Guida all'implementazione di FedRAMP di Google Cloud

Last reviewed 2024-02-27 UTC

Questa guida è rivolta a responsabili della sicurezza, responsabili della conformità, amministratori IT, e altri dipendenti responsabili di Federal Risk and Authorization l'implementazione del programma FedRAMP (Management Program) e conformità su Google Cloud. Questa guida ti aiuta a capire in che modo Google è in grado di supportare la conformità FedRAMP e quali strumenti, prodotti e servizi Google Cloud configurare per aiutarti a soddisfare le tue responsabilità ai sensi di FedRAMP.

Panoramica

Google Cloud supporta la conformità a FedRAMP e fornisce dettagli specifici sull'approccio alla sicurezza e alla protezione dei dati nel white paper sulla sicurezza di Google e nella Panoramica della progettazione della sicurezza dell'infrastruttura di Google. Sebbene Google fornisca un'infrastruttura cloud sicura e conforme, responsabile ultimo della valutazione della conformità al FedRAMP. Inoltre, hai la responsabilità di garantire che l'ambiente e le applicazioni che crei su Google Cloud siano configurati e protetti correttamente in base ai requisiti di FedRAMP.

Questo documento descrive Autorità FedRAMP (ATO) fasi a un livello generale, spiega la responsabilità condivisa di Google Cloud del cliente, evidenzia le responsabilità specifiche del cliente e suggerisce come soddisfarle a questi requisiti e linee guida su Google Cloud.

FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è un programma a livello governativo che standardizza il modo in cui il Federal Information Security Modernization Act (FISMA) si applica al cloud computing. Stabilisce un approccio ripetibile per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i servizi cloud.

Utilizzando gli standard e le linee guida di FedRAMP, puoi proteggere i dati sensibili, essenziali e critici per le operazioni nel cloud, rendendo possibile il rilevamento rapido di vulnerabilità della cybersicurezza.

A livello generale, FedRAMP ha i seguenti obiettivi:

  • Assicurati che i servizi e i sistemi cloud utilizzati dagli enti statali abbiano misure di salvaguardia appropriate.
  • Deduplicare le attività e ridurre i costi di gestione del rischio.
  • Consentire agli enti statali di acquisire in modo rapido e conveniente servizi e sistemi informativi.

In conformità al FedRAMP, gli enti statali federali devono:

  • Assicurati che tutti i sistemi cloud che elaborano, trasmettono e archiviano dati governativi utilizzino il riferimento dei controlli di sicurezza FedRAMP.
  • Utilizza il piano di valutazione della sicurezza per concedere le autorizzazioni di sicurezza ai sensi della FISMA.
  • Applica i requisiti FedRAMP tramite contratti con i servizi cloud provider (CSP).

Autorizzazione a operare (ATO)

Implementazione ed esecuzione corretta del processo di accreditamento FedRAMP culmina con un'autorità per operare (ATO) nel cloud. Esistono due percorsi per FedRAMP ATO: P-ATO e Agency ATO.

L'autorizzazione provvisoria a operare (P-ATO) viene rilasciata dal JAB (Joint Authorization Board) di FedRAMP. Il JAB è composto dai CIO del Dipartimento di Homeland Security (DHS), General Services Administration (GSA) e Dipartimento della Difesa (DoD). Il consiglio definisce la sicurezza FedRAMP di riferimento controlli e stabilire i criteri di accreditamento FedRAMP per di valutazione delle organizzazioni (3PAO). Le organizzazioni e gli enti chiedono che il loro pacchetto di sicurezza dei sistemi informativi venga elaborato dal JAB, il quale successivamente rilascia una P-ATO per l'utilizzo dei servizi cloud.

Con l'Agency ATO, l'organizzazione o l'ente interno nomina dei funzionari abilitati all'autorizzazione (AO), che conducono un'analisi dei possibili rischi del pacchetto di sicurezza dei sistemi informativi. L'AO può coinvolgere dei 3PAO o dei revisori esterni non accreditati (IA) per esaminare il pacchetto di sicurezza dei sistemi informativi. L'AO e poi l'agenzia o organizzazione, autorizza quindi l'utilizzo dei servizi cloud da parte del sistema informatico. Il pacchetto di sicurezza viene inoltre inviato al Program Management Office (PMO) FedRAMP per la revisione; GSA è il PMO di FedRAMP. Dopo la revisione, il PMO pubblica il pacchetto di sicurezza in modo che possa essere utilizzato da altri enti e organizzazioni.

Piano di valutazione della sicurezza

I funzionari abilitati all'autorizzazione (AO) presso enti e organizzazioni devono incorporare il piano di valutazione della sicurezza (SAP) di FedRAMP nei processi di autorizzazione interna per garantire che soddisfino i requisiti FedRAMP per l'utilizzo dei servizi cloud. La SAF viene implementata in quattro fasi:

Le quattro fasi del piano di valutazione della sicurezza.

Tu o il tuo AO categorizzare il tuo sistema informatico come Basso, Moderato, o Alto di impatto secondo PUB FIPS 199 gli obiettivi di sicurezza in termini di riservatezza, integrità e disponibilità.

In base alla classificazione FIPS del sistema, seleziona il riferimento dei controlli di sicurezza FedRAMP correlato al livello di classificazione basso, moderato o alto del FIPS 199. Devi poi implementare i controlli di sicurezza acquisiti nel rispettivo riferimento dei controlli. Implementazioni alternative e giustificazione sul perché non è possibile soddisfare o implementare un controllo.

Acquisisci i dettagli dell'implementazione dei controlli di sicurezza in un sistema Security Plan (SSP). Ti consigliamo di selezionare il modello SSP in base al livello di conformità FedRAMP: Basso, Moderato o Alto.

L'SSP esegue le seguenti operazioni:

  • Descrive il confine di autorizzazione di sicurezza.
  • Spiega in che modo l'implementazione del sistema affronta ogni controllo di sicurezza FedRAMP.
  • Delinea i ruoli e le responsabilità del sistema.
  • Definisce il comportamento previsto degli utenti di sistema.
  • Mostra come è progettato il sistema e quali sono gli elementi di supporto l'infrastruttura.

Utilizza il modello di revisione dell'autorizzazione FedRAMP per monitorare i tuoi progressi ATO.

Per ulteriori dettagli sulle fasi di implementazione, consulta Procedura di autorizzazione di un'agenzia di FedRAMP.

Modello di responsabilità cloud

Con l'IT tradizionale, le organizzazioni e gli enti dovevano acquistare data center fisici o spazi di colocation, server fisici, apparecchiature di networking, software, licenze e altri dispositivi per la creazione di sistemi e servizi. Con il cloud computing, un CSP investe in hardware fisico, dati e networking globale, fornendo al contempo attrezzature virtuali, strumenti e i servizi che i clienti possono usare.

Esistono tre modelli di cloud computing: IaaS (Infrastructure as a Service), piattaforma as a Service (PaaS) e Software as a Service (SaaS):

  • Nel modello IaaS, i CSP forniscono essenzialmente un data center virtuale nel cloud e offrono un'infrastruttura di computing virtualizzata, come server, reti e spazio di archiviazione. Sebbene i CSP gestiscano l'apparecchiatura fisica e i data center per queste risorse, sei responsabile della configurazione e della protezione delle risorse della piattaforma o delle applicazioni eseguite sull'infrastruttura virtualizzata.

  • Nel modello PaaS, i CSP non solo forniscono e gestiscono l'infrastruttura e virtualizzazione, forniscono inoltre ai clienti un'infrastruttura una piattaforma preconfigurata per la creazione di software, applicazioni e web i servizi di machine learning. PaaS consente agli sviluppatori di creare facilmente applicazioni e middleware senza preoccuparsi della sicurezza e della configurazione dell'hardware soggiacente.

  • Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma, offrendo al contempo applicazioni basate su cloud che i clienti possono utilizzare. Le applicazioni internet eseguite direttamente dal browser web o tramite la visita a un sito web sono applicazioni SaaS. Con questo modello, le organizzazioni e gli enti non devono preoccuparsi di installare, aggiornare o supportare le applicazioni: il loro compito è semplicemente gestire i criteri di accesso al sistema e ai dati.

La figura seguente evidenzia le responsabilità di CSP e le tue delle responsabilità sia on-premise che nei modelli di cloud computing:

Responsabilità del CSP e del cliente.

Responsabilità FedRAMP

Puoi visualizzare lo stack IT cloud in base a quattro livelli: infrastruttura fisica, infrastruttura cloud, piattaforma cloud e software cloud. Il seguente diagramma mostra questi livelli.

Livelli nello stack IT del cloud.

I livelli numerati nel diagramma corrispondono:

  1. Software as a Service. Google Workspace è anche certificato come FedRAMP Moderate. Per ereditare questi controlli di sicurezza SaaS, puoi richiedere una copia del pacchetto ATO di Google al JAB e includere una copia della lettera di attestazione di Google nel pacchetto.
  2. Platform as a Service. Oltre al programma FedRAMP di Google Cloud infrastruttura fisica certificata, prodotti e servizi PaaS aggiuntivi sono coperti da FedRAMP, inclusi App Engine, Cloud Storage e e i servizi di database. Utilizza questi prodotti e servizi pre-certificati ove possibile.
  3. Infrastructure as a Service. Oltre alle risorse di Google Cloud, Infrastruttura fisica certificata FedRAMP, prodotti IaaS aggiuntivi e sono coperti da FedRAMP, tra cui Google Kubernetes Engine (GKE) e in Compute Engine. Utilizza questi prodotti e servizi precertificati ovunque possibile.
  4. Infrastruttura fisica. Google Cloud è certificato da JAB come FedRAMP Moderate. Per ereditare questi controlli di sicurezza fisica, puoi richiedere una copia del pacchetto ATO di Google e includere la lettera di attestazione di Google nel pacchetto.

Per quanto riguarda FedRAMP ATO, ogni livello dello stack IT del cloud è considerato un confine di controllo indipendente e ogni confine di controllo richiede un'ATO separata. Ciò significa che, nonostante la conformità di Google Cloud a FedRAMP e la presenza di dozzine di servizi Google Cloud coperti da FedRAMP, devi comunque implementare i controlli di riferimento della sicurezza FedRAMP e la procedura SAF per dichiarare i tuoi sistemi e carichi di lavoro cloud conformi a FedRAMP.

Esistono due tipi di controlli di sicurezza FedRAMP nei riferimenti di conformità di livello basso, moderato e alto: i controlli implementati dal sistema informativo e i controlli implementati dall'organizzazione. Quando la tua organizzazione o agenzia crea sistemi conformi a FedRAMP su Google Cloud, eredita i controlli di sicurezza dell'infrastruttura fisica che Google soddisfa con la sua certificazione FedRAMP. Inoltre, erediti tutti i controlli di sicurezza dell'infrastruttura fisica, IaaS e PaaS integrati Prodotti e servizi conformi a FedRAMP di Google, e in tutti i controlli SaaS quando si usa Google Workspace. Tuttavia, devi implementare tutti gli altri controlli e configurazioni di sicurezza a livello di IaaS, PaaS e SaaS, come definito dal riferimento dei controlli di sicurezza FedRAMP.

Suggerimenti per l'implementazione di FedRAMP

Come accennato, erediti alcuni controlli di sicurezza dal fornitore di servizi cloud. Per altri controlli, devi configurarli specificamente e creare criteri, regole e regolamenti definiti dall'organizzazione per soddisfare ciascun controllo.

Questa sezione consiglia strumenti per l'implementazione dei controlli di sicurezza NIST 800-53 nel cloud utilizzando criteri definiti dall'organizzazione con strumenti, servizi e best practice di Google Cloud.

Controllo degli accessi

Per gestire il controllo dell'accesso in Google Cloud, definisci gli amministratori dell'organizzazione che gestirà gli account dei sistemi informativi nel cloud. Inserisci questi amministratori in gruppi di controllo dell'accesso utilizzando Cloud Identity, la Console di amministrazione o un altro provider di identità (ad esempio Active Directory o LDAP), assicurandoti che i provider di identità di terze parti siano federati con Google Cloud. Utilizza le funzionalità di Identity and Access Management (IAM) di assegnare ruoli e autorizzazioni ai gruppi amministrativi, implementando privilegi e separazione dei compiti.

Sviluppa un criterio di controllo degli accessi a livello di organizzazione per gli account del sistema informativo nel cloud. Definisci i parametri e le procedure mediante i quali un'organizzazione crea, abilita, modifica, disattiva e rimuove le informazioni account di sistema.

Gestione degli account, separazione dei compiti e privilegio minimo

Nel criterio di controllo dell'accesso, definisci i parametri e le procedure mediante i quali l'organizzazione creerà, attiverà, modificherà, disattiverà e rimuoverà le informazioni account di sistema. Definisci le condizioni in base a cui utilizzare gli account del sistema informativo.

Inoltre, identifica il periodo di tempo di inattività dopo il quale gli utenti dovranno disconnettersi da un sistema (ad esempio dopo *x* minuti, ore o giorni). Utilizza Cloud Identity, la Console di amministrazione o le configurazioni dell'applicazione per costringere gli utenti a uscire o eseguire nuovamente l'autenticazione dopo il periodo di tempo definito.

Definisci quali azioni intraprendere quando le assegnazioni di ruoli con privilegi non sono più appropriate per un utente dell'organizzazione. di Google *Policy Intelligence ha una funzionalità del motore per suggerimenti IAM che ti aiuta a rimuovere gli accessi indesiderati alle risorse Google Cloud utilizzando il machine learning per creare un accesso intelligente i suggerimenti di controllo.

Definisci condizioni in base a cui gli account di gruppo vengano considerati appropriati. Utilizza le funzionalità di Cloud Identity o Console di amministrazione per creare gruppi o account di servizio. Assegna ruoli e autorizzazioni a gruppi condivisi e account di servizio utilizzando IAM. Utilizza gli account di servizio ove possibile. Specifica l'uso atipico di un account del sistema informatico per il tuo dell'organizzazione. Quando rilevi un utilizzo atipico, utilizza strumenti come Google Cloud Observability o *Security Command Center per avvisare gli amministratori del sistema informativo.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Applicazione del flusso di informazioni e accesso remoto

Nel criterio di controllo degli accessi a livello di organizzazione, definisci i criteri di controllo del flusso di informazioni per la tua organizzazione. Identifica porte, protocolli e servizi vietati o soggetti a restrizioni. Definire requisiti e restrizioni per le interconnessioni con sistemi interni ed esterni. Utilizza strumenti come Virtual Private Cloud per creare firewall, reti con isolamento logico e subnet. Controllo della guida il flusso di informazioni implementando Cloud Load Balancing, *Cloud Service Mesh, e Controlli di servizio VPC.

Quando imposti i criteri per il controllo del flusso di informazioni, identifica i punti di accesso di rete controllati per la tua organizzazione. Utilizza strumenti come Identity-Aware Proxy per fornire accesso basato sul contesto alle risorse cloud per gli utenti remoti e in loco. Utilizza le funzionalità di Cloud VPN o Cloud Interconnect per fornire un accesso sicuro e diretto ai VPC.

Imposta criteri a livello di organizzazione per l'esecuzione di comandi con privilegi e l'accesso a dati protetti tramite accesso remoto. Utilizza IAM e Controlli di servizio VPC per limitare l'accesso a dati e carichi di lavoro sensibili.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Tentativi di accesso, notifica per l'utilizzo del sistema e chiusura della sessione

Nel criterio di controllo degli accessi, specifica per quanto tempo deve essere ritardato l'accesso di un utente a richiesta di accesso dopo oltre 3 tentativi non riusciti in un periodo di 15 minuti. Definisci le condizioni e gli attivatori in base alle quali gli utenti sessioni terminate o disconnesse.

Utilizza Cloud Identity Premium Edition o la Console di amministrazione per gestire i dispositivi mobili che si connettono alla tua rete, inclusi i dispositivi personali degli utenti. Crea criteri di sicurezza a livello di organizzazione applicabili ai dispositivi mobili. Descrivi i requisiti e le procedure per l'espulsione e l'eliminazione dei dispositivi mobili in seguito a tentativi consecutivi di accesso non riusciti.

Sviluppa notifiche a livello di organizzazione per il linguaggio e l'uso del sistema, che forniscano norme sulla privacy, termini e condizioni d'uso e informative sulla sicurezza per gli utenti che accedono il sistema informatico. Definisci le condizioni in base alle quali vengono visualizzate le notifiche per l'intera organizzazione prima di concedere l'accesso agli utenti. Pub/Sub è un sistema globale di messaggistica e di importazione di eventi che puoi usare per eseguire il push alle applicazioni e agli utenti finali. Puoi anche utilizzare *Chrome Enterprise Suite, che include *il browser Chrome e *Chrome OS, con la *API Push e *Notifications API per inviare notifiche e aggiornamenti agli utenti.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Azioni consentite, dispositivi mobili, condivisione di informazioni

Nel criterio di controllo degli accessi, definisci le azioni utente che possono essere eseguite su un sistema informativo senza identificazione e autenticazione. Utilizza IAM per regolare l'accesso degli utenti alla visualizzazione, creazione, eliminazione e modifica di risorse specifiche.

Sviluppo di criteri a livello di organizzazione per la condivisione delle informazioni. Determina circostanze in cui le informazioni possono essere condivise e a discrezione dell'utente richiesta per la condivisione delle informazioni. Utilizza procedure per assistere gli utenti nella condivisione di informazioni e la collaborazione in tutta l'organizzazione. Google Workspace ha un ottimo set di funzionalità per la collaborazione e il coinvolgimento controllati tra i vari team.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: AC-14, AC-19 (05), AC-21.

Consapevolezza e formazione

Crea criteri di sicurezza e materiali di formazione associati da distribuire agli utenti e ai gruppi che si occupano di sicurezza all'interno dell'organizzazione almeno una volta all'anno. Google offre la possibilità di usufruire di Servizi professionali per la formazione degli utenti sulla sicurezza nel cloud, inclusi, a titolo esemplificativo, un coinvolgimento di Cloud Discover Security e una Valutazione della sicurezza di Google Workspace.

Aggiorna i criteri di sicurezza e la formazione inerente almeno una volta all'anno.

Il rispetto di queste linee guida è utile per l'implementazione del controllo di sicurezza AT-01.

Audit e responsabilità

Crea criteri di controllo e controlli di responsabilizzazione validi per l'intera organizzazione che delineano le procedure e i requisiti di implementazione per il personale di controllo, gli eventi e le azioni legate ai sistemi informativi del cloud.

Nel criterio di controllo dell'organizzazione, delinea gli eventi che devono essere controllati nei sistemi informativi e la frequenza di controllo. Alcuni esempi di eventi registrati sono: eventi di accesso all'account riusciti e non riusciti, eventi di gestione dell'account, accesso agli oggetti, modifica dei criteri, funzioni dei privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni web, gli esempi includono attività di amministrazione, controlli di autenticazione, controlli di autorizzazione, dati eliminazioni, accesso ai dati, modifiche ai dati e modifiche alle autorizzazioni. Definisci ulteriori eventi di interesse per la tua organizzazione.

Per le norme di controllo, ti consigliamo inoltre di specificare indicazioni relative ad attività inappropriate o insolite per la tua organizzazione. Monitoraggio, log e segnalazione queste attività regolarmente (almeno una volta alla settimana).

Utilizza le funzionalità di Osservabilità di Google Cloud per gestire il logging, il monitoraggio e gli avvisi per Google Cloud, ambienti on-premise o in altri ambienti cloud. Utilizzare Google Cloud Observability per configurare e monitorare gli eventi di sicurezza nella tua organizzazione. Puoi anche utilizzare Cloud Monitoring per impostare metriche personalizzate da monitorare per i parametri definiti dall'organizzazione degli eventi nei record di controllo.

Consente ai sistemi informativi di avvisare gli amministratori in caso di errori di elaborazione dei controlli. Puoi implementare questi avvisi con strumenti come Pub/Sub e avvisi.

Definire standard per avvisare gli amministratori entro un periodo di tempo prestabilito (ad esempio, entro 15 minuti), in caso di guasto del sistema o del funzionamento, per includere quando i record di controllo raggiungono una soglia o una capacità di volume prestabilita. Definisci un granularità della misurazione del tempo a livello di organizzazione, mediante la quale i record di audit con timestamp e registrazione. Definisci il livello di tolleranza per i record con indicatore di data e ora nell'audit trail del sistema informativo (ad esempio quasi in tempo reale o entro 20 minuti).

Imposta Quote delle risorse VPC per stabilire le soglie di capacità per l'archiviazione dei record di controllo. Configura gli avvisi relativi al budget per informare gli amministratori quando la percentuale di un limite di risorse è stata raggiunta o superata.

Definire i requisiti di archiviazione a livello di organizzazione per i dati e i record di controllo per includono requisiti di disponibilità e conservazione dei log di controllo. Utilizza Cloud Storage per archiviare gli audit log e BigQuery per eseguire ulteriori analisi dei log.

Segui queste linee guida per implementare più facilmente questi controlli di sicurezza: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Valutazione e autorizzazione della sicurezza

Sviluppa norme sulla valutazione della sicurezza e sull'autorizzazione valide in tutta l'organizzazione, in cui vengano definite le procedure e i requisiti di implementazione delle valutazioni della sicurezza e dei controlli di sicurezza e autorizzazione.

Nel criterio di valutazione e autorizzazione della sicurezza, definisci il livello di indipendenza richiesto ai team di valutazione della sicurezza per eseguire valutazioni imparziali dei sistemi informativi nel cloud. Identifica i sistemi informativi che devono essere valutati da un revisore indipendente.

Le valutazioni della sicurezza dovrebbero includere almeno quanto segue:

  • Monitoraggio approfondito
  • Analisi delle vulnerabilità
  • Test su utenti dannosi
  • Valutazione delle minacce interne
  • Test delle prestazioni e del carico

L’organizzazione deve definire ulteriori requisiti e forme di sicurezza la valutazione.

Assicurati che il criterio di valutazione e autorizzazione della sicurezza specifichi le classificazioni e i requisiti dei sistemi di sicurezza, inclusi i requisiti per i sistemi di sicurezza non classificati e non nazionali.

Nei criteri di controllo del flusso di informazioni per l'organizzazione, delinea i requisiti e le restrizioni per le interconnessioni a sistemi interni ed esterni. Imposta le regole firewall VPC per consentire e negare il traffico verso i sistemi informativi e utilizza i Controlli di servizio VPC per proteggere i dati sensibili mediante parametri di sicurezza.

Imposta norme di controllo e responsabilità per l'intera organizzazione che soddisfano i requisiti di monitoraggio continuo (CA-07).

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestione della configurazione

Crea un criterio di gestione delle configurazioni a livello di organizzazione che definisca le procedure e i requisiti di implementazione per l'intera i controlli per la gestione delle configurazioni, i ruoli, le responsabilità, l'ambito conformità.

Standardizza i requisiti delle impostazioni di configurazione per i dispositivi di proprietà dell'organizzazione sistemi informatici e componenti di sistema. Fornisci procedure e requisiti operativi per la configurazione dei sistemi informativi. Indica in modo esplicito quanti versioni precedenti di una configurazione di base che gli amministratori di sistema devono conservare per il supporto del rollback dei sistemi informativi. Utilizza la suite di strumenti di gestione della configurazione di Google per controllare le configurazioni dei sistemi IT come codice e monitorare le modifiche alla configurazione utilizzando *Policy Intelligence o *Security Command Center.

Specifica i requisiti di configurazione per ciascun tipo di sistema informativo nella tua organizzazione (ad esempio cloud, on-premise, ibrido, non classificato, informazioni non classificate controllate (CUI) o classificate). Inoltre, definisci i requisiti di salvaguardia della sicurezza per i dispositivi di proprietà dell'organizzazione e BYOD (Bring Your Own Device) per includere l'identificazione di posizioni geografiche sicure e non sicure. Utilizza Identity-Aware Proxy per applicare controlli di accesso basati sul contesto ai dati di proprietà dell'organizzazione, inclusi i controlli degli accessi in base alla posizione geografica. Utilizza Cloud Identity Premium o la Console di amministrazione per applicare le configurazioni di sicurezza sui dispositivi mobili che si connettono alla rete aziendale.

Nel criterio di gestione della configurazione, definisci un'istanza a livello di organizzazione configurazione di controllo delle modifiche, come un comitato di controllo dei cambiamenti . Documenta la frequenza e le condizioni di incontro del comitato. Istituisci un organismo formale per la revisione e l'approvazione delle modifiche alla configurazione.

Identifica le autorità di approvazione della gestione della configurazione per la tua organizzazione. Questi amministratori esaminano le richieste di modifiche ai sistemi informativi. Definisci il periodo di tempo per il quale le autorità devono approvare o non approvare la modifica richieste. Fornisci indicazioni ai responsabili dell'implementazione delle modifiche riguardanti la notifica alle autorità di approvazione dell'avvenuta modifica del sistema informativo.

Imposta restrizioni sull'uso del software open source in tutta l'organizzazione per includano la specifica dei software approvati e non approvati per l'uso. Utilizza Cloud Identity o la Console di amministrazione per applicare le applicazioni e il software approvati per la tua organizzazione. Con Cloud Identity Premium, puoi attivare il Single Sign-On e l'autenticazione a più fattori per le applicazioni di terze parti.

Utilizza strumenti come gli avvisi per inviare notifiche agli amministratori della sicurezza quando vengono registrate modifiche della configurazione. Concedi l'accesso amministrativo a strumenti come Security Command Center per monitorare le modifiche della configurazione quasi in tempo reale. Con *Policy Intelligence, puoi utilizzare il machine learning per studiare le configurazioni definite dalla tua organizzazione, aumentando così la consapevolezza quando queste cambiano rispetto al riferimento.

Imponi il minor numero di funzionalità all'interno dell'organizzazione utilizzando criteri di controllo del flusso di informazioni.

Segui queste linee guida per implementare questi controlli di sicurezza: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Pianificazione della contingenza

Sviluppa un piano di emergenza per la tua organizzazione in cui siano definite le procedure e i requisiti di implementazione relativi ai controlli dei piani di emergenza in tutta l'organizzazione. Identifica il personale, i ruoli e le responsabilità chiave per le emergenze in tutti gli elementi organizzativi.

Mettere in evidenza il sistema informatico essenziale per la missione ed essenziale per il business operazioni all'interno dell'organizzazione. Outline Recovery Time Objective (RTO) e Recovery Point Objective (RPO) per il ripristino delle operazioni essenziali quando è stato attivato.

Sistemi informativi critici per i documenti e software associati. Identifica qualsiasi ulteriori informazioni relative alla sicurezza e fornire indicazioni e requisiti per l'archiviazione di copie di backup di dati e componenti critici del sistema. Esegui il deployment Risorse globali, regionali e a livello di zona di Google e località in tutto il mondo per garantire l'alta disponibilità. Utilizza le classi Cloud Storage per opzioni con aree geografiche singole o multiple, backup e archiviazione. Implementa la scalabilità automatica e il bilanciamento del carico della rete globale con Cloud Load Balancing.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identificazione e autenticazione

Crea un criterio di identificazione e autenticazione per la tua organizzazione che specifichi procedure di identificazione e autenticazione, ambiti, ruoli, responsabilità, gestione, entità e conformità. Specifica i controlli di identificazione e autenticazione richiesti dalla tua organizzazione. Utilizza Cloud Identity Premium o la Console di amministrazione per identificare i dispositivi aziendali e personali che possono connettersi alle risorse della tua organizzazione. Utilizza le funzionalità di Identity-Aware Proxy per imporre l'accesso sensibile al contesto alle risorse.

Includi indicazioni sui contenuti dell'autenticatore per la tua organizzazione, le condizioni di riutilizzo dell'autenticazione, gli standard per la protezione degli autenticatori e standard per la modifica o l'aggiornamento degli autenticatori. Inoltre, fissa dei requisiti per l'utilizzo degli autenticatori memorizzati nella cache. Specifica i limiti di tempo per l'utilizzo degli autenticatori memorizzati nella cache e crea definizioni per la scadenza degli autenticatori memorizzati nella cache. Definisci i requisiti minimi e massimi del ciclo di vita e i periodi di tempo di aggiornamento da applicare ai sistemi informativi all'interno dell'organizzazione.

Utilizza Cloud Identity o la Console di amministrazione per applicare criteri di password relativi a sensibilità, utilizzo dei caratteri, nuova creazione o riutilizzo delle password, requisiti di ciclo di vita, archiviazione e trasmissione delle password.

Delineare i requisiti di autenticazione mediante token hardware e software per autenticazione in tutta l'organizzazione, inclusa, a titolo esemplificativo, la card PIV e infrastruttura a chiave pubblica. Puoi utilizzare i *token di sicurezza Titan per applicare requisiti di autenticazione aggiuntivi per gli amministratori e il personale con privilegi.

Nel criterio di identificazione e autenticazione, delinea i componenti del sistema informativo di identità federale, credenziali e gestione degli accessi (FICAM) che possono accettare terze parti nella tua organizzazione. Identity Platform di Google è una piattaforma di gestione di identità e accessi cliente (GIAC) che consente le organizzazioni aggiungono funzionalità di gestione di identità e accessi alle applicazioni a cui accedono entità esterne.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Risposta agli incidenti

Stabilisci un criterio di risposta agli incidenti per la tua organizzazione, che includa per facilitare e implementare i controlli di risposta agli incidenti. Crea gruppi di sicurezza per i team di risposta agli incidenti e le autorità della tua organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per condividere l'incidente eventi, log e dettagli.

Sviluppa un piano di verifica delle risposte agli incidenti, procedure ed elenchi di controllo, nonché requisiti e benchmark per misurarne l'efficacia. Specifica classi di incidenti che devono essere riconosciute nell'organizzazione e delinea le azioni associate da intraprendere in risposta a questi incidenti. Definisci le azioni che prevedi siano autorizzate del personale a cui è rivolto se si verifica un incidente. Queste azioni possono essere la gestione di fuoriuscite di informazioni, vulnerabilità di cybersicurezza e attacchi. sfruttare le funzionalità di Google Workspace per scansionare e mettere in quarantena i contenuti delle email, bloccare i tentativi di phishing, e impostare limitazioni sugli allegati. Utilizza Protezione dei dati sensibili per esaminare, classificare e anonimizzare i dati sensibili, contribuendo così a limitarne l'esposizione.

Specifica i requisiti a livello di organizzazione per la formazione relativa alla risposta agli incidenti, inclusi i requisiti di formazione per gli utenti generali e le responsabilità e i ruoli con privilegi. Applicare requisiti relativi a periodi di tempo per seguire la formazione (ad (ad esempio, entro 30 giorni dall'iscrizione, trimestrale o annuale).

Seguire queste linee guida per facilitare l’implementazione di questi controlli di sicurezza: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Manutenzione del sistema

Crea un criterio di manutenzione del sistema per la tua organizzazione, documentando controlli di manutenzione del sistema, ruoli, responsabilità, gestione, coordinamento requisiti e conformità. Definisci i parametri per la manutenzione controllata, tra cui processi di approvazione per la manutenzione e le riparazioni fuori sede, e i tempi di risposta a livello di organizzazione per la sostituzione di dispositivi e componenti guasti. La tua organizzazione trarrà vantaggio Eliminazione di dati su Google Cloud la sanificazione di dati e apparecchiature e Sicurezza e innovazione dei data center di Google per interventi di manutenzione e riparazioni esterne.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: MA-01, MA-02, MA-06.

Protezione dei contenuti multimediali

Nell'ambito di FedRAMP ATO di Google Cloud, soddisfiamo i requisiti di protezione dei contenuti multimediali per l'infrastruttura fisica. Consulta la pagina Infrastructure Security Design e la panoramica sulla sicurezza di Google. Successivamente, sei responsabile del rispetto della sicurezza dell'infrastruttura virtuale requisiti.

Sviluppa un criterio di protezione dei contenuti multimediali per l'organizzazione, documentando i controlli multimediali, le norme e le procedure per la protezione, i requisiti di conformità, i ruoli e le responsabilità di gestione. Procedure documentali per facilitare e l'implementazione di protezioni per i contenuti multimediali nella tua organizzazione. Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione dei contenuti multimediali e delle loro protezioni.

Specifica i tipi multimediali e gli accessi approvati per l'organizzazione, incluse limitazioni multimediali digitali e non digitali. Impostare i contrassegni sui contenuti multimediali e la gestione dei contenuti multimediali eccezioni che devono essere implementate nell'intera organizzazione, inclusa la sicurezza i requisiti di marcatura all'interno e all'esterno delle aree di accesso controllato. Utilizza le funzionalità di *Data Catalog per gestire i metadati delle risorse cloud, semplificando il rilevamento dei dati. Controlla la conformità delle risorse cloud di tutta l'organizzazione, regolando la distribuzione e l'individuazione delle risorse cloud con *Service Catalog.

Identifica come sanificare, smaltire o riutilizzare i contenuti multimediali gestiti dalla tua organizzazione. Descrivere i casi d'uso e le circostanze in cui la sanificazione, lo smaltimento è obbligatorio o accettabile il riutilizzo di contenuti multimediali e dispositivi. Definisci i metodi e i meccanismi di tutela dei contenuti multimediali ritenuti accettabili dalla tua organizzazione.

Con Google, potrai trarre vantaggio dall'eliminazione dei dati su Google Cloud, dalla sanitizzazione dei dati e delle attrezzature e dalla sicurezza e dall'innovazione dei data center di Google. Nella addizioni, Cloud KMS e Cloud HSM che forniscono una protezione crittografica conforme a FIPS e puoi utilizzare *Token di sicurezza Titan per applicare un'autenticazione fisica aggiuntiva per gli amministratori e il personale con privilegi.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Protezione fisica e ambientale

Nell'ambito di FedRAMP ATO di Google Cloud, soddisfiamo i requisiti di protezione fisica e ambientale per l'infrastruttura fisica. Consulta la pagina Infrastructure Security Design e la panoramica sulla sicurezza di Google. Successivamente, sei responsabile del rispetto della sicurezza dell'infrastruttura virtuale requisiti.

Definisci un criterio di protezione fisica e ambientale per la tua organizzazione, specificando i controlli di protezione, le entità di protezione, gli standard di conformità, i ruoli, le responsabilità e i requisiti di gestione. Delinea come implementare la protezione fisica e ambientale in tutta l'organizzazione.

Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione delle protezioni fisiche e ambientali. Richiedi agli amministratori che hanno accesso a risorse di calcolo sensibili di utilizzare i *token di sicurezza Titan o un'altra forma di MFA per verificare l'integrità dell'accesso.

Nelle norme di protezione fisica e ambientale, definisci l'accesso fisico i requisiti di controllo necessari per la tua organizzazione. Identifica i punti di ingresso e di uscita delle strutture per i siti del sistema informativo, i sistemi di protezione per il controllo dell'accesso a queste strutture e i requisiti dell'inventario. Sfrutta strumenti come *Google Maps Platform per visualizzare visivamente e monitorare strutture e punti di ingresso e uscita per le mappature della posizione. Utilizza le funzionalità di Gestione delle risorse e *catalogo dei servizi per controllare l'accesso alle risorse cloud, organizzati e facilmente rilevabili.

Utilizza le funzionalità di Cloud Monitoring per configurare eventi, accessi e incidenti registrabili. Definisci a livello di organizzazione eventi di accesso fisico che devono essere registrati Cloud Logging.

Utilizzare le norme di protezione fisica e ambientale per tenere conto delle situazioni di emergenza, come l'arresto d'emergenza dei sistemi informatici, alimentazione di emergenza, soppressione incendi e risposta alle emergenze. Identifica i punti di contatto per gli addetti alla risposta alle emergenze, inclusi il personale di primo intervento locale e personale addetto alla sicurezza fisica della tua organizzazione. Specifica i requisiti e le sedi di lavoro alternative. Specifica i controlli e il personale di sicurezza per le sedi di lavoro principali e alternative. Esegui il deployment delle risorse di Google a livello globale, di area geografica e di zona e delle sue località in tutto il mondo per un'alta disponibilità. Utilizza le funzionalità di Cloud Storage per opzioni multiregionali, regionali, di backup e di archiviazione. Implementa la scalabilità automatica e il bilanciamento del carico di rete a livello globale con Cloud Load Balancing. Crea modelli di deployment per stabilire un processo di deployment ripetibile basato su modelli.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Pianificazione della sicurezza del sistema

Sviluppa un criterio di pianificazione della sicurezza per l'organizzazione, delineando controlli della pianificazione della sicurezza, ruoli, responsabilità, gestione entità di pianificazione della sicurezza per la tua organizzazione e requisiti di conformità. Delinea come prevedi di implementare la pianificazione della sicurezza nella tua organizzazione.

Crea gruppi per definire il personale di pianificazione della sicurezza di conseguenza. Specifica gruppi di sicurezza per le valutazioni della sicurezza, i controlli, la manutenzione di hardware e software, la gestione delle patch e la pianificazione di emergenza per l'organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per monitorare sicurezza, conformità e controllo dell'accesso nella tua organizzazione.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PL-01, PL-02, PL-02 (03).

Sicurezza del personale

Crea un criterio di sicurezza del personale che identifichi il personale addetto alla sicurezza, i loro ruoli e responsabilità, come vi aspettate che la sicurezza del personale e quali controlli di sicurezza del personale applicare in tutti i dell'organizzazione. Acquisisci le condizioni che richiederebbero la visita degli individui controllo, riesame e indagine sulla sicurezza dell'organizzazione. Definisci i requisiti per le autorizzazioni di sicurezza all'interno dell'organizzazione.

Includi istruzioni per affrontare il licenziamento e il trasferimento del personale. Definisci le esigenze e i parametri per le interviste di uscita e gli argomenti relativi alla sicurezza che dovrebbero essere discussi durante queste interviste. Specifica entro quanto tempo è opportuno informare le entità amministrative e di sicurezza dell'organizzazione di eventuali licenziamenti, trasferimenti o riassegnazioni del personale (ad esempio, entro 24 ore). Specifica le azioni che il personale e l'organizzazione devono completare un trasferimento, una riassegnazione o la risoluzione. Inoltre, illustra i requisiti per l'applicazione formale dei dipendenti dell'applicazione di sanzioni. Spiega quando prevedi che il personale di sicurezza e gli amministratori debbano essere informati in merito alle sanzioni applicate ai dipendenti, e le procedure di sanzione.

Utilizza IAM per assegnare ruoli e autorizzazioni al personale. Aggiungi, rimuovere, disabilitare e abilitare profili e accessi del personale nelle Cloud Identity o Console di amministrazione. Applica misure fisiche aggiuntive di autenticazione per amministratori e personale con privilegi che utilizzano *Token di sicurezza Titan.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Analisi del rischio

Implementare una politica di valutazione del rischio che identifichi la valutazione del rischio. il personale, controlli di valutazione del rischio che si prevede vengano applicati in dell'organizzazione e le procedure per l'esecuzione della valutazione dei rischi dell'organizzazione. Definisci il modo in cui ti aspetti che le valutazioni del rischio siano documentate segnalato. Usa strumenti come *Security Command Center per informare automaticamente il personale addetto alla sicurezza dei rischi per la sicurezza e della tua organizzazione.

Sfrutta la suite di strumenti di valutazione del rischio di Google, come Web Security Scanner Artifact Analysis Google Cloud Armor, e Protezione da phishing e malware di Google Workspace per analizzare e segnalare le vulnerabilità attraverso le informazioni della tua organizzazione sistemi operativi. Rendere questi strumenti disponibili al personale addetto alla valutazione dei rischi e agli amministratori per aiutano a identificare ed eliminare le vulnerabilità.

Il rispetto di queste linee guida getterà le basi per l'implementazione del seguenti controlli di sicurezza: RA-01, RA-03, RA-05.

Acquisizione di sistemi e servizi

Sviluppa un criterio di acquisizione di sistema e servizi che delinea i ruoli e le responsabilità del personale chiave, la gestione dell'acquisizione e dei servizi, la conformità e le entità. Delinea le procedure di acquisizione di sistema e servizi e le linee guida per la loro implementazione nell'organizzazione. Definisci il ciclo di vita dello sviluppo del sistema dell'organizzazione per i sistemi informativi e la sicurezza delle informazioni. Descrivere i ruoli e le responsabilità in materia di sicurezza delle informazioni, il personale e il modo in cui si aspetti che la politica di valutazione del rischio della tua organizzazione guidi e influenzi il sistema di sviluppo e sviluppo.

Evidenzia le procedure che prevedi di eseguire all'interno della tua organizzazione quando la documentazione del sistema informatico non è disponibile o non è definita. Rivolgiti agli amministratori del sistema informativo della tua organizzazione e al personale addetto ai servizi di sistema, in base alle necessità. Definisci eventuali corsi di formazione obbligatori per gli amministratori e gli utenti che implementano o accedono ai sistemi informativi della tua organizzazione.

Usa strumenti come *Security Command Center per monitorare la sicurezza alla conformità, ai risultati e al controllo della sicurezza per la tua organizzazione. Google delinea tutti i propri standard, normative e certificazioni di sicurezza per aiutare i clienti a soddisfare i requisiti e le leggi di conformità su Google Cloud. Inoltre, Google offre una suite di prodotti per la sicurezza per aiutare i clienti a monitorare continuamente i propri sistemi informativi, le comunicazioni e i dati sia nel cloud che on-premise.

Specifica eventuali limitazioni di località per i dati, i servizi e il trattamento delle informazioni e le condizioni in cui i dati possono essere archiviati altrove. Google offre opzioni globali, regionali e a livello di zona per l'archiviazione, l'elaborazione e l'utilizzo dei servizi in Google Cloud.

Utilizza il criterio di gestione delle configurazioni per regolamentare la gestione delle configurazioni degli sviluppatori per i controlli di acquisizione di sistemi e servizi e utilizza il criterio di valutazione della sicurezza e sull'autorizzazione per applicare i requisiti di valutazione e test di sicurezza degli sviluppatori.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protezione del sistema e delle comunicazioni

Crea un criterio di protezione del sistema e delle comunicazioni che delinea i ruoli e le responsabilità del personale chiave, i requisiti di implementazione per i criteri di protezione delle comunicazioni del sistema e i controlli di protezione richiesti per l'organizzazione. Identifica i tipi di attacchi denial of service riconosciuti e monitorati dalla tua organizzazione, e delinea i requisiti di protezione DoS.

Utilizza la funzionalità di rilevabilità di Google Cloud per registrare, monitorare e creare avvisi in merito ad attacchi di sicurezza predefiniti a danno della tua organizzazione. Implementa strumenti come Cloud Load Balancing e Google Cloud Armor per salvaguardare il tuo cloud e sfruttare servizi VPC come firewall e i controlli di sicurezza di rete per proteggere la rete cloud interna.

Identificare i requisiti di disponibilità delle risorse della tua organizzazione. e definire in che modo prevedi che le risorse cloud vengano allocate in tutta l'organizzazione e i vincoli da implementare per limitare l'uso eccessivo. Utilizza strumenti come Resource Manager per controllare l'accesso alle risorse a livello di organizzazione, cartella, progetto e singola risorsa. Imposta quote delle risorse per gestire le richieste API e l'utilizzo delle risorse in Google Cloud.

Stabilisci requisiti di protezione dei confini per i tuoi sistemi informatici e comunicazioni di sistema. Definire i requisiti per il traffico delle comunicazioni interne e le modalità di interazione del traffico interno con le reti esterne. Specifica i requisiti per i server proxy e altri componenti di routing e di autenticazione di rete.

Sfrutta *Cloud Service Mesh per gestire il traffico di rete e il flusso di comunicazioni per la tua organizzazione. Utilizzare Identity-Aware Proxy per controllare l'accesso a di risorse cloud basate su autenticazione, autorizzazione e contesto, tra cui posizione geografica o impronta digitale del dispositivo. Implementa *Accesso privato Google, *Cloud VPN o *Cloud Interconnect per proteggere il traffico di rete e le comunicazioni tra risorse interne ed esterne. Utilizza la VPC per definire e proteggere le reti cloud della tua organizzazione, stabilire subnet per isolare ulteriormente le risorse e i perimetri di rete del cloud.

Google offre reti software-defined globali con opzioni a livello di area geografica singola o multipla e di zona per alta disponibilità e failover. Definisci i requisiti di errore dell'organizzazione per assicurarti che i tuoi sistemi informativi falliscano in uno stato noto. Fissa requisiti per la conservazione delle informazioni sullo stato del sistema informativo. Utilizza i gruppi di istanze gestite e i modelli di Deployment Manager per creare una nuova istanza per le risorse non riuscite o in stato non integro. Concedere agli amministratori l'accesso a *Security Command Center per monitorare attivamente le attività il livello di riservatezza, integrità e disponibilità.

Nel criterio, descrivi i requisiti dell'organizzazione per la gestione chiavi di crittografia, inclusi i requisiti per la generazione, la distribuzione archiviazione, accesso e distruzione. Utilizza Cloud KMS e Cloud HSM per gestire, generare, utilizzare, ruotare, archiviare ed eliminare una sicurezza conforme a FIPS nel cloud.

Google cripta i dati at-rest per impostazione predefinita. ma puoi Utilizza Cloud KMS con Compute Engine e Cloud Storage per criptare ulteriormente i dati usando chiavi di crittografia. Puoi anche eseguire il deployment delle Shielded VM per applicare i controlli dell'integrità a livello di kernel su Compute Engine.

Segui queste linee guida per l'implementazione di questi controlli di sicurezza: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12 SC-24, SC-28, SC-28 (01).

Integrità del sistema e delle informazioni

Implementa un criterio di integrità di sistema e informazioni che delinea i ruoli e le responsabilità del personale chiave, le procedure e i requisiti di implementazione dell'integrità, gli standard di conformità e i controlli di sicurezza per la tua organizzazione. Crea gruppi di sicurezza per il personale dell'organizzazione che responsabile dell'integrità del sistema e delle informazioni. Correzione dei difetti di Outline per soddisfare i requisiti della tua organizzazione, tra cui linee guida per il monitoraggio, Valutazione, autorizzazione, implementazione, pianificazione, benchmarking e correzione di problemi nella sicurezza della tua organizzazione e dei suoi sistemi informativi.

Sfrutta la suite di strumenti per la sicurezza di Google, inclusi, a titolo esemplificativo: le seguenti:

Utilizza questi strumenti per:

  • Proteggiti da codice dannoso, attacchi informatici e vulnerabilità comuni.
  • Mettere in quarantena lo spam e impostare criteri relativi a spam e malware.
  • Avvisare gli amministratori in merito alle vulnerabilità.
  • Ottieni informazioni approfondite sulla tua organizzazione per la gestione centralizzata.

Utilizza strumenti come Google Cloud Observability o *Security Command Center per gestire in modo centralizzato, creare avvisi e monitorare i controlli e i risultati di sicurezza della tua organizzazione. In particolare, usa Google Cloud Observability per registrare azioni amministrative, accessi ai dati ed eventi di sistema avviati da account con privilegi utenti e personale dell'organizzazione. Avvisare gli amministratori sui messaggi di errore e la gestione degli errori nel sistema informatico.

Definire gli eventi importanti per la sicurezza in relazione al software dell'organizzazione, firmware e informazioni (ad esempio, vulnerabilità zero-day, eliminazione di dati, installazione di nuovi hardware, software o firmware). Spiega i passaggi da intraprendere nel caso si verifichino questi tipi di variazioni pertinenti alla sicurezza. Specifica gli obiettivi di monitoraggio e gli indicatori di attacco a cui gli amministratori devono prestare particolare attenzione per includere informazioni essenziali da monitorare all'interno dei sistemi informativi dell'organizzazione. Definire il sistema e le informazioni ruoli e responsabilità nel monitoraggio, nonché monitoraggio e reporting frequenza (ad esempio in tempo reale, ogni 15 minuti, ogni ora o trimestrale).

Acquisisci i requisiti per l'analisi del traffico delle comunicazioni alla ricerca di informazioni sistemi aziendali all'interno dell'organizzazione. Specifica i requisiti per il rilevamento delle anomalie, inclusi i punti di sistema per il monitoraggio. * I servizi Network Intelligence Center di Google consentono di eseguire analisi approfondite delle prestazioni di rete e della sicurezza. Google ha anche forti partnership con terze parti che si integrano con Google Cloud per la scansione e la protezione di endpoint e host del cloud, come +Aqua Security e +Crowdstrike. Le Shielded VM consentono di proteggere i dispositivi, verificare l'autenticazione e garantire processi di avvio protetto.

Definisci in che modo la tua organizzazione deve eseguire controlli e misure di protezione contro la sicurezza di anomalie e violazioni dell'integrità. Utilizza strumenti come *Security Command Center o *Policy Intelligence per monitorare e rilevare le modifiche alla configurazione. Utilizza gli strumenti di +configuration management o i modelli di Deployment Manager per creare nuove istanze o bloccare le modifiche alle risorse cloud.

Nelle informazioni di sistema e nelle norme di integrità, specifica i requisiti per l'autorizzazione e l'approvazione dei servizi di rete nella tua organizzazione. Sommario processi di approvazione e autorizzazione dei servizi di rete. Il VPC è essenziali per la definizione di reti e subnet cloud che utilizzano firewall per proteggere perimetri di rete. Controlli di servizio VPC consente di applicare perimetri di sicurezza di rete aggiuntivi per i dati sensibili nel cloud.

Oltre a tutto questo, erediterai automaticamente lo stack di avvio protetto di Google attendibile, difesa in profondità dell'infrastruttura.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusione

La sicurezza e la conformità nel cloud sono un impegno comune a carico tuo e del tuo fornitore di servizi cloud (CSP). Google garantisce che l'infrastruttura fisica e i servizi corrispondenti supportino la conformità a dozzine di standard, normative e certificazioni di terze parti, ma è tua responsabilità assicurarti che tutto ciò che crei nel cloud sia conforme.

Google Cloud ti supporta nel tuo impegno verso la conformità fornendo lo stesso insieme di prodotti e funzionalità di sicurezza utilizzato da Google per proteggere la propria infrastruttura.

Passaggi successivi

  • Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Dai un'occhiata al nostro Centro architetture cloud.