Questa pagina è stata tradotta dall'API Cloud Translation.

Guida all'implementazione di FedRAMP di Google Cloud

Last reviewed 2024-02-27 UTC

Questa guida è rivolta ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e ad altri dipendenti responsabili dell'implementazione del Federal Risk and Authorization Management Program (FedRAMP) e della conformità su Google Cloud. Questa guida ti aiuta a capire in che modo Google può supportare la conformità FedRAMP e quali strumenti, prodotti e servizi Google Cloud configurare per aiutarti ad adempiere alle tue responsabilità ai sensi di FedRAMP.

Panoramica

Google Cloud supporta la conformità FedRAMP e fornisce dettagli specifici sull'approccio alla sicurezza e alla protezione dei dati nel white paper sulla sicurezza di Google e nella Panoramica sulla progettazione della sicurezza dell'infrastruttura Google. Sebbene Google offra un'infrastruttura cloud sicura e conforme, l'utente è responsabile della valutazione della propria conformità a FedRAMP. Hai inoltre la responsabilità di garantire che l'ambiente e le applicazioni che crei su Google Cloud siano correttamente configurati e protetti in base ai requisiti FedRAMP.

Questo documento illustra le fasi del FedRAMP Authority to Operate (ATO) ad alto livello, illustra il modello di responsabilità condivisa di Google Cloud, evidenzia le responsabilità specifiche del cliente e suggerisce come soddisfare questi requisiti e linee guida su Google Cloud.

FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è un programma a livello governativo che standardizza l'applicazione del Federal Information Security Modernization Act (FISMA) al cloud computing. Stabilisce un approccio ripetibile alla valutazione, autorizzazione e monitoraggio continuo della sicurezza per i servizi basati su cloud.

Utilizzando gli standard e le linee guida del FedRAMP, puoi proteggere i dati sensibili, essenziali e mission-critical nel cloud, permettendo di rilevare rapidamente le vulnerabilità di cybersicurezza.

A livello generale, FedRAMP ha i seguenti obiettivi:

Garantire che i servizi e i sistemi cloud utilizzati dagli enti statali possano adottare misure di salvaguardia adeguate.
Deduplicare le attività e ridurre i costi di gestione del rischio.
Consentono agli enti statali di approvvigionare sistemi e servizi di informazione in modo rapido ed economico.

In conformità al FedRAMP, gli enti statali federali devono:

Garantire che tutti i sistemi cloud che elaborano, trasmettono e archiviano i dati della pubblica amministrazione utilizzino la base dei controlli di sicurezza FedRAMP.
Utilizza il piano di valutazione della sicurezza quando concedi le autorizzazioni di sicurezza ai sensi del FISMA.
Applica i requisiti FedRAMP tramite contratti con fornitori di servizi cloud (CSP).

Autorizzazione a operare (ATO)

L'implementazione e l'esecuzione con successo del processo di accreditamento FedRAMP culmina con un'autorità per operare (ATO) nel cloud. Esistono due percorsi per FedRAMP ATO: P-ATO e Agency ATO.

La P-ATO, o Provisional Authority to Operate, è concessa dal Joint Authorization Board (JAB) FedRAMP. Il JAB è composto da CIO del Dipartimento della sicurezza interna (DHS), della General Services Administration (GSA) e del Dipartimento della difesa (DoD). Il comitato definisce i controlli di sicurezza FedRAMP di base e stabilisce i criteri di accreditamento FedRAMP per le organizzazioni di valutazione di terze parti (3PAO). Organizzazioni e agenzie richiedono che il pacchetto per la sicurezza dei sistemi informativi venga elaborato dalla JAB, che poi emette un P-ATO per l'utilizzo dei servizi cloud.

Con l'Agenzia ATO, l'organizzazione interna o l'agenzia designa i funzionari autorizzati a eseguire una revisione dei rischi del pacchetto per la sicurezza del sistema informatico. L'AO può coinvolgere 3PAO o revisori indipendenti non accreditati (IA) per la revisione del pacchetto per la sicurezza dei sistemi informativi. L'AO e in seguito l'agenzia o l'organizzazione autorizzano l'uso dei servizi cloud da parte del sistema informatico. Il pacchetto per la sicurezza viene inoltre inviato al PMO (Program Management Office) del FedRAMP per la revisione. GSA è il PMO del programma FedRAMP. Dopo la revisione, il PMO pubblica il pacchetto di sicurezza per altre agenzie e organizzazioni.

Piano di valutazione della sicurezza

I funzionari autorizzati (AO) presso agenzie e organizzazioni devono integrare il FedRAMP Security Assessment Plan (SAP) nei processi di autorizzazione interni per garantire la conformità ai requisiti FedRAMP per l'utilizzo dei servizi cloud. La SAF viene implementata in quattro fasi:

Le quattro fasi del piano di valutazione della sicurezza.

Tu o il tuo AO classificate il vostro sistema informatico come sistema a impatto a basso, moderato o alto in base agli obiettivi di sicurezza del FIPS PUB 199 in base agli obiettivi di sicurezza di riservatezza, integrità e disponibilità.

In base alla categorizzazione FIPS del sistema, seleziona la base dei controlli di sicurezza FedRAMP che è correlata al livello di categorizzazione FIPS 199 basso, moderato o alto. Devi poi implementare i controlli di sicurezza acquisiti nella rispettiva base di riferimento. Sono accettabili anche implementazioni alternative e la giustificazione del motivo per cui non è possibile soddisfare o implementare un controllo.

Acquisisci i dettagli dell'implementazione dei controlli di sicurezza in un piano di sicurezza del sistema (SSP). Ti consigliamo di selezionare il modello SSP in base al livello di conformità FedRAMP (Basso, Moderato o Alto).

La SSP esegue le seguenti operazioni:

Descrive il confine di autorizzazione di sicurezza.
Spiega in che modo l'implementazione del sistema gestisce ciascun controllo di sicurezza FedRAMP.
Delinea i ruoli e le responsabilità del sistema.
Definisce il comportamento previsto degli utenti di sistema.
Mostra com'è progettato il sistema e come appare l'infrastruttura di supporto.

Utilizzi il modello di revisione delle autorizzazioni FedRAMP per monitorare i progressi dell'ATO.

Per ulteriori dettagli sulle fasi di implementazione, consulta la procedura di autorizzazione di agenzie di FedRAMP.

Modello di responsabilità cloud

La tecnologia dell'infrastruttura convenzionale (IT) richiedeva a organizzazioni e agenzie l'acquisto di data center fisici o spazi di colocation, server fisici, attrezzatura di rete, software, licenze e altri dispositivi per la creazione di sistemi e servizi. Con il cloud computing, un CSP investe in hardware fisico, data center e networking globale, fornendo al contempo ai clienti attrezzature, strumenti e servizi virtuali.

Esistono tre modelli di cloud computing: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS):

Nel modello IaaS, i CSP forniscono sostanzialmente un data center virtuale nel cloud e offrono un'infrastruttura di computing virtualizzata come server, reti e archiviazione. Anche se i CSP gestiscono le apparecchiature fisiche e i data center per queste risorse, è tua responsabilità configurare e proteggere tutte le risorse delle piattaforme o delle applicazioni eseguite sull'infrastruttura virtualizzata.
Nel modello PaaS, i CSP non solo forniscono e gestiscono il livello di infrastruttura e virtualizzazione, ma forniscono anche ai clienti una piattaforma preconfigurata e pre-sviluppata per la creazione di software, applicazioni e servizi web. PaaS semplifica la creazione di applicazioni e middleware per gli sviluppatori senza doversi preoccupare della sicurezza e della configurazione dell'hardware sottostante.
Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma fornendo al contempo ai clienti applicazioni e servizi basati su cloud. Le applicazioni Internet che vengono eseguite direttamente dal browser web o da un sito web sono applicazioni SaaS. Con questo modello, le organizzazioni e le agenzie non devono preoccuparsi di installare, aggiornare o supportare le applicazioni: gestiscono semplicemente i criteri di accesso al sistema e ai dati.

La figura seguente evidenzia le responsabilità CSP e le tue responsabilità sia on-premise che nei modelli di cloud computing:

Responsabilità dei CSP e dei clienti.

Responsabilità FedRAMP

È possibile visualizzare lo stack IT del cloud relativamente a quattro livelli: l'infrastruttura fisica, il livello dell'infrastruttura cloud, il livello della piattaforma cloud e il livello software cloud. Il seguente diagramma mostra questi livelli.

Livelli nello stack IT del cloud.

I livelli numerati nel diagramma corrispondono:

Software as a Service. Google Workspace ha anche la certificazione FedRAMP Moderate. Per ereditare questi controlli di sicurezza SaaS, puoi richiedere una copia del pacchetto ATO di Google da JAB e includere una copia della lettera di attestazione di Google nel pacco.
Platform as a Service. Oltre all'infrastruttura fisica certificata FedRAMP di Google Cloud, il programma FedRAMP include altri prodotti e servizi PaaS, inclusi App Engine, Cloud Storage e servizi di database. Se possibile, utilizza questi prodotti e servizi precertificati.
Infrastructure as a Service. Oltre all'infrastruttura fisica certificata FedRAMP di Google Cloud, FedRAMP include altri prodotti e servizi IaaS, inclusi Google Kubernetes Engine (GKE) e Compute Engine. Se possibile, utilizza questi prodotti e servizi precertificati.
Infrastruttura fisica. Google Cloud è certificato dalla JAB come FedRAMP Moderate. Per ereditare questi controlli di sicurezza fisica, puoi richiedere una copia del pacchetto ATO di Google e includere la lettera di attestazione di Google nel pacchetto.

Per quanto riguarda l'ATO FedRAMP, ogni livello dello stack IT cloud è considerato un confine di controllo indipendente e ogni confine di controllo richiede un ATO separato. Ciò significa che, nonostante la conformità FedRAMP di Google Cloud e la presenza di decine di servizi Google Cloud coperti da FedRAMP, devi comunque implementare i controlli di base della sicurezza FedRAMP e il processo SAF per qualificare i sistemi e i carichi di lavoro cloud come conformi a FedRAMP.

Esistono due tipi di controlli di sicurezza FedRAMP per le basi di conformità bassa, moderata e alta: controlli implementati dal sistema informatico e controlli implementati dall'organizzazione. Quando la tua organizzazione o agenzia crea sistemi conformi a FedRAMP su Google Cloud, tu erediti i controlli di sicurezza dell'infrastruttura fisica che Google soddisfa ai sensi della certificazione FedRAMP. Inoltre, quando utilizzi Google Workspace, erediti le infrastrutture fisiche e i controlli di sicurezza IaaS e PaaS integrati nei prodotti e servizi conformi a FedRAMP di Google e in tutti i controlli SaaS. Tuttavia, devi implementare tutti gli altri controlli e configurazioni di sicurezza a livello di IaaS, PaaS e SaaS, come definito dalla base dei controlli di sicurezza FedRAMP.

Suggerimenti per l'implementazione di FedRAMP

Come già detto, erediti alcuni controlli di sicurezza da CSP. Per gli altri controlli, devi configurarli in modo specifico e creare criteri, regole e normative definiti dall'organizzazione per soddisfare ciascun controllo.

Questa sezione consiglia gli strumenti per l'implementazione dei controlli di sicurezza NIST 800-53 nel cloud utilizzando criteri definiti dall'organizzazione con strumenti, servizi e best practice di Google Cloud.

Controllo dell'accesso

Per gestire controllo dell'accesso in Google Cloud, definisci gli amministratori dell'organizzazione che gestiranno gli account del sistema informatico nel cloud. Inserisci gli amministratori in gruppi di controllo dell'accesso utilizzando Cloud Identity, la Console di amministrazione o un altro provider di identità (ad esempio Active Directory o LDAP), assicurandoti che i provider di identità di terze parti siano federati con Google Cloud. Utilizza Identity and Access Management (IAM) per assegnare ruoli e autorizzazioni ai gruppi amministrativi, implementando il privilegio minimo e la separazione dei compiti.

Sviluppa un criterio di controllo dell'accesso a livello di organizzazione per gli account del sistema informatico nel cloud. Definisci i parametri e le procedure con cui l'organizzazione crea, abilita, modifica, disattiva e rimuove gli account del sistema informativo.

Gestione dell'account, separazione dei compiti e privilegio minimo

Nel criterio di controllo dell'accesso#39;accesso, definisci i parametri e le procedure mediante i quali la tua organizzazione creerà, attiverà, modificherà, disattiverà e rimuoverà gli account del sistema informatico. Definisci le condizioni in base alle quali usare gli account dei sistemi informativi.

Identifica inoltre il periodo di inattività in cui gli utenti dovranno disconnettersi da un sistema (ad esempio dopo *x* minuti, ore o giorni). Utilizza le configurazioni di Cloud Identity, Console di amministrazione o delle applicazioni per forzare gli utenti a uscire o eseguire nuovamente l'autenticazione dopo il periodo di tempo definito.

Definisci le azioni da eseguire quando le assegnazioni dei ruoli con privilegi non sono più appropriate per un utente della tua organizzazione. Google *Policy Intelligence ha una funzionalità del motore per suggerimenti IAM che consente di rimuovere gli accessi indesiderati alle risorse di Google Cloud utilizzando il machine learning per formulare suggerimenti intelligenti per il controllo degli accessi.

Definisci condizioni in base a cui gli account di gruppo vengano considerati appropriati. Utilizza Cloud Identity o la Console di amministrazione per creare gruppi o account di servizio. Assegna ruoli e autorizzazioni a gruppi condivisi e account di servizio utilizzando IAM. Utilizza gli account di servizio ove possibile. Specifica l'utilizzo atipico di un account del sistema informatico per la tua organizzazione. Quando rilevi un uso atipico, utilizza strumenti come Google Cloud Observability o *Security Command Center per avvisare gli amministratori del sistema informatico.

Segui queste linee guida per implementare i controlli di sicurezza: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (03),

Applicazione del flusso di informazioni e accesso remoto

Nel controllo dell'accesso a livello di organizzazione, definisci criteri di controllo del flusso di informazioni per la tua organizzazione. Identificare porte, protocolli e servizi proibiti o limitati. Definire requisiti e limitazioni per le interconnessioni a sistemi interni ed esterni. Utilizza strumenti come Virtual Private Cloud per creare firewall, reti isolate logicamente e subnet. Aiuta a controllare il flusso di informazioni implementando Cloud Load Balancing,*Cloud Service Mesh e Controlli di servizio VPC.

Quando imposti i criteri di controllo del flusso di informazioni, identifica i punti di accesso alla rete controllati per la tua organizzazione. Utilizza strumenti come Identity-Aware Proxy per fornire accesso basato sul contesto alle risorse cloud per gli utenti remoti e in loco. Utilizza Cloud VPN o Cloud Interconnect per fornire un accesso sicuro e diretto ai VPC.

Imposta criteri a livello di organizzazione per l'esecuzione di comandi con privilegi e l'accesso a dati sicuri tramite accesso remoto. Usa Controlli di servizio IAM e VPC per limitare l'accesso a dati e carichi di lavoro sensibili.

Segui queste linee guida per implementare i controlli di sicurezza: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Tentativi di accesso, notifica per l'utilizzo del sistema e chiusura della sessione

Nel criterio di controllo dell'accesso, specifica per quanto tempo un utente deve essere ritardato prima di accedere a una richiesta di accesso dopo che sono stati tentati tre tentativi di accesso non riusciti in un periodo di 15 minuti. Definisci le condizioni e i trigger in base alle quali le sessioni utente vengono terminate o disconnesse.

Utilizza Cloud Identity Premium Edition o la Console di amministrazione per gestire i dispositivi mobili che si connettono alla rete, incluso il BYOD. Crea criteri di sicurezza a livello di organizzazione applicabili ai dispositivi mobili. Descrivere i requisiti e le procedure per eliminare definitivamente e cancellare i dati dei dispositivi mobili dopo tentativi di accesso non riusciti consecutivi.

Sviluppa notifiche relative al linguaggio e all'utilizzo del sistema a livello di organizzazione che forniscano norme sulla privacy, termini e condizioni d'uso e informative sulla sicurezza agli utenti che accedono al sistema informatico. Definisci le condizioni in base alle quali vengono visualizzate le notifiche a livello di organizzazione prima di concedere l'accesso agli utenti. Pub/Sub è un sistema globale di messaggistica e importazione di eventi che puoi utilizzare per inviare notifiche push ad applicazioni e utenti finali. Puoi anche utilizzare *Chrome Enterprise Suite, inclusi il *browser Chrome e *Chrome OS, con *API Push e *API Notifications per inviare notifiche e aggiornamenti agli utenti.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Azioni consentite, dispositivi mobili, condivisione di informazioni

Nel criterio di controllo dell'accesso dell'accesso, definisci le azioni utente che possono essere eseguite su un sistema informatico senza identificazione e autenticazione. Utilizza IAM per regolare l'accesso degli utenti in modo da visualizzare, creare, eliminare e modificare risorse specifiche.

Sviluppo di criteri a livello di organizzazione per la condivisione delle informazioni. Determinare le circostanze in cui le informazioni possono essere condivise e quando è richiesta la discrezione dell'utente per la condivisione. Usare procedure per aiutare gli utenti a condividere informazioni e a collaborare all'interno dell'organizzazione. Google Workspace offre un ottimo insieme di funzionalità per la collaborazione e il coinvolgimento controllati tra i team.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: AC-14, AC-19 (05), AC-21.

Awareness e formazione

Crea criteri di sicurezza e materiali per la formazione associati da distribuire agli utenti e ai gruppi di sicurezza nella tua organizzazione almeno una volta all'anno. Google offre opzioni di Servizi professionali per formare gli utenti sulla sicurezza del cloud, inclusi, a titolo esemplificativo, un coinvolgimento relativo alla sicurezza di Cloud Discover e una valutazione della sicurezza di Google Workspace.

Aggiorna i criteri di sicurezza e la formazione inerente almeno una volta all'anno.

Seguire queste linee guida per facilitare l'implementazione del controllo di sicurezza AT-01.

Controllo e responsabilizzazione

Crea criteri di auditing e controlli di responsabilità a livello di organizzazione che soddisfino le procedure e i requisiti di implementazione per il personale di controllo, gli eventi e le azioni legati ai sistemi informativi cloud.

Nel criterio di controllo a livello di organizzazione, descrivi gli eventi che devono essere controllati nei sistemi informativi dell'organizzazione e la frequenza dei controlli. Esempi di eventi registrati includono eventi di accesso all'account riusciti e non riusciti, eventi di gestione dell'account, accesso agli oggetti, modifica dei criteri, funzioni dei privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni web, gli esempi includono attività di amministrazione, controlli di autenticazione, controlli delle autorizzazioni, eliminazioni di dati, accesso ai dati, modifiche ai dati e modifiche alle autorizzazioni. Definisci altri eventi di interesse per la tua organizzazione.

Per i criteri di controllo, ti consigliamo inoltre di specificare indicazioni relative ad attività inappropriate o insolite per la tua organizzazione. Monitora, registra e segnala queste attività regolarmente (almeno ogni settimana).

Utilizza Google Cloud Observability per gestire il logging, il monitoraggio e gli avvisi per gli ambienti Google Cloud, on-premise o altri cloud. Usa Google Cloud Observability per configurare e monitorare gli eventi di sicurezza nella tua organizzazione. Puoi utilizzare Cloud Monitoring anche per impostare metriche personalizzate da monitorare per gli eventi definiti dall'organizzazione nei record di audit.

Consente ai sistemi informativi di avvisare gli amministratori in caso di errori di elaborazione dei controlli. Puoi implementare questi avvisi utilizzando strumenti come Pub/Sub e gli avvisi.

Definisci standard per avvisare gli amministratori entro un periodo di tempo prestabilito (ad esempio, entro 15 minuti), in caso di errore del sistema o di funzionamento, in modo da includere quando i record di controllo raggiungono una soglia o una capacità di volume prestabilite. Determinare una granularità della misurazione del tempo a livello di organizzazione, mediante la quale i record di audit devono avere timestamp e registrare. Definisci il livello di tolleranza per i record con timestamp nell'audit trail del sistema informatico (ad esempio, quasi in tempo reale o entro 20 minuti).

Imposta le quote delle risorse VPC per stabilire le soglie di capacità per l'archiviazione dei record di controllo. Configura avvisi relativi al budget per inviare una notifica agli amministratori quando una percentuale di un limite di risorse viene raggiunta o superata.

Definisci i requisiti di archiviazione a livello di organizzazione per i dati e i record di audit, includendo i requisiti di disponibilità e conservazione degli audit log. Utilizza Cloud Storage per archiviare e archiviare gli audit log e BigQuery per eseguire ulteriori analisi dei log.

Segui queste linee guida per implementare i controlli di sicurezza: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-1 (04), AU-1.

Valutazione e autorizzazione della sicurezza

Sviluppa una politica di valutazione della sicurezza e autorizzazione a livello di organizzazione, che definisce le procedure e i requisiti di implementazione delle valutazioni della sicurezza, dei controlli di sicurezza e delle autorizzazioni dell'organizzazione.

Nel criterio di valutazione e autorizzazione della sicurezza, definisci il livello di indipendenza richiesto ai team di valutazione della sicurezza per eseguire valutazioni imparziali dei sistemi informativi nel cloud. Identificare i sistemi di informazioni che devono essere valutati da un revisore indipendente.

Le valutazioni della sicurezza dovrebbero includere almeno quanto segue:

Monitoraggio approfondito
Analisi delle vulnerabilità
Test su utenti dannosi
Valutazione delle minacce interne
Test delle prestazioni e del carico

L'organizzazione deve definire ulteriori requisiti e forme di valutazione della sicurezza.

Assicurati che i criteri di valutazione e autorizzazione della sicurezza specifichino le classificazioni e i requisiti dei sistemi di sicurezza, compresi quelli per i sistemi di sicurezza non classificati e non nazionali.

Nei criteri di controllo del flusso di informazioni per la tua organizzazione, delinea i requisiti e le limitazioni per le interconnessioni a sistemi interni ed esterni. Impostare regole firewall VPC per consentire e negare il traffico ai sistemi informativi e utilizzare Controlli di servizio VPC per proteggere i dati sensibili mediante parametri di sicurezza.

Imposta criteri di controllo e responsabilità a livello di organizzazione che applichino requisiti di monitoraggio continuo (CA-07).

Segui queste linee guida per implementare i controlli di sicurezza: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestione della configurazione

Crea un criterio di gestione delle configurazioni a livello di organizzazione che definisca le procedure e i requisiti di implementazione per controlli, ruoli, responsabilità, ambito e conformità per la gestione delle configurazioni a livello di organizzazione.

Standardizza i requisiti delle impostazioni di configurazione per i sistemi informativi e i componenti di sistema. Fornisci requisiti operativi e procedure per la configurazione dei sistemi informativi. Richiamare in modo esplicito il numero di versioni precedenti di una configurazione di base che gli amministratori di sistema sono tenuti a conservare per il supporto del rollback del sistema informatico. Utilizza la suite di strumenti di gestione delle configurazioni di Google per controllare le configurazioni dei sistemi IT come codice e monitorare le modifiche alla configurazione utilizzando *Policy Intelligence o *Security Command Center.

Specifica i requisiti di configurazione per ogni tipo di sistema informatico nella tua organizzazione (ad esempio, informazioni cloud, on-premise, ibride, non classificate, non classificate controllate o classificate). Definisci inoltre i requisiti di protezione della sicurezza per i dispositivi di proprietà dell'organizzazione e BYOD (Bring your own device, Porta il tuo dispositivo) per includere l'identificazione di posizioni geografiche sicure e non sicure. Utilizza Identity-Aware Proxy per applicare controlli dell'accesso basati sul contesto ai dati di proprietà dell'organizzazione, inclusi i controlli dell'accesso per posizione geografica. Utilizza la versione Cloud Identity Premium o la Console di amministrazione per applicare le configurazioni di sicurezza sui dispositivi mobili che si connettono alla rete aziendale.

Nel criterio di gestione della configurazione, definisci un elemento di controllo dei cambiamenti di configurazione a livello di organizzazione, ad esempio un comitato o un consiglio di amministrazione. Documentare la frequenza con cui il comitato si riunisce e in quali condizioni. Istituisci un organismo formale per la revisione e l'approvazione delle modifiche alla configurazione.

Identifica le autorità di approvazione per la gestione della configurazione per la tua organizzazione. Questi amministratori esaminano le richieste di modifiche ai sistemi informativi. Definisci il periodo di tempo entro il quale le autorità devono approvare o disapprovare le richieste di modifica. Offri agli utenti che implementano le modifiche indicazioni per avvisare le autorità di approvazione del completamento delle modifiche al sistema informatico.

Imposta limitazioni sull'uso del software open source in tutta l'organizzazione, in modo da includere la specifica di quale software è approvato e non approvato per l'uso. Utilizza Cloud Identity o la Console di amministrazione per applicare le applicazioni e il software approvati per la tua organizzazione. Con Cloud Identity Premium puoi abilitare il Single Sign-On e l'autenticazione a più fattori per le applicazioni di terze parti.

Utilizza strumenti come gli avvisi per inviare notifiche agli amministratori della sicurezza quando le modifiche alla configurazione vengono registrate. Concedi l'accesso amministrativo a strumenti come *Security Command Center per monitorare le modifiche alla configurazione quasi in tempo reale. Con *Policy Intelligence, puoi utilizzare il machine learning per studiare le configurazioni definite dalla tua organizzazione, aumentando la consapevolezza su quando le configurazioni cambiano rispetto alla base di riferimento.

Imponi il minor numero di funzionalità all'interno dell'organizzazione utilizzando i criteri di controllo del flusso di informazioni.

Segui queste linee guida per implementare i controlli di sicurezza: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07), CM-07 (01), CM-07 (01),

Pianificazione della contingenza

Sviluppa un piano di emergenza per la tua organizzazione che definisca le procedure e i requisiti di implementazione per i controlli di pianificazione delle emergenze in tutta l'organizzazione. Identifica il personale, i ruoli e le responsabilità in caso di emergenza in tutti gli elementi dell'organizzazione.

Evidenzia le operazioni dei sistemi informativi essenziali per la missione e per il business all'interno della tua organizzazione. Delinea obiettivi RTO (Recovery Time Objective) e RPO (Recovery Point Objective) per riprendere le operazioni essenziali dopo l'attivazione del piano di emergenza.

Sistemi informativi critici per i documenti e software associati. Identifica eventuali informazioni aggiuntive relative alla sicurezza e fornisci indicazioni e requisiti per l'archiviazione di copie di backup di dati e componenti critici del sistema. Esegui il deployment delle risorse di Google globali, regionali e a livello di zona e di località in tutto il mondo per garantire una disponibilità elevata. Usa le classi di Cloud Storage per le opzioni multiregionali, di backup, di archiviazione Implementazione della scalabilità automatica della rete globale e diCloud Load Balancingo.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identificazione e autenticazione

Crea un criterio di identificazione e autenticazione per la tua organizzazione che specifichi procedure, ambiti, ruoli, responsabilità, gestione, entità e conformità di identificazione e autenticazione. Specifica i controlli di identificazione e autenticazione richiesti dalla tua organizzazione. Utilizza Cloud Identity Premium o la Console di amministrazione per identificare i dispositivi aziendali e personali che possono connettersi alle risorse della tua organizzazione. Utilizza Identity-Aware Proxy per imporre l'accesso sensibile al contesto alle risorse.

Includi indicazioni sui contenuti dell'autenticatore per la tua organizzazione, le condizioni di riutilizzo dell'autenticazione, gli standard per la protezione degli autenticatori e quelli per la modifica o l'aggiornamento degli autenticatori. Inoltre, acquisisci i requisiti per l'uso degli autenticatori memorizzati nella cache. Specifica i limiti di tempo per l'utilizzo degli autenticatori memorizzati nella cache e crea definizioni per la scadenza degli autenticatori memorizzati nella cache. Definisci i requisiti minimi e massimi di durata e i periodi di aggiornamento che devono essere applicati dai sistemi informativi della tua organizzazione.

Utilizza Cloud Identity o la Console di amministrazione per applicare i criteri relativi alle password relativi a sensibilità, utilizzo dei caratteri, creazione o riutilizzo di nuove password, durata delle password, archiviazione e trasmissione.

Definire i requisiti di autenticazione mediante token hardware e software per l'autenticazione in tutta l'organizzazione, inclusi, a titolo esemplificativo, i requisiti per le card PIV e PKI. Puoi utilizzare i token di sicurezza Titan per applicare requisiti di autenticazione aggiuntivi per gli amministratori e il personale con privilegi.

Nei criteri di identificazione e autenticazione, descrivi i componenti del sistema informativo FICAM (Federal Identity, Credential and Access Management) che possono accettare terze parti nella tua organizzazione. Identity Platform di Google è una piattaforma per la gestione di identità e accessi cliente (GIAC) che aiuta le organizzazioni ad aggiungere funzionalità di gestione di identità e accessi alle applicazioni a cui accedono entità esterne.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Risposta agli incidenti

Stabilisci un criterio di risposta agli incidenti per la tua organizzazione, incluse procedure per facilitare e implementare i controlli di risposta agli incidenti. Crea gruppi di sicurezza per i team di risposta agli incidenti e le autorità della tua organizzazione. Utilizza strumenti come Google Cloud Observability o *Security Command Center per condividere eventi, log e dettagli relativi agli incidenti.

Sviluppa un piano di test di risposta agli incidenti, procedure ed elenchi di controllo, nonché requisiti e benchmark per il successo. Specifica le classi di incidenti che la tua organizzazione deve riconoscere e delinea le azioni associate da intraprendere in risposta a questi incidenti. Definisci le azioni che ti aspetti che il personale autorizzato intraprenda in caso di incidente. Queste azioni potrebbero essere misure per la gestione di fuoriuscite di informazioni, vulnerabilità di cybersicurezza e attacchi.Sfrutta le funzionalità di Google Workspace per scansionare e mettere in quarantena i contenuti delle email, bloccare i tentativi di phishing e impostare restrizioni sugli allegati. Utilizza Sensitive Data Protection per ispezionare, classificare e anonimizzare i dati sensibili al fine di limitare l'esposizione.

Specifica i requisiti a livello di organizzazione per la formazione sulla risposta agli incidenti, compresi quelli per gli utenti generici e i ruoli e le responsabilità con privilegi. Applicare requisiti relativi a periodi di tempo per la partecipazione alla formazione (ad esempio, entro 30 giorni dall'iscrizione, trimestrale o annuale).

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Manutenzione del sistema

Crea un criterio di manutenzione del sistema per la tua organizzazione, documentando controlli di manutenzione del sistema, ruoli, responsabilità, gestione, requisiti di coordinamento e conformità. Definisci i parametri per la manutenzione controllata, inclusi i processi di approvazione per eseguire la manutenzione e le riparazioni fuori sede, e i tempi di risposta a livello di organizzazione per la sostituzione di dispositivi e componenti guasti. La tua organizzazione trarrà vantaggio dall'eliminazione dei dati su Google Cloud, dalla sanificazione dei dati e delle apparecchiature e dalla sicurezza e dall'innovazione dei data center di Google per la manutenzione e le riparazioni fuori sede.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MA-01, MA-02, MA-06.

Protezione dei contenuti multimediali

Nell'ambito di FedRAMP ATO di Google Cloud, rispettiamo i requisiti di protezione dei contenuti multimediali per l'infrastruttura fisica. Esamina la progettazione della sicurezza dell'infrastruttura e la panoramica della sicurezza di Google. Successivamente, sei responsabile del rispetto dei requisiti di sicurezza dell'infrastruttura virtuale.

Sviluppa un criterio di protezione dei contenuti multimediali per la tua organizzazione, documentando i controlli dei contenuti multimediali, i criteri e le procedure di protezione, i requisiti di conformità, i ruoli e le responsabilità di gestione. Procedure documentali per facilitare e implementare la protezione dei contenuti multimediali nella tua organizzazione. Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione dei media e delle relative protezioni.

Specifica i tipi di media e gli accessi approvati per la tua organizzazione, incluse le restrizioni per i media digitali e non. Imposta i contrassegni sui media e le eccezioni alla gestione dei contenuti che devono essere implementati in tutta l'organizzazione, compresi i requisiti relativi ai contrassegni di sicurezza all'interno e all'esterno delle aree di accesso controllato. Utilizza *Data Catalog per gestire i metadati delle risorse cloud, semplificando il rilevamento dei dati. Controlla la conformità delle risorse cloud nella tua organizzazione, regolando la distribuzione e il rilevamento delle risorse cloud con *Service Catalog.

Scopri come sanificare, smaltire o riutilizzare i contenuti multimediali gestiti dalla tua organizzazione. Illustrare i casi d'uso e le circostanze in cui è richiesta o accettabile la sanificazione, lo smaltimento o il riutilizzo di supporti e dispositivi. Definisci i metodi e i meccanismi di salvaguardia dei media che la tua organizzazione ritiene accettabili.

Con Google, trarrai vantaggio dall'eliminazione dei dati sulla sanificazione delle apparecchiature e dei dati di Google Cloud, nonché dalla sicurezza e dall'innovazione dei data center di Google. Inoltre, Cloud KMS e Cloud HSM forniscono protezione crittografica conforme a FIPS e puoi utilizzare i token di sicurezza Titan per applicare ulteriori requisiti di autenticazione fisica per gli amministratori e il personale con privilegi.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Tutela fisica e ambientale

Nell'ambito di FedRAMP ATO di Google Cloud, rispettiamo i requisiti di protezione fisica e ambientale per le infrastrutture fisiche. Esamina la progettazione della sicurezza dell'infrastruttura e la panoramica della sicurezza di Google. Successivamente, sei responsabile del rispetto dei requisiti di sicurezza dell'infrastruttura virtuale.

Definisci un criterio di protezione fisica e ambientale per la tua organizzazione, definendo controlli di protezione, entità di protezione, standard di conformità, ruoli, responsabilità e requisiti di gestione. Descrivere come implementare la protezione fisica e ambientale nell'organizzazione.

Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione della protezione fisica e ambientale. Richiede agli amministratori che accedono a risorse di calcolo sensibili di utilizzare i token di sicurezza Titan o altre forme di MFA per verificare l'integrità dell'accesso.

Nei criteri di protezione fisica e ambientale, definisci i requisiti di controllo dell'accesso fisico per la tua organizzazione. Identifica i punti di ingresso e di uscita delle strutture per i siti dei sistemi informativi, le misure di salvaguardia dell'accesso per queste strutture e i requisiti di inventario. Sfrutta strumenti come *Google Maps Platform per visualizzare e monitorare visivamente le strutture e i punti di ingresso e di uscita per le mappature della posizione. Utilizza Resource Manager e *catalogo dei servizi per controllare l'accesso alle risorse cloud, in modo che siano organizzate e facilmente rilevabili.

Utilizza Cloud Monitoring per configurare eventi, accessi e incidenti registrabili. Definisci gli eventi di accesso fisico a livello di organizzazione che devono essere registrati in Cloud Logging.

Utilizza le norme di protezione fisica e ambientale per tenere conto di situazioni di emergenza, come l'arresto di emergenza dei sistemi informatici, l'alimentazione di emergenza, l'eliminazione di incendi e la risposta di emergenza. Identifica i punti di contatto per la risposta alle emergenze, inclusi il personale di primo intervento locale e il personale di sicurezza fisica della tua organizzazione. Outline dei requisiti e delle località per i siti di lavoro alternativi. specificare i controlli di sicurezza e il personale per i siti di lavoro principali e alternativi. Esegui il deployment delle risorse globali, regionali e a livello di zona e di località di Google per garantire una disponibilità elevata. Utilizza le classi di Cloud Storage per le opzioni multiregionali, regionali, di backup e di archiviazione. Implementare la scalabilità automatica della rete globale e il bilanciamento del carico con Cloud Load Balancing. Crea modelli di deployment dichiarativi per stabilire un processo di deployment ripetibile e basato su modelli.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Pianificazione della sicurezza del sistema

Sviluppa un criterio di pianificazione della sicurezza per la tua organizzazione, che delinea i controlli, i ruoli, le responsabilità, la gestione, le entità di pianificazione della sicurezza per la tua organizzazione e i requisiti di conformità. Delinea come prevedi che venga implementata la pianificazione della sicurezza nella tua organizzazione.

Creare gruppi per definire opportunamente il personale addetto alla pianificazione della sicurezza. Specifica i gruppi di sicurezza per valutazioni della sicurezza, audit, manutenzione dell'hardware e del software, gestione delle patch e pianificazione delle emergenze per la tua organizzazione. Utilizza strumenti come Google Cloud Observability o *Security Command Center per monitorare sicurezza, conformità e controllo dell'accesso in tutta l'organizzazione.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PL-01, PL-02, PL-02 (03).

Sicurezza del personale

Crea un criterio di sicurezza del personale che identifichi il personale addetto alla sicurezza, i relativi ruoli e responsabilità, come ti aspetti che venga implementata la sicurezza del personale e quali controlli di sicurezza del personale applicare in tutta l'organizzazione. Acquisisci le patologie che richiederebbero ai singoli individui di sottoporsi a controlli, riesame e indagine sulla sicurezza dell'organizzazione. Delinea i requisiti per i permessi di sicurezza nella tua organizzazione.

Includi istruzioni per affrontare il licenziamento e il trasferimento del personale. Definire le esigenze e i parametri dei colloqui finali e gli argomenti di sicurezza che dovrebbero essere discussi durante questi colloqui. Specifica quando prevedi che le entità di sicurezza e amministrative della tua organizzazione ricevano una notifica in caso di terminazione, trasferimento o riassegnazione del personale (ad esempio, entro 24 ore). Specifica le azioni che ti aspetti che il personale e l'organizzazione completino per un trasferimento, una riassegnazione o una cessazione. e i requisiti per l'applicazione di sanzioni formali ai dipendenti. Spiega quando prevedi che il personale di sicurezza e gli amministratori ricevano notifiche relative alle sanzioni per i dipendenti e spiega i processi relativi alle sanzioni.

Utilizza IAM per assegnare ruoli e autorizzazioni al personale. Aggiungere, rimuovere, disabilitare e abilitare profili e accessi del personale in Cloud Identity o nella Console di amministrazione. Applica ulteriori requisiti di autenticazione fisica per gli amministratori e il personale con privilegi che utilizzano i token di sicurezza Titan.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Analisi del rischio

Implementa un criterio di valutazione del rischio che identifichi il personale addetto alla valutazione del rischio, i controlli di valutazione del rischio che prevedi vengano applicati all'intera organizzazione e le procedure per l'esecuzione della valutazione del rischio nell'organizzazione. Definisci il modo in cui ti aspetti che le valutazioni del rischio vengano documentate e registrate. Utilizza strumenti come *Security Command Center per informare automaticamente il personale addetto alla sicurezza dei rischi per la sicurezza e del livello di sicurezza complessivo della tua organizzazione.

Sfrutta la suite di strumenti di valutazione del rischio di Google come Web Security Scanner, Artifact Analysis, Google Cloud Armor e Protezione da phishing e malware di Google Workspace per analizzare i sistemi informativi della tua organizzazione e generare report sulle vulnerabilità. Rendi disponibili questi strumenti al personale e agli amministratori per la valutazione dei rischi al fine di identificare ed eliminare le vulnerabilità.

Il rispetto di queste linee guida getterà le basi per l'implementazione dei seguenti controlli di sicurezza: RA-01, RA-03, RA-05.

Acquisizione di sistemi e servizi

Sviluppa un criterio per l'acquisizione di sistemi e servizi che illustri ruoli e responsabilità del personale chiave, gestione di acquisizioni e servizi, conformità ed entità. delineare procedure di acquisizione di sistemi e servizi e linee guida per l'implementazione. Definire il ciclo di vita di sviluppo dei sistemi della tua organizzazione per i sistemi informativi e la sicurezza delle informazioni. Descrivere i ruoli e le responsabilità in materia di sicurezza delle informazioni, il personale e le modalità previste per la politica di valutazione del rischio della tua organizzazione per guidare e influenzare le attività del ciclo di vita dello sviluppo dei sistemi.

Evidenzia le procedure che prevedi verranno eseguite all'interno della tua organizzazione quando la documentazione del sistema informatico non è disponibile o non è definita. Coinvolgi gli amministratori dei sistemi informativi della tua organizzazione e il personale dei servizi di sistema secondo necessità. Definisci l'eventuale formazione richiesta per gli amministratori e gli utenti che implementano o accedono ai sistemi informativi nella tua organizzazione.

Utilizza strumenti come *Security Command Center per monitorare la conformità della sicurezza, i risultati e i criteri di controllo della sicurezza per la tua organizzazione. Google delinea tutti i suoi standard, normative e certificazioni di sicurezza per aiutare a istruire i clienti su come soddisfare i requisiti e le leggi di conformità su Google Cloud. Inoltre, Google offre una suite di prodotti per la sicurezza per aiutare i clienti a monitorare continuamente i sistemi informativi, le comunicazioni e i dati sia nel cloud che on-premise.

Specifica eventuali limitazioni relative alla località per il trattamento di dati, e servizi e le informazioni della tua organizzazione e le condizioni in cui i dati possono essere archiviati altrove. Google offre opzioni globali, regionali e a livello di zona per l'archiviazione, l'elaborazione dei dati e l'utilizzo dei servizi in Google Cloud.

Utilizza il criterio di gestione delle configurazioni per regolare la gestione della configurazione degli sviluppatori per i controlli di acquisizione di sistemi e servizi e utilizza i criteri di valutazione e autorizzazione della sicurezza per applicare i requisiti di test e valutazione della sicurezza degli sviluppatori.

Segui queste linee guida per implementare i controlli di sicurezza: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protezione del sistema e delle comunicazioni

Crea un criterio di protezione del sistema e delle comunicazioni che illustra i ruoli e le responsabilità del personale chiave, i requisiti di implementazione dei criteri di protezione delle comunicazioni nei sistemi e i controlli di protezione richiesti per la tua organizzazione. Identifica i tipi di attacchi denial of service che la tua organizzazione riconosce e monitora e delinea i requisiti di protezione DoS per la tua organizzazione.

Utilizza Google Cloud Observability per registrare, monitorare e inviare avvisi sugli attacchi alla sicurezza predefiniti contro la tua organizzazione. Implementa strumenti come Cloud Load Balancing e Google Cloud Armor per salvaguardare il tuo perimetro cloud e sfrutta servizi VPC come firewall e controlli di sicurezza di rete per proteggere la tua rete cloud interna.

Identifica i requisiti di disponibilità delle risorse della tua organizzazione; definisci in che modo prevedi che le risorse cloud vengano allocate nella tua organizzazione e quali vincoli implementare per limitare l'utilizzo eccessivo. Utilizza strumenti come Resource Manager per controllare l'accesso alle risorse a livello di organizzazione, cartella, progetto e singola risorsa. Imposta le quote delle risorse per gestire le richieste API e l'utilizzo delle risorse in Google Cloud.

Stabilisci requisiti di protezione dei confini per i sistemi informativi e le comunicazioni del sistema. Definisci i requisiti per il traffico delle comunicazioni interne e come prevedi che il traffico interno interagisca con le reti esterne. Specifica i requisiti per i server proxy e altri componenti di routing e autenticazione di rete.

Sfrutta *Cloud Service Mesh per gestire il traffico di rete e il flusso di comunicazione per la tua organizzazione. Utilizza Identity-Aware Proxy per controllare l'accesso alle risorse cloud in base ad autenticazione, autorizzazione e contesto, tra cui la posizione geografica o l'impronta digitale del dispositivo. Implementa *Accesso privato Google, *Cloud VPN o *Cloud Interconnect per proteggere il traffico di rete e le comunicazioni tra le risorse interne ed esterne. Utilizza VPC per definire e proteggere le reti cloud della tua organizzazione e stabilire subnet per isolare ulteriormente le risorse cloud e i perimetri di rete.

Google offre reti software-defined globali con opzioni per più regioni, a livello di regione e zona per disponibilità elevata e failover. Definisci i requisiti di errore per la tua organizzazione per garantire che i sistemi informativi non raggiungano uno stato noto. Acquisisci i requisiti per conservare le informazioni sullo stato del sistema informatico. Utilizza i gruppi di istanze gestite e i modelli di Deployment Manager per ristabilire le risorse non riuscite o non integre. Concedi agli amministratori l'accesso a *Security Command Center per monitorare attivamente la strategia di riservatezza, integrità e disponibilità della tua organizzazione.

Nel criterio, descrivi i requisiti della tua organizzazione per la gestione delle chiavi di crittografia, inclusi quelli relativi alla generazione, alla distribuzione, all'archiviazione, all'accesso e all'eliminazione delle chiavi. Utilizza Cloud KMS e Cloud HSM per gestire, generare, utilizzare, ruotare, archiviare ed eliminare le chiavi di sicurezza conformi a FIPS nel cloud.

Google cripta i dati at-rest per impostazione predefinita; tuttavia, puoi utilizzare Cloud KMS con Compute Engine e Cloud Storage per criptare ulteriormente i dati utilizzando chiavi di crittografia. Puoi anche eseguire il deployment di VM schermate per applicare controlli di integrità a livello di kernel su Compute Engine.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28 (01).

Integrità del sistema e delle informazioni

Implementa un criterio di integrità del sistema e delle informazioni che descriva i ruoli e le responsabilità chiave del personale, le procedure e i requisiti di implementazione dell'integrità, gli standard di conformità e i controlli di sicurezza per la tua organizzazione. Crea gruppi di sicurezza per il personale della tua organizzazione responsabili dell'integrità del sistema e delle informazioni. Illustrare i requisiti di correzione dei difetti della tua organizzazione, includendo linee guida per il monitoraggio, la valutazione, l'autorizzazione, l'implementazione, la pianificazione, il benchmarking e la correzione dei difetti di sicurezza nell'organizzazione e nei suoi sistemi informativi.

Sfrutta la suite di strumenti per la sicurezza di Google, inclusi, a titolo esemplificativo:

Browser Chrome
Web Security Scanner
Analisi degli artefatti
Protezioni da phishing e malware di Google Workspace
Centro sicurezza Google Workspace
Google Cloud Armor

Utilizza questi strumenti per:

Proteggiti da codice dannoso, attacchi informatici e vulnerabilità comuni.
Mettere in quarantena lo spam e impostare criteri relativi a spam e malware.
Avvisa gli amministratori sulle vulnerabilità.
Acquisisci insight all'interno della tua organizzazione per una gestione centralizzata.

Usa strumenti come Google Cloud Observability o *Security Command Center per gestire, inviare avvisi e monitorare centralmente i controlli e i risultati di sicurezza della tua organizzazione. In particolare, utilizza Google Cloud Observability per registrare le azioni amministrative, gli accessi ai dati e gli eventi di sistema avviati da utenti e personale con privilegi all'interno della tua organizzazione. Avvisare gli amministratori sui messaggi di errore e sulla gestione degli errori del sistema informatico.

Definisci gli eventi importanti per la sicurezza in relazione a software, firmware e informazioni della tua organizzazione (ad esempio vulnerabilità zero-day, eliminazione di dati non autorizzata, installazione di nuovo hardware, software o firmware). Spiega i passaggi da seguire quando si verificano questi tipi di modifiche importanti per la sicurezza. Specifica gli obiettivi di monitoraggio e gli indicatori di attacco a cui gli amministratori devono prestare particolare attenzione, per includere informazioni essenziali che devono essere monitorate all'interno dei sistemi informativi dell'organizzazione. Definire ruoli e responsabilità per il monitoraggio di sistemi e informazioni, nonché la frequenza di monitoraggio e generazione di report (ad esempio in tempo reale, ogni 15 minuti, ogni ora o trimestrale).

Acquisisci i requisiti per analizzare il traffico delle comunicazioni per i sistemi informativi della tua organizzazione. Specifica i requisiti per il rilevamento delle anomalie, inclusi i punti di sistema per il monitoraggio. *I servizi del Network Intelligence Center di Google consentono di eseguire un monitoraggio approfondito delle prestazioni di rete e della sicurezza. Google ha anche solide partnership con terze parti che si integrano con Google Cloud per la scansione e la protezione di endpoint e host del cloud, come Aqua Security e +Crowdstrike. Le Shielded VM consentono di rafforzare i dispositivi, verificare l'autenticazione e garantire processi di avvio protetti.

Definisci in che modo la tua organizzazione dovrebbe controllare e salvaguardare da anomalie nella sicurezza e violazioni dell'integrità. Utilizza strumenti come *Security Command Center o *Policy Intelligence per monitorare e rilevare le modifiche alla configurazione. Utilizza gli strumenti di gestione della configurazione o i modelli di Deployment Manager per confermare o interrompere le modifiche alle risorse cloud.

Nelle norme relative alle informazioni e all'integrità di sistema, specifica i requisiti per l'autorizzazione e l'approvazione dei servizi di rete nella tua organizzazione. Descrivere i processi di approvazione e autorizzazione per i servizi di rete. Il VPC è essenziale per definire le reti e le subnet cloud utilizzando firewall per proteggere i perimetri di rete. Controlli di servizio VPC consente di applicare perimetri di sicurezza di rete aggiuntivi per i dati sensibili nel cloud.

Oltre a tutto questo, erediterai automaticamente lo stack di avvio protetto e l'infrastruttura affidabile difesa in profondità di Google.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-0-1, SI-0-1), SI-0-1),

Conclusione

La sicurezza e la conformità nel cloud sono un impegno congiunto per conto tuo e del tuo CSP. Anche se Google garantisce che l'infrastruttura fisica e i servizi corrispondenti supportino la conformità a decine di standard, normative e certificazioni di terze parti, hai l'obbligo di garantire la conformità di tutto ciò che crei nel cloud.

Google Cloud ti supporta nelle attività di conformità fornendo lo stesso insieme di prodotti e funzionalità per la sicurezza che Google utilizza per proteggere la sua infrastruttura.

Passaggi successivi

Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Visita il nostro Cloud Architecture Center.