Panduan ini ditujukan untuk pejabat keamanan, pejabat kepatuhan, admin IT, dan karyawan lain yang bertanggung jawab atas penerapan dan kepatuhan Federal Risk and Authorization Management Program (FedRAMP) terhadap Google Cloud. Panduan ini membantu Anda memahami cara Google mendukung kepatuhan terhadap FedRAMP serta alat, produk, dan layanan Google Cloud yang akan dikonfigurasi guna membantu memenuhi tanggung jawab Anda berdasarkan FedRAMP.
Ringkasan
Google Cloud mendukung kepatuhan terhadap FedRAMP, dan memberikan detail spesifik tentang pendekatan keamanan dan perlindungan data dalam laporan resmi keamanan Google dan di Ringkasan Desain Keamanan Infrastruktur Google. Meskipun Google menyediakan infrastruktur cloud yang aman dan mematuhi kebijakan, Anda tetap bertanggung jawab untuk mengevaluasi kepatuhan Anda terhadap FedRAMP. Anda juga bertanggung jawab untuk memastikan bahwa lingkungan dan aplikasi yang Anda bangun di atas Google Cloud dikonfigurasi dan diamankan dengan benar sesuai dengan persyaratan FedRAMP.
Dokumen ini menguraikan fase Otoritas untuk Beroperasi (ATO) FedRAMP pada level tinggi, menjelaskan model tanggung jawab bersama Google Cloud, menyoroti tanggung jawab khusus pelanggan, dan menyarankan cara untuk memenuhi persyaratan dan pedoman ini di Google Cloud.
FedRAMP
Federal Risk and Authorization Management Program (FedRAMP) adalah program tingkat pemerintah yang menstandarkan cara Federal Information Security Modernization Act (FISMA) menerapkan komputasi cloud. Sistem ini menetapkan pendekatan berulang untuk penilaian keamanan, otorisasi, dan pemantauan berkelanjutan untuk layanan berbasis cloud.
Dengan menggunakan standar dan pedoman FedRAMP, Anda dapat mengamankan data sensitif, misi penting, dan sangat penting di cloud, sehingga dapat mendeteksi kerentanan pengamanan cyber dengan cepat.
Pada level tinggi, FedRAMP memiliki tujuan berikut:
- Memastikan bahwa layanan dan sistem cloud yang digunakan oleh lembaga pemerintah memiliki perlindungan yang memadai.
- Mengurangi duplikasi upaya dan mengurangi biaya manajemen risiko.
- Memungkinkan lembaga pemerintah mendapatkan sistem dan layanan informasi dengan cepat dan hemat biaya.
Menurut FedRAMP, lembaga pemerintah federal harus melakukan hal berikut:
- Pastikan semua sistem cloud yang memproses, mengirimkan, dan menyimpan data pemerintah menggunakan dasar pengukuran kontrol keamanan FedRAMP.
- Gunakan rencana penilaian keamanan saat memberikan otorisasi keamanan berdasarkan FISMA.
- Terapkan persyaratan FedRAMP melalui kontrak dengan penyedia ayanan cloud (CSP).
Otoritas untuk Beroperasi (ATO)
Keberhasilan penerapan dan pelaksanaan proses akreditasi FedRAMP berakhir dengan Otoritas untuk Beroperasi (ATO) di cloud. Ada dua jalur untuk FedRAMP ATO: P-ATO dan Agency ATO.
P-ATO, atau Otoritas untuk Beroperasi Sementara, diberikan oleh Dewan Otorisasi Bersama (JAB) FedRAMP. JAB terdiri dari CIO dari Department of Homeland Security (DHS), General Services Administration (GSA), dan Department of Defense (DoD). Dewan ini menentukan kontrol keamanan FedRAMP dasar dan menetapkan kriteria akreditasi FedRAMP untuk organisasi penilaian pihak ketiga (3PAO). Organisasi dan lembaga meminta agar paket keamanan sistem informasi mereka diproses oleh JAB, alu JAB menerbitkan P-ATO untuk menggunakan layanan cloud.
Dengan Agency ATO, organisasi atau lembaga internal menunjuk pejabat yang memberi otorisasi (AO) untuk melakukan peninjauan risiko atas paket keamanan sistem informasi. AO dapat melibatkan 3PAO atau penilai independen (IA) yang tidak terakreditasi untuk meninjau paket keamanan sistem informasi. AO, dan kemudian lembaga atau organisasi tersebut, kemudian memberikan otorisasi penggunaan layanan cloud dalam sistem informasi itu. Paket keamanan juga dikirim ke Program Manajemen Program (PMO) FedRAMP untuk ditinjau; GSA adalah PMO untuk FedRAMP. Setelah ditinjau, PMO memublikasikan paket keamanan untuk digunakan lembaga dan organisasi lain.
Rencana penilaian keamanan
Pejabat yang Memberi Otorisasi (AO) di lembaga dan organisasi harus menyertakan Rencana Penilaian Keamanan (SAP) FedRAMP ke dalam proses otorisasi internal mereka untuk memastikan bahwa mereka memenuhi persyaratan FedRAMP untuk penggunaan layanan cloud. SAF diterapkan dalam empat fase:
Anda atau AO Anda mengategorikan sistem informasi Anda sebagai sistem berdampak Rendah, Sedang, atau Tinggi sesuai dengan tujuan keamanan FIPS PUB 199 untuk kerahasiaan, integritas, dan ketersediaan.
Berdasarkan kategorisasi FIPS sistem, pilih dasar pengukuran kontrol keamanan FedRAMP yang berhubungan dengan level kategorisasi FIPS 199 rendah, sedang, atau tinggi. Kemudian, Anda harus menerapkan kontrol keamanan yang dicatat di dasar pengukuran kontrol masing-masing. Implementasi dan justifikasi alternatif mengapa kontrol tidak dapat dipenuhi atau diterapkan juga dapat diterima.
Tangkap detail penerapan kontrol keamanan dalam Rencana Keamanan Sistem (SSP). Sebaiknya pilih template SSP sesuai dengan level kepatuhan FedRAMP—Rendah, Sedang, atau Tinggi.
SSP melakukan hal berikut:
- Menjelaskan batas otorisasi keamanan.
- Menjelaskan cara penerapan sistem menangani setiap kontrol keamanan FedRAMP.
- Menjelaskan peran dan tanggung jawab sistem.
- Menentukan perilaku pengguna sistem yang diharapkan.
- Menunjukkan cara sistem dirancang dan seperti apa infrastruktur pendukungnya.
Anda menggunakan template peninjauan otorisasi FedRAMP untuk melacak progres ATO Anda.
Untuk mengetahui detail selengkapnya tentang fase penerapan, lihat proses otorisasi agensi FedRAMP.
Model tanggung jawab cloud
Teknologi infrastruktur (IT) konvensional mengharuskan organisasi dan lembaga untuk membeli, pusat data fisik atau ruang kolokasi, server fisik, peralatan jaringan, software, lisensi, dan perangkat lainnya untuk membangun sistem dan layanan. Dengan cloud computing, CSP berinvestasi pada hardware fisik, pusat data, dan jaringan global, sekaligus menyediakan peralatan, alat, dan layanan virtual untuk digunakan pelanggan.
Ada tiga model cloud computing: Infrastructure as a Service (IaaS), platform as a service (PaaS), dan software as a service (SaaS):
Dalam model IaaS, CSP pada dasarnya menyediakan pusat data virtual di cloud, dan menyediakan infrastruktur komputasi virtual seperti server, jaringan, dan penyimpanan. Meskipun CSP mengelola peralatan fisik dan pusat data untuk resource ini, Anda bertanggung jawab untuk mengonfigurasi dan mengamankan resource platform atau aplikasi apa pun yang Anda jalankan pada infrastruktur virtual.
Dalam model PaaS, CSP tidak hanya menyediakan dan mengelola infrastruktur dan lapisan virtualisasi, tetapi juga menyediakan platform yang telah dikembangkan dan dikonfigurasi sebelumnya untuk membuat software, aplikasi, dan layanan web. PaaS memudahkan developer untuk membuat aplikasi dan middleware tanpa perlu mengkhawatirkan keamanan dan konfigurasi hardware yang mendasarinya.
Dalam model SaaS, CSP mengelola infrastruktur fisik dan virtual serta lapisan platform sekaligus mengirimkan aplikasi dan layanan berbasis cloud untuk digunakan pelanggan. Aplikasi internet yang berjalan langsung dari browser web atau dengan membuka situs web adalah aplikasi SaaS. Dengan model ini, organisasi dan lembaga tidak perlu khawatir tentang menginstal, mengupdate, atau mendukung aplikasi; mereka hanya mengelola kebijakan akses data dan sistem.
Gambar berikut menyoroti tanggung jawab CSP dan tanggung jawab Anda, baik di infrastruktur lokal maupun di seluruh model cloud computing:
Tanggung jawab FedRAMP
Anda dapat melihat stack IT cloud dalam empat lapisan: lapisan infrastruktur fisik, lapisan infrastruktur cloud, lapisan platform cloud, dan lapisan software cloud. Diagram berikut menunjukkan lapisan ini.
Lapisan bernomor dalam diagram sesuai dengan yang berikut.
- Software as a service. Google Workspace juga telah mendapatkan sertifikasi FedRAMP Sedang. Untuk mewarisi kontrol keamanan SaaS ini, Anda dapat meminta salinan paket ATO Google dari JAB dan menyertakan salinan surat pengesahan Google dalam paket Anda.
- Platform as a service. Selain infrastruktur fisik tersertifikasi FedRAMP dari Google Cloud, produk dan layanan PaaS lainnya dicakup oleh FedRAMP, termasuk App Engine, Cloud Storage, dan layanan database. Gunakan produk dan layanan pra-sertifikasi ini jika memungkinkan.
- Infrastructure as a service. Selain infrastruktur fisik tersertifikasi FedRAMP dari Google Cloud, produk dan layanan IaaS tambahan tercakup oleh FedRAMP, termasuk Google Kubernetes Engine (GKE) dan Compute Engine. Gunakan produk dan layanan pra-sertifikasi ini jika memungkinkan.
- Infrastruktur fisik. Google Cloud disertifikasi oleh JAB sebagai FedRAMP Sedang. Untuk mewarisi kontrol keamanan fisik ini, Anda dapat meminta salinan paket ATO Google dan menyertakan surat pengesahan Google dalam paket Anda.
Sehubungan dengan ATO FedRAMP, setiap lapisan stack IT cloud dianggap sebagai batas kontrol independen, dan setiap batas kontrol memerlukan ATO yang terpisah. Artinya, meskipun Google Cloud mematuhi FedRAMP dan memiliki puluhan layanan Google Cloud yang dicakup oleh FedRAMP, Anda tetap harus menerapkan kontrol dasar pengukuran keamanan FedRAMP dan proses SAF untuk memenuhi syarat sistem cloud dan beban kerja Anda sesuai dengan FedRAMP.
Ada dua jenis kontrol keamanan FedRAMP di dasar pengukuran kepatuhan Rendah, Sedang, dan Tinggi: kontrol yang diimplementasikan oleh sistem informasi, dan kontrol yang diimplementasikan oleh organisasi. Saat organisasi atau agensi Anda membangun sistem yang mematuhi FedRAMP di Google Cloud, Anda mewarisi kontrol keamanan infrastruktur fisik yang dipenuhi Google berdasarkan sertifikasi FedRAMP. Anda juga akan mewarisi kontrol keamanan infrastruktur fisik apa pun, IaaS, dan PaaS yang disertakan ke dalam produk dan layanan yang mematuhi FedRAMP Google, serta ke dalam semua kontrol SaaS saat menggunakan Google Workspace. Namun, Anda harus menerapkan semua kontrol dan konfigurasi keamanan lainnya di level IaaS, PaaS, dan SaaS, seperti yang ditetapkan oleh dasar pengukuran kontrol keamanan FedRAMP.
Rekomendasi penerapan FedRAMP
Seperti yang disebutkan, Anda mewarisi beberapa kontrol keamanan dari CSP. Untuk kontrol lainnya, Anda harus secara khusus mengonfigurasinya dan membuat kebijakan, aturan, dan peraturan yang ditentukan organisasi guna memenuhi setiap kontrol.
Bagian ini merekomendasikan bantuan untuk menerapkan kontrol keamanan NIST 800-53 di cloud menggunakan kebijakan yang ditentukan organisasi dengan praktik terbaik, layanan, dan alat Google Cloud.
Kontrol akses
Untuk mengelola kontrol akses di Google Cloud, tentukan admin organisasi yang akan mengelola akun sistem informasi di cloud. Tempatkan admin tersebut di grup kontrol akses menggunakan Cloud Identity, Konsol Admin, atau beberapa penyedia identitas lainnya (misalnya, atau LDAP), yang memastikan bahwa penyedia identitas pihak ketiga digabungkan dengan Google Cloud. Gunakan Identity and Access Management (IAM) untuk menetapkan peran dan izin ke grup administratif, yang menerapkan hak istimewa terendah dan pemisahan tugas.
Kembangkan kebijakan kontrol akses di seluruh organisasi untuk akun sistem informasi di cloud. Tentukan parameter dan prosedur yang digunakan organisasi Anda untuk membuat, mengaktifkan, mengubah, menonaktifkan, dan menghapus akun sistem informasi.
Pengelolaan akun, pemisahan tugas, dan hak istimewa terendah
Dalam kebijakan kontrol akses, tentukan parameter dan prosedur yang akan digunakan organisasi Anda untuk membuat, mengaktifkan, mengubah, menonaktifkan, dan menghapus akun sistem informasi. Tentukan kondisi yang harus digunakan oleh akun sistem informasi.
Selain itu, identifikasi periode waktu tidak aktif saat pengguna akan diminta untuk logout dari sistem (misalnya, setelah *x* menit, jam, atau hari). Gunakan Cloud Identity, Konsol Admin, atau konfigurasi aplikasi untuk memaksa pengguna logout atau melakukan autentikasi ulang setelah jangka waktu yang ditentukan.
Tentukan tindakan yang harus dilakukan saat penetapan peran dengan hak istimewa tidak lagi sesuai untuk pengguna di organisasi Anda. *Kecerdasan Kebijakan Google memiliki fitur Pemberi Rekomendasi IAM yang membantu Anda menghapus akses yang tidak diinginkan ke resource Google Cloud menggunakan machine learning untuk membuat rekomendasi kontrol akses yang cerdas.
Tentukan kondisi untuk grup yang sesuai untuk akun. Gunakan Cloud Identity atau Konsol Admin untuk membuat grup atau akun layanan. Tetapkan peran dan izin ke grup bersama dan akun layanan menggunakan IAM. Gunakan akun layanan jika memungkinkan. Tentukan penggunaan akun sistem informasi yang tidak biasa untuk organisasi Anda. Saat Anda mendeteksi penggunaan yang tidak biasa, gunakan alat seperti Google Cloud Observability atau *Security Command Center untuk memberi tahu admin sistem informasi.
Ikuti panduan ini untuk membantu penerapan kontrol keamanan ini: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).
Penerapan alur informasi dan akses jarak jauh
Dalam kebijakan kontrol akses tingkat organisasi, tentukan kebijakan kontrol alur informasi untuk organisasi Anda. Identifikasi port, protokol, dan layanan yang dilarang atau dibatasi. Tentukan persyaratan dan batasan interkoneksi ke sistem internal dan eksternal. Gunakan alat seperti Virtual Private Cloud untuk membuat firewall, jaringan yang diisolasi secara logis, dan subnetwork. Bantu kontrol alur informasi dengan menerapkan Cloud Load Balancing, *Cloud Service Mesh, dan Kontrol Layanan VPC.
Saat menetapkan kebijakan kontrol alur informasi, identifikasi titik akses jaringan terkontrol untuk organisasi Anda. Gunakan alat seperti Identity-Aware Proxy untuk memberikan akses berbasis konteks ke resource cloud bagi pengguna jarak jauh dan di lokasi. Gunakan Cloud VPN atau Cloud Interconnect untuk memberikan akses langsung yang aman ke VPC.
Tetapkan kebijakan seluruh organisasi untuk menjalankan perintah dengan hak istimewa dan mengakses data aman melalui akses jarak jauh. Gunakan IAM dan Kontrol Layanan VPC untuk membatasi akses ke data dan workload yang sensitif.
Ikuti panduan ini untuk membantu penerapan kontrol keamanan ini: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).
Upaya login, notifikasi penggunaan sistem, dan penghentian sesi
Dalam kebijakan kontrol akses, tentukan berapa lama pengguna harus tertunda mengakses perintah login saat ada 3 upaya login yang gagal dalam periode 15 menit. Tentukan kondisi dan pemicu saat sesi pengguna dihentikan atau diputus.
Gunakan Cloud Identity Premium Edition atau Konsol Admin untuk mengelola perangkat seluler yang terhubung ke jaringan Anda, termasuk BYOD. Buat kebijakan keamanan tingkat organisasi yang berlaku untuk perangkat seluler. Uraikan persyaratan dan prosedur untuk menghapus permanen dan menghapus total perangkat seluler setelah upaya login yang gagal berturut-turut.
Kembangkan bahasa tingkat organisasi dan notifikasi penggunaan sistem yang memberikan kebijakan privasi, persyaratan penggunaan, dan notifikasi keamanan kepada pengguna yang mengakses sistem informasi. Tentukan kondisi ketika notifikasi tingkat organisasi akan ditampilkan sebelum memberikan akses kepada pengguna. Pub/Sub adalah sistem penyerapan pesan dan peristiwa global yang dapat Anda gunakan untuk mengirim notifikasi ke aplikasi dan pengguna akhir. Anda juga dapat menggunakan *Chrome Enterprise Suite, termasuk *Browser Chrome dan *ChromeOS, dengan *Push API dan *Notifications API untuk mengirim notifikasi dan update kepada pengguna.
Ikuti panduan ini untuk membantu penerapan kontrol keamanan ini: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).
Tindakan yang diizinkan, perangkat seluler, berbagi informasi
Dalam kebijakan kontrol akses, tentukan tindakan pengguna yang dapat dilakukan pada sistem informasi tanpa identifikasi dan autentikasi. Gunakan IAM untuk mengatur akses pengguna untuk melihat, membuat, menghapus, dan mengubah resource tertentu.
Kembangkan kebijakan tingkat organisasi untuk berbagi informasi. Tentukan situasi terkait informasi yang boleh dibagikan dan kapan kebijaksanaan pengguna diperlukan untuk membagikan informasi. Menerapkan proses untuk membantu pengguna berbagi informasi dan berkolaborasi di seluruh organisasi. Google Workspace memiliki set fitur yang andal untuk kolaborasi dan interaksi terkontrol di seluruh tim.
Ikuti panduan ini untuk membantu penerapan kontrol keamanan ini AC-14, AC-19 (05), AC-21.
Kesadaran dan pelatihan
Buat kebijakan keamanan dan materi pelatihan terkait untuk didistribusikan kepada pengguna dan grup keamanan di seluruh organisasi Anda setidaknya setiap tahun. Google menawarkan opsi Layanan Profesional untuk mengedukasi pengguna tentang keamanan cloud, termasuk, tetapi tidak terbatas pada engagement Cloud Discover Security dan Penilaian Keamanan Google Workspace.
Perbarui kebijakan keamanan dan pelatihan setidaknya setiap tahun.
Ikuti panduan ini untuk membantu menerapkan kontrol keamanan AT-01.
Audit dan akuntabilitas
Buat kebijakan audit dan kontrol akuntabilitas tingkat organisasi yang menangani prosedur dan persyaratan implementasi untuk staf audit, peristiwa, dan tindakan yang terkait dengan sistem informasi cloud.
Dalam kebijakan audit tingkat organisasi, jelaskan peristiwa yang harus diaudit dalam sistem informasi organisasi Anda, dan frekuensi auditnya. Contoh peristiwa yang dicatat dalam log mencakup peristiwa login akun yang berhasil dan gagal, peristiwa pengelolaan akun, akses objek, perubahan kebijakan, fungsi hak istimewa, pelacakan proses, dan peristiwa sistem. Untuk aplikasi web, contohnya termasuk aktivitas admin, pemeriksaan autentikasi, pemeriksaan otorisasi, penghapusan data, akses data, perubahan data, dan perubahan izin. Tentukan peristiwa tambahan yang menarik untuk organisasi Anda.
Untuk kebijakan pengauditan, sebaiknya Anda juga menentukan indikasi adanya aktivitas yang tidak pantas atau tidak biasa bagi organisasi Anda. Pantau, catat, dan tandai aktivitas ini secara teratur (setidaknya setiap minggu).
Gunakan Google Cloud Observability untuk mengelola logging, pemantauan, dan pemberitahuan untuk lingkungan Google Cloud, lokal, atau cloud lainnya. Gunakan Google Cloud Observability untuk mengonfigurasi dan melacak peristiwa keamanan di organisasi Anda. Anda juga dapat menggunakan Cloud Monitoring untuk menetapkan metrik kustom guna memantau peristiwa yang ditentukan organisasi dalam catatan audit.
Aktifkan sistem informasi untuk memberi tahu admin tentang kegagalan pemrosesan audit. Anda dapat menerapkan pemberitahuan ini menggunakan alat seperti Pub/Sub dan alerting.
Tetapkan standar untuk memberi tahu admin dalam jangka waktu tertentu (misalnya, dalam 15 menit), jika terjadi kegagalan sistem atau fungsional, yang akan disertakan saat data audit mencapai batas atau kapasitas volume yang ditetapkan. Tentukan pengukuran perincian waktu tingkat organisasi, yang mengharuskan data audit diberi stempel waktu dan dicatat dalam log. Tentukan tingkat toleransi untuk rekaman berstempel waktu dalam jejak audit sistem informasi (misalnya, hampir real-time atau dalam 20 menit).
Tetapkan kuota resource VPC guna menetapkan batas kapasitas untuk penyimpanan data audit. Konfigurasi pemberitahuan anggaran untuk memberi tahu admin saat persentase batas resource telah tercapai atau terlampaui.
Tentukan persyaratan penyimpanan tingkat organisasi untuk data dan data audit, guna menyertakan persyaratan retensi dan ketersediaan log audit. Gunakan Cloud Storage untuk menyimpan dan mengarsipkan log audit, serta BigQuery untuk melakukan analisis log lebih lanjut.
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.
Penilaian dan otorisasi keamanan
Kembangkan penilaian keamanan dan kebijakan otorisasi tingkat organisasi yang menentukan prosedur dan persyaratan implementasi penilaian keamanan organisasi, kontrol keamanan, dan kontrol otorisasi.
Dalam kebijakan penilaian keamanan dan otorisasi, tentukan tingkat independensi yang diperlukan bagi tim penilaian keamanan untuk melakukan penilaian netral terhadap sistem informasi di cloud. Identifikasi sistem informasi yang perlu dinilai oleh penilai independen.
Penilaian keamanan harus setidaknya mencakup hal-hal berikut:
- Pemantauan mendalam
- Pemindaian kerentanan
- Pengujian pengguna berbahaya
- Penilaian ancaman orang dalam
- Pengujian performa dan beban
Organisasi Anda harus menentukan persyaratan dan bentuk penilaian keamanan tambahan.
Pastikan penilaian keamanan dan kebijakan otorisasi Anda menentukan klasifikasi dan persyaratan sistem keamanan, termasuk persyaratan untuk sistem keamanan tidak diklasifikasikan dan non-nasional.
Dalam kebijakan kontrol alur informasi untuk organisasi Anda, jelaskan persyaratan dan batasan untuk interkoneksi ke sistem internal dan eksternal. Tetapkan aturan firewall VPC untuk mengizinkan dan menolak traffic ke sistem informasi, serta gunakan Kontrol Layanan VPC untuk melindungi data sensitif menggunakan parameter keamanan.
Tetapkan kebijakan audit dan akuntabilitas tingkat organisasi yang menerapkan persyaratan pemantauan berkelanjutan (CA-07).
Ikuti panduan ini untuk membantu penerapan kontrol keamanan ini: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.
Pengelolaan konfigurasi
Buat kebijakan pengelolaan konfigurasi tingkat organisasi yang menentukan prosedur dan persyaratan implementasi untuk kontrol, peran, tanggung jawab, cakupan, dan kepatuhan pengelolaan konfigurasi tingkat organisasi.
Standarkan persyaratan setelan konfigurasi untuk sistem informasi dan komponen sistem milik organisasi. Berikan persyaratan dan prosedur operasi untuk mengonfigurasi sistem informasi. Sebutkan secara eksplisit jumlah konfigurasi dasar pengukuran versi sebelumnya yang perlu dipertahankan oleh admin sistem untuk mendapatkan dukungan rollback sistem informasi. Gunakan rangkaian alat pengelolaan konfigurasi Google untuk mengontrol konfigurasi sistem IT sebagai kode, dan memantau perubahan konfigurasi dengan menggunakan *Policy Intelligence atau *Security Command Center.
Tentukan persyaratan konfigurasi untuk setiap jenis sistem informasi di organisasi Anda (misalnya, cloud, lokal, hybrid, tidak terklasifikasi, informasi tidak terklasifikasi terkontrol (CUI), atau terklasifikasi). Tentukan juga persyaratan perlindungan keamanan untuk perangkat milik organisasi dan Bawa Perangkat Sendiri (BYOD) untuk menyertakan identifikasi lokasi geografis yang aman dan tidak aman. Gunakan Identity-Aware Proxy untuk menerapkan kontrol akses berbasis konteks ke data milik organisasi, termasuk kontrol akses berdasarkan lokasi geografis. Gunakan Cloud Identity Premium edition atau Konsol Admin untuk menerapkan konfigurasi keamanan di perangkat seluler yang terhubung ke jaringan perusahaan.
Dalam kebijakan pengelolaan konfigurasi, tentukan elemen kontrol perubahan konfigurasi tingkat organisasi, seperti komite atau dewan kontrol perubahan. Dokumentasikan seberapa sering komite bertemu dan dalam kondisi apa. Membentuk badan formal untuk meninjau dan menyetujui perubahan konfigurasi.
Identifikasi otoritas persetujuan manajemen konfigurasi untuk organisasi Anda. Admin ini meninjau permintaan perubahan pada sistem informasi. Tentukan jangka waktu yang diperlukan otoritas untuk menyetujui atau menolak permintaan perubahan. Berikan panduan bagi pelaksana perubahan untuk memberi tahu otoritas persetujuan saat perubahan sistem informasi telah selesai.
Tetapkan batasan penggunaan software open source di seluruh organisasi Anda, untuk menyertakan spesifikasi software yang disetujui dan tidak disetujui untuk digunakan. Gunakan Cloud Identity atau Konsol Admin untuk menerapkan aplikasi dan software yang disetujui untuk organisasi Anda. Dengan Cloud Identity Premium, Anda dapat mengaktifkan Single Sign-On dan autentikasi multi-faktor untuk aplikasi pihak ketiga.
Gunakan alat seperti pemberitahuan untuk mengirim notifikasi ke admin keamanan saat perubahan konfigurasi dicatat ke dalam log. Berikan akses admin ke alat seperti *Security Command Center untuk memantau perubahan konfigurasi mendekati real-time. Dengan menggunakan *Policy Intelligence, Anda dapat menggunakan machine learning untuk mempelajari konfigurasi yang ditentukan oleh organisasi, sehingga meningkatkan awareness tentang kapan konfigurasi berubah dari dasar pengukuran.
Terapkan fungsi terendah di seluruh organisasi Anda menggunakan kebijakan kontrol alur informasi.
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.
Perencanaan tanggap darurat
Kembangkan rencana darurat untuk organisasi Anda yang menentukan prosedur dan persyaratan implementasi untuk kontrol perencanaan darurat di seluruh organisasi Anda. Mengidentifikasi personel kontingensi, peran, dan tanggung jawab utama di seluruh elemen organisasi.
Soroti operasi sistem informasi yang penting bagi misi dan bisnis dalam organisasi Anda. Menguraikan tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) untuk melanjutkan operasi penting saat rencana darurat telah diaktifkan.
Mendokumentasikan sistem informasi penting dan software terkait. Identifikasi informasi tambahan terkait keamanan, dan berikan panduan serta persyaratan untuk menyimpan salinan cadangan komponen dan data sistem penting. Deploy resource global, regional, dan zona Google serta lokasi seluruh dunia untuk ketersediaan tinggi. Gunakan class Cloud Storage untuk opsi multi-regional, regional, cadangan, dan arsip. Terapkan penskalaan otomatis jaringan global dan load balancing dengan Cloud Load Balancing.
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).
Identifikasi dan autentikasi
Buat kebijakan identifikasi dan autentikasi untuk organisasi Anda yang menentukan prosedur identifikasi dan autentikasi, cakupan, peran, tanggung jawab, pengelolaan, entity, dan kepatuhan. Tentukan kontrol identifikasi dan autentikasi yang diperlukan organisasi Anda. Gunakan Cloud Identity Premium atau Konsol Admin untuk mengidentifikasi perangkat perusahaan dan pribadi yang dapat terhubung ke resource organisasi Anda. Gunakan Identity-Aware Proxy untuk menerapkan akses kontekstual ke resource.
Sertakan panduan seputar konten pengautentikasi untuk organisasi Anda, kondisi penggunaan ulang autentikasi, standar untuk melindungi pengautentikasi, dan standar untuk mengubah atau memuat ulang pengautentikasi. Selain itu, catat persyaratan untuk menggunakan pengautentikasi yang di-cache. Tentukan batas waktu untuk menggunakan pengautentikasi yang di-cache dan membuat definisi untuk menentukan waktu habis masa berlaku pengautentikasi yang di-cache. Tentukan persyaratan masa aktif minimum dan maksimum serta periode waktu pembaruan yang harus diterapkan oleh sistem informasi di organisasi Anda.
Gunakan Cloud Identity atau Konsol Admin untuk menerapkan kebijakan sandi guna mengetahui sensitivitas, penggunaan karakter, pembuatan atau penggunaan ulang sandi baru, masa pakai sandi, penyimpanan, dan persyaratan transmisi.
Menguraikan persyaratan autentikasi token hardware dan software untuk autentikasi di seluruh organisasi Anda, termasuk tetapi tidak terbatas pada persyaratan kartu PIV dan IKP. Anda dapat menggunakan *Kunci Keamanan Titan untuk menerapkan persyaratan autentikasi tambahan bagi admin dan personel dengan hak istimewa.
Dalam kebijakan identifikasi dan autentikasi, uraikan komponen sistem informasi Federal Identity, Credential, dan Access Management (FICAM) yang diizinkan untuk menerima pihak ketiga di organisasi Anda. Identity Platform dari Google adalah platform pengelolaan akses dan identitas (CIAM) pelanggan yang membantu organisasi menambahkan fungsi pengelolaan akses dan identitas ke aplikasi yang diakses oleh entitas eksternal.
Ikuti panduan berikut untuk membantu menerapkan kontrol keamanan ini: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).
Respons insiden
Tetapkan kebijakan respons insiden untuk organisasi Anda, termasuk prosedur untuk memfasilitasi dan menerapkan kontrol respons insiden. Buat grup keamanan untuk tim dan otoritas respons insiden organisasi Anda. Gunakan alat seperti Google Cloud Observability atau *Security Command Center untuk membagikan peristiwa, log, dan detail insiden.
Kembangkan rencana pengujian respons insiden, prosedur dan checklist, serta persyaratan dan tolok ukur untuk meraih kesuksesan. Tentukan class insiden yang harus dikenali organisasi Anda, dan uraikan tindakan terkait yang perlu dilakukan sebagai respons terhadap insiden tersebut. Tentukan tindakan yang Anda harapkan akan dilakukan oleh personel yang berwenang jika terjadi insiden. Tindakan ini dapat menjadi langkah untuk mengelola tumpahan informasi, kerentanan pengamanan cyber, dan serangan. Manfaatkan kemampuan di Google Workspace untuk memindai dan mengarantina konten email, memblokir upaya phishing, dan menetapkan batasan pada lampiran. Gunakan Perlindungan Data Sensitif untuk memeriksa, mengklasifikasikan, dan melakukan de-identifikasi data sensitif guna membantu membatasi eksposur.
Tentukan persyaratan tingkat organisasi untuk pelatihan respons insiden, termasuk persyaratan pelatihan untuk pengguna umum serta peran dan tanggung jawab dengan hak istimewa. Terapkan persyaratan jangka waktu untuk mengikuti pelatihan (misalnya, dalam 30 hari setelah bergabung, setiap tiga bulan, atau setiap tahun).
Ikuti panduan ini untuk membantu menerapkan kontrol keamanan ini: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).
Pemeliharaan sistem
Buat kebijakan pemeliharaan sistem untuk organisasi Anda, mendokumentasikan kontrol pemeliharaan sistem, peran, tanggung jawab, pengelolaan, persyaratan koordinasi, dan kepatuhan. Tentukan parameter untuk pemeliharaan terkontrol, termasuk proses persetujuan untuk melakukan pemeliharaan dan perbaikan di luar lokasi, serta waktu penyelesaian tingkat organisasi untuk mengganti perangkat dan bagian yang rusak. Organisasi Anda akan mendapatkan manfaat dari sanitasi peralatan dan data Penghapusan data di Google Cloud, serta keamanan dan inovasi pusat data Google untuk pemeliharaan dan perbaikan di luar lokasi.
Ikuti panduan ini untuk membantu menerapkan kontrol keamanan ini: MA-01, MA-02, MA-06.
Perlindungan media
Sebagai bagian dari ATO FedRAMP Google Cloud, kami memenuhi persyaratan perlindungan media untuk infrastruktur fisik. Tinjau Desain Keamanan Infrastruktur dan Ringkasan Keamanan Google. Selanjutnya, Anda bertanggung jawab untuk memenuhi persyaratan keamanan infrastruktur virtual.
Kembangkan kebijakan perlindungan media untuk organisasi Anda, dengan mendokumentasikan kontrol media, kebijakan dan prosedur perlindungan, persyaratan kepatuhan, serta peran dan tanggung jawab pengelolaan. Dokumentasikan prosedur untuk memfasilitasi dan menerapkan perlindungan media di seluruh organisasi Anda. Buat grup keamanan yang mengidentifikasi personel dan peran untuk mengelola media dan perlindungannya.
Tentukan jenis dan akses media yang disetujui untuk organisasi Anda, termasuk pembatasan media digital dan nondigital. Tetapkan penanda media dan pengecualian penanganan media yang harus diterapkan di seluruh organisasi Anda, termasuk persyaratan penanda keamanan di dalam dan di luar area akses yang dikontrol. Gunakan *Data Catalog untuk mengelola metadata resource cloud, sehingga menyederhanakan penemuan data. Kontrol kepatuhan resource cloud di seluruh organisasi Anda, yang mengatur distribusi dan penemuan resource cloud dengan *Katalog Layanan.
Identifikasi cara membersihkan, membuang, atau menggunakan kembali media yang dikelola organisasi Anda. Uraikan kasus penggunaan dan keadaan saat sanitasi, pembuangan, atau penggunaan kembali media dan perangkat diwajibkan atau dapat diterima. Tentukan metode dan mekanisme pengamanan media yang dianggap dapat diterima oleh organisasi Anda.
Dengan Google, Anda akan mendapatkan keuntungan dari penghapusan data pada data Google Cloud dan sanitasi peralatan, serta keamanan dan inovasi pusat data Google. Selain itu, Cloud KMS dan Cloud HSM memberikan perlindungan kriptografi yang sesuai dengan FIPS, dan Anda dapat menggunakan *Kunci Keamanan Titan untuk menerapkan persyaratan autentikasi fisik tambahan bagi admin dan personel dengan hak istimewa.
Ikuti panduan berikut untuk membantu menerapkan kontrol keamanan ini: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.
Perlindungan fisik dan lingkungan
Sebagai bagian dari ATO FedRAMP Google Cloud, kami memenuhi persyaratan perlindungan fisik dan lingkungan untuk infrastruktur fisik. Tinjau Desain Keamanan Infrastruktur dan Ringkasan Keamanan Google. Selanjutnya, Anda bertanggung jawab untuk memenuhi persyaratan keamanan infrastruktur virtual.
Tetapkan kebijakan perlindungan fisik dan lingkungan untuk organisasi Anda, yang menguraikan kontrol perlindungan, entitas perlindungan, standar kepatuhan, peran, tanggung jawab, dan persyaratan pengelolaan. Uraikan cara menerapkan perlindungan fisik dan lingkungan di seluruh organisasi Anda.
Buat grup keamanan yang mengidentifikasi personel dan peran untuk mengelola perlindungan fisik dan lingkungan. Wajibkan admin yang mengakses resource komputasi sensitif untuk menggunakan *Kunci Keamanan Titan atau bentuk MFA lainnya untuk memverifikasi integritas akses.
Dalam kebijakan perlindungan fisik dan lingkungan, tentukan persyaratan kontrol akses fisik untuk organisasi Anda. Identifikasi titik masuk dan keluar fasilitas untuk situs sistem informasi, pengamanan kontrol akses untuk fasilitas tersebut, dan persyaratan inventaris. Manfaatkan alat seperti *Google Maps Platform untuk menampilkan dan melacak fasilitas serta titik masuk dan keluar secara visual untuk pemetaan lokasi. Gunakan Resource Manager dan *Katalog Layanan untuk mengontrol akses ke resource cloud, sehingga terorganisir dan dapat ditemukan.
Gunakan Cloud Monitoring untuk mengonfigurasi peristiwa, akses, dan insiden yang dapat dicatat ke dalam log. Tentukan peristiwa akses fisik tingkat organisasi yang harus dicatat ke dalam log di Cloud Logging.
Gunakan kebijakan perlindungan fisik dan lingkungan untuk memperhitungkan situasi darurat, seperti penonaktifan sistem informasi, daya darurat, pencegah kebakaran, dan tanggap darurat. Identifikasi kontak (POC) untuk tanggap darurat, termasuk petugas tanggap darurat setempat dan personel keamanan fisik untuk organisasi Anda. Uraikan persyaratan dan lokasi untuk lokasi kerja alternatif. Tentukan kontrol dan personel keamanan untuk lokasi kerja utama dan alternatif. Deploy resource global, regional, dan zona Google serta lokasi seluruh dunia untuk ketersediaan tinggi. Gunakan class Cloud Storage untuk opsi multi-regional, regional, cadangan, dan arsip. Terapkan penskalaan otomatis dan load balancing jaringan global dengan Cloud Load Balancing. Buat template deployment deklaratif untuk membangun proses deployment berbasis template yang dapat diulang.
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE- 13 (02), PE-17.
Perencanaan keamanan sistem
Kembangkan kebijakan perencanaan keamanan untuk organisasi Anda, yang menguraikan kontrol perencanaan keamanan, peran, tanggung jawab, manajemen, entitas perencanaan keamanan untuk organisasi Anda, dan persyaratan kepatuhan. Uraikan bagaimana perencanaan keamanan yang Anda harapkan akan diterapkan di seluruh organisasi.
Buat grup untuk menentukan personel perencanaan keamanan yang sesuai. Tentukan grup keamanan untuk penilaian keamanan, audit, pemeliharaan hardware dan software, pengelolaan patch, dan perencanaan darurat untuk organisasi Anda. Gunakan alat seperti Google Cloud Observability atau *Security Command Center untuk memantau keamanan, kepatuhan, dan kontrol akses di seluruh organisasi Anda.
Ikuti panduan ini untuk membantu menerapkan kontrol keamanan ini: PL-01, PL-02, PL-02 (03).
Keamanan staf
Buat kebijakan keamanan personel yang mengidentifikasi personel keamanan, peran dan tanggung jawab mereka, penerapan keamanan personel, dan kontrol keamanan personel yang harus diterapkan di seluruh organisasi Anda. Catat kondisi yang mengharuskan individu untuk melakukan penyaringan keamanan, penyaringan ulang, dan investigasi keamanan. Uraikan persyaratan untuk izin keamanan di organisasi Anda.
Menyertakan panduan untuk menangani penghentian dan transfer personel. Tentukan kebutuhan dan parameter untuk wawancara keluar serta topik keamanan yang harus dibahas selama wawancara tersebut. Tentukan kapan Anda memperkirakan bahwa keamanan dan entitas admin di organisasi Anda akan diberi tahu tentang penghentian, transfer, atau penugasan ulang personel (misalnya, dalam waktu 24 jam). Tentukan tindakan yang Anda harapkan akan diselesaikan oleh personel dan organisasi terkait transfer, penugasan ulang, atau penghentian. Juga, bahas persyaratan untuk memberlakukan sanksi karyawan formal. Jelaskan kapan Anda mengharapkan personel keamanan dan admin diberi tahu tentang sanksi karyawan, dan jelaskan proses sanksi.
Gunakan IAM untuk menetapkan peran dan izin kepada personel. Tambah, hapus, nonaktifkan, dan aktifkan profil dan akses personel di Cloud Identity atau Konsol Admin. Terapkan persyaratan autentikasi fisik tambahan untuk admin dan personel dengan hak istimewa menggunakan *Kunci Keamanan Titan.
Ikuti panduan berikut untuk membantu menerapkan kontrol keamanan ini: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.
Penilaian risiko
Terapkan kebijakan penilaian risiko yang mengidentifikasi personel penilaian risiko, kontrol penilaian risiko yang diharapkan untuk diterapkan di seluruh organisasi Anda, dan prosedur untuk melakukan penilaian risiko di organisasi Anda. Tentukan bagaimana penilaian risiko akan didokumentasikan dan dilaporkan. Gunakan alat seperti *Security Command Center untuk secara otomatis memberi tahu personel keamanan mengenai risiko keamanan dan kondisi keamanan organisasi Anda secara keseluruhan.
Manfaatkan serangkaian alat penilaian risiko Google seperti Web Security Scanner, Artifact Analysis, Google Cloud Armor, serta Perlindungan Google Workspace terhadap phishing dan malware untuk memindai dan melaporkan kerentanan di seluruh sistem informasi organisasi Anda. Sediakan alat ini untuk admin dan personel penilaian risiko guna membantu mengidentifikasi dan menghilangkan kerentanan.
Mengikuti panduan ini akan menetapkan dasar untuk menerapkan kontrol keamanan berikut: RA-01, RA-03, RA-05.
Akuisisi sistem dan layanan
Kembangkan kebijakan akuisisi sistem dan layanan yang menguraikan peran dan tanggung jawab personel utama, pengelolaan akuisisi dan layanan, kepatuhan, serta entitas. Uraikan prosedur akuisisi sistem dan layanan, serta pedoman implementasi untuk organisasi Anda. Tentukan siklus hidup pengembangan sistem organisasi Anda untuk sistem informasi dan keamanan informasi. Uraikan peran dan tanggung jawab keamanan informasi, personel, dan bagaimana Anda mengharapkan kebijakan penilaian risiko organisasi Anda untuk mendorong dan memengaruhi aktivitas siklus hidup pengembangan sistem.
Tandai prosedur yang diharapkan untuk dijalankan dalam organisasi Anda saat dokumentasi sistem informasi tidak tersedia atau tidak ditentukan. Libatkan admin sistem informasi organisasi Anda dan personel layanan sistem sesuai kebutuhan. Tentukan pelatihan yang diperlukan untuk admin dan pengguna yang menerapkan atau mengakses sistem informasi di organisasi Anda.
Gunakan alat seperti *Security Command Center untuk melacak kebijakan kepatuhan keamanan, temuan, dan kontrol keamanan untuk organisasi Anda. Google menguraikan semua standar, peraturan, dan sertifikasi keamanannya untuk membantu mengedukasi pelanggan tentang cara memenuhi persyaratan kepatuhan dan hukum di Google Cloud. Selain itu, Google menawarkan serangkaian produk keamanan untuk membantu pelanggan terus memantau sistem informasi, komunikasi, dan data mereka di cloud dan infrastruktur lokal.
Tentukan batasan lokasi untuk data, layanan, dan pemrosesan informasi organisasi Anda, serta dalam kondisi apa data dapat disimpan di tempat lain. Google menawarkan opsi global, regional, dan zona untuk penggunaan layanan, pemrosesan, dan penyimpanan data di Google Cloud.
Manfaatkan kebijakan pengelolaan konfigurasi guna mengatur manajemen konfigurasi developer untuk kontrol akuisisi sistem dan layanan, serta gunakan penilaian keamanan dan kebijakan otorisasi untuk menerapkan persyaratan pengujian dan evaluasi keamanan developer.
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.
Perlindungan sistem dan komunikasi
Buat kebijakan perlindungan sistem dan komunikasi yang menguraikan peran dan tanggung jawab personel utama, persyaratan penerapan kebijakan perlindungan komunikasi sistem, dan kontrol perlindungan yang diperlukan untuk organisasi Anda. Identifikasi jenis serangan denial of service yang dikenali dan dipantau organisasi Anda, serta uraikan persyaratan perlindungan DoS untuk organisasi Anda.
Gunakan Google Cloud Observability untuk mencatat, memantau, dan membuat pemberitahuan tentang serangan keamanan yang telah ditetapkan terhadap organisasi Anda. Terapkan alat seperti Cloud Load Balancing dan Google Cloud Armor untuk mengamankan perimeter cloud Anda, dan manfaatkan layanan VPC seperti firewall dan kontrol keamanan jaringan untuk melindungi jaringan cloud internal Anda.
Identifikasi persyaratan ketersediaan sumber daya organisasi Anda; tentukan bagaimana Anda mengharapkan resource cloud dialokasikan di seluruh organisasi Anda dan batasan yang harus diterapkan untuk membatasi pemanfaatan yang berlebihan. Gunakan alat seperti Resource Manager untuk mengontrol akses ke resource di tingkat organisasi, folder, project, dan resource individual. Tetapkan kuota resource untuk mengelola permintaan API dan pemanfaatan resource di Google Cloud.
Tetapkan persyaratan perlindungan batas untuk sistem informasi dan komunikasi sistem Anda. Tentukan persyaratan untuk traffic komunikasi internal dan bagaimana traffic internal akan berinteraksi dengan jaringan eksternal. Tentukan persyaratan untuk server proxy serta komponen pemilihan rute dan autentikasi jaringan lainnya.
Manfaatkan *Cloud Service Mesh untuk mengelola traffic jaringan dan alur komunikasi untuk organisasi Anda. Gunakan Identity-Aware Proxy untuk mengontrol akses ke resource cloud berdasarkan autentikasi, otorisasi, dan konteks—termasuk lokasi geografis atau sidik jari perangkat. Implementasikan *Akses Google Pribadi, *Cloud VPN, atau *Cloud Interconnect untuk mengamankan traffic jaringan dan komunikasi antara resource internal dan eksternal. Gunakan VPC untuk menentukan dan mengamankan jaringan cloud organisasi Anda; buat subnetwork untuk mengisolasi resource cloud dan perimeter jaringan lebih lanjut.
Google menawarkan jaringan global yang ditetapkan untuk software dengan opsi multiregional, regional, dan zona untuk ketersediaan tinggi dan failover. Tentukan persyaratan kegagalan untuk organisasi Anda guna memastikan bahwa sistem informasi Anda gagal dalam status yang diketahui. Rekam persyaratan untuk mempertahankan informasi status sistem informasi. Gunakan grup instance terkelola dan template Deployment Manager untuk membuat ulang instance resource yang gagal atau tidak responsif. Berikan admin akses ke *Security Command Center untuk secara aktif memantau kerahasiaan, integritas, dan postur ketersediaan organisasi Anda.
Dalam kebijakan tersebut, uraikan persyaratan organisasi Anda untuk mengelola kunci kriptografis, termasuk persyaratan pembuatan, distribusi, penyimpanan, akses, dan penghancuran kunci. Gunakan Cloud KMS dan Cloud HSM untuk mengelola, menghasilkan, menggunakan, merotasi, menyimpan, dan menghancurkan kunci keamanan yang sesuai dengan FIPS di cloud.
Google mengenkripsi data dalam penyimpanan secara default; tetapi, Anda dapat menggunakan Cloud KMS dengan Compute Engine dan Cloud Storage untuk mengenkripsi data lebih lanjut menggunakan kunci kriptografis. Anda juga dapat men-deploy Shielded VM untuk menerapkan kontrol integritas tingkat kernel di Compute Engine
Ikuti panduan berikut untuk membantu penerapan kontrol keamanan ini: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).
Integritas sistem dan informasi
Terapkan kebijakan integritas informasi dan sistem yang menguraikan peran dan tanggung jawab personel utama, prosedur dan persyaratan implementasi integritas, standar kepatuhan, serta kontrol keamanan untuk organisasi Anda. Buat grup keamanan untuk personel di organisasi Anda yang bertanggung jawab atas integritas sistem dan informasi. Uraikan persyaratan perbaikan kekurangan untuk organisasi Anda, untuk mencakup pedoman untuk memantau, menilai, mengizinkan, menerapkan, merencanakan, menjalankan tolok ukur, dan memperbaiki kekurangan keamanan di seluruh organisasi dan sistem informasinya.
Manfaatkan rangkaian alat keamanan Google, termasuk tetapi tidak terbatas pada hal berikut:
- Browser Chrome
- Web Security Scanner
- Artifact Analysis
- Perlindungan Google Workspace terhadap phishing dan malware
- Pusat keamanan Google Workspace
- Google Cloud Armor
Gunakan alat ini untuk melakukan hal berikut:
- Melindungi dari kode berbahaya, serangan cyber, dan kerentanan umum.
- Mengarantina spam serta menetapkan kebijakan spam dan malware.
- Memberi tahu admin tentang kerentanan.
- Mendapatkan insight di seluruh organisasi Anda untuk pengelolaan terpusat.
Gunakan alat seperti Google Cloud Observability atau *Security Command Center untuk mengelola, membuat pemberitahuan, dan memantau kontrol serta temuan keamanan organisasi Anda secara terpusat. Lebih khusus lagi, gunakan Google Cloud Observability untuk mencatat tindakan administratif, akses data, dan peristiwa sistem yang dimulai oleh pengguna dan staf dengan hak istimewa di seluruh organisasi Anda. Beri tahu admin tentang pesan error dan penanganan error sistem informasi.
Tentukan peristiwa yang relevan dengan keamanan terkait dengan software, firmware, dan informasi organisasi Anda (misalnya, kerentanan zero-day, penghapusan data tanpa izin, penginstalan hardware, software, atau firmware baru). Jelaskan langkah-langkah yang harus diambil saat jenis perubahan yang relevan dengan keamanan ini terjadi. Tentukan tujuan pemantauan dan indikator serangan yang perlu diperhatikan khusus oleh admin, dengan menyertakan informasi penting yang harus dipantau dalam sistem informasi di seluruh organisasi Anda. Tentukan peran dan tanggung jawab pemantauan sistem dan informasi, serta frekuensi pemantauan dan pelaporan (misalnya, real-time, setiap 15 menit, setiap jam, atau tiga bulanan).
Catat persyaratan untuk menganalisis lalu lintas komunikasi untuk sistem informasi di seluruh organisasi Anda. Tentukan persyaratan untuk menemukan anomali, termasuk titik sistem untuk pemantauan. *Dengan layanan Network Intelligence Center Google, Anda dapat melakukan pemantauan performa dan keamanan jaringan secara mendalam. Google juga memiliki partner pihak ketiga yang kuat, yang terintegrasi dengan Google Cloud untuk memindai dan melindungi endpoint dan host cloud, seperti +Aqua Security dan +Crowdstrike. Shielded VM memungkinkan Anda melakukan hardening pada perangkat, memverifikasi autentikasi, dan memastikan proses booting aman.
Tentukan cara organisasi Anda melakukan pemeriksaan dan mengamankan dari anomali keamanan dan pelanggaran integritas. Gunakan alat seperti *Security Command Center atau *Policy Intelligence untuk memantau dan mendeteksi perubahan konfigurasi. Gunakan +alat manajemen konfigurasi atau template Deployment Manager untuk membuat ulang atau menghentikan perubahan pada resource cloud.
Dalam kebijakan integritas dan informasi sistem, tentukan persyaratan untuk mengizinkan dan menyetujui layanan jaringan di organisasi Anda. Uraikan proses persetujuan dan otorisasi untuk layanan jaringan. VPC sangat penting untuk menentukan jaringan dan subnetwork cloud menggunakan firewall untuk melindungi perimeter jaringan. Kontrol Layanan VPC memungkinkan penerapan perimeter keamanan jaringan tambahan untuk data sensitif di cloud.
Selain itu, Anda secara otomatis mewarisi stack booting aman dan infrastruktur defense-in-depth tepercaya dari Google.
Ikuti panduan berikut untuk membantu menerapkan kontrol keamanan ini: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.
Kesimpulan
Keamanan dan kepatuhan dalam cloud adalah upaya bersama atas nama Anda dan CSP Anda. Meskipun Google memastikan bahwa infrastruktur fisik dan layanan terkait mendukung kepatuhan terhadap puluhan standar, peraturan, dan sertifikasi pihak ketiga, Anda diharuskan untuk memastikan bahwa apa pun yang Anda buat di cloud mematuhi kebijakan.
Google Cloud mendukung upaya kepatuhan Anda dengan menyediakan serangkaian produk dan kemampuan keamanan yang sama seperti yang digunakan Google untuk melindungi infrastrukturnya.
Langkah selanjutnya
- Pelajari arsitektur referensi, diagram, dan praktik terbaik tentang Google Cloud. Lihat Cloud Architecture Center kami.