Nelle norme relative alle informazioni e all'integrità del sistema, specifica i requisiti per autorizzare e approvare servizi di rete nella propria organizzazione. Sommario processi di approvazione e autorizzazione dei servizi di rete. Il VPC è essenziali per la definizione di reti e subnet cloud che utilizzano firewall per proteggere perimetri di rete. Controlli di servizio VPC consente di applicare perimetri di sicurezza di rete aggiuntivi per i dati sensibili nel cloud.

Oltre a tutto questo, erediterai automaticamente lo stack di avvio protetto di Google attendibile, difesa in profondità dell'infrastruttura.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusione

La sicurezza e la conformità nel cloud sono un impegno congiunto per conto tuo e il tuo CSP. Mentre Google garantisce che l'infrastruttura fisica i servizi corrispondenti supportino la conformità con decine di standard, normative e certificazioni, hai l'obbligo di garantire che tutto ciò che crei nel cloud sia conforme.

Google Cloud ti supporta nelle tue attività di conformità fornendo gli stessi insieme di prodotti e funzionalità per la sicurezza che Google usa per proteggere la sua infrastruttura.

Passaggi successivi

Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Dai un'occhiata al nostro Centro architetture cloud.