Guida all'implementazione FedRAMP di Google Cloud

Last reviewed 2024-02-27 UTC

Questa guida è destinata ai responsabili della sicurezza, ai responsabili della conformità, agli amministratori IT e a tutti i dipendenti coinvolti nell'implementazione e nella verifica della conformità ai requisiti del programma Federal Risk and Authorization Management Program (FedRAMP) su Google Cloud. Questa guida ti aiuta a capire in che modo Google è in grado di supportare la conformità FedRAMP e quali Google Cloud strumenti, prodotti e servizi configurare per aiutarti a soddisfare le tue responsabilità ai sensi di FedRAMP.

Google Cloud supporta la conformità a FedRAMP e fornisce dettagli specifici sull'approccio alla sicurezza e alla protezione dei dati nel white paper sulla sicurezza di Google e nella Panoramica sulla progettazione della sicurezza nell'infrastruttura Google. Sebbene Google fornisca un'infrastruttura cloud sicura e conforme, la responsabilità ultima della valutazione della conformità a FedRAMP è del cliente. Inoltre, è tua responsabilità assicurarti che l'ambiente e le applicazioni che crei su Google Cloud siano configurati e protetti correttamente in base ai requisiti di FedRAMP.

Questo documento illustra a grandi linee le fasi di FedRAMP Authority to Operate (ATO), spiega il Google Cloud modello di responsabilità condivisa, mette in evidenza le responsabilità specifiche del cliente e suggerisce come soddisfare questi requisiti e linee guida su Google Cloud.

FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è un programma a livello governativo che standardizza il modo in cui il Federal Information Security Modernization Act (FISMA) si applica al cloud computing. Stabilisce un approccio ripetibile per la valutazione, l'autorizzazione e il monitoraggio continuo della sicurezza per i servizi cloud.

Utilizzando gli standard e le linee guida di FedRAMP, puoi proteggere i dati sensibili, essenziali e critici per le operazioni nel cloud, rendendo possibile il rilevamento rapido di vulnerabilità della cybersicurezza.

In linea generale, FedRAMP ha i seguenti obiettivi:

  • Assicurati che i servizi e i sistemi cloud utilizzati dagli enti statali abbiano misure di salvaguardia appropriate.
  • Deduplicare gli sforzi e ridurre i costi della gestione dei rischi.
  • Consentire agli enti statali di acquisire in modo rapido e conveniente servizi e sistemi informativi.

In conformità con il FedRAMP, gli enti statali federali sono tenuti a:

  • Assicurati che tutti i sistemi cloud che elaborano, trasmettono e archiviano dati governativi utilizzino il riferimento dei controlli di sicurezza FedRAMP.
  • Utilizza il piano di valutazione della sicurezza per concedere le autorizzazioni di sicurezza ai sensi della FISMA.
  • Imporre l'applicazione dei requisiti FedRAMP tramite contratti con fornitori di servizi cloud (CSP).

Autorizzazione a operare (ATO)

L'implementazione e l'esecuzione del processo di accreditamento FedRAMP si conclude con un'autorizzazione a operare (ATO) nel cloud. Esistono due percorsi per FedRAMP ATO: P-ATO e Agency ATO.

L'autorizzazione provvisoria a operare (P-ATO) viene rilasciata dal JAB (Joint Authorization Board) di FedRAMP. Il JAB è composto dai CIO del Dipartimento di sicurezza interna (DHS), della General Services Administration (GSA) e del Dipartimento della difesa (DoD). Il consiglio definisce i controlli di sicurezza FedRAMP di riferimento e stabilisce i criteri di accreditamento FedRAMP per le organizzazioni di valutazione di terze parti (3PAO). Le organizzazioni e gli enti chiedono che il loro pacchetto di sicurezza dei sistemi informativi venga elaborato dal JAB, il quale successivamente rilascia una P-ATO per l'utilizzo dei servizi cloud.

Con l'Agency ATO, l'organizzazione o l'ente interno nomina dei funzionari abilitati all'autorizzazione (AO), che conducono un'analisi dei possibili rischi del pacchetto di sicurezza dei sistemi informativi. L'AO può coinvolgere dei 3PAO o dei revisori esterni non accreditati (IA) per esaminare il pacchetto di sicurezza dei sistemi informativi. L'AO, e successivamente l'ente o l'organizzazione, autorizza quindi l'uso dei servizi cloud da parte dei sistemi informativi. Il pacchetto di sicurezza viene inoltre inviato al Program Management Office (PMO) FedRAMP per la revisione; GSA è il PMO di FedRAMP. Dopo la revisione, il PMO pubblica il pacchetto di sicurezza in modo che possa essere utilizzato da altri enti e organizzazioni.

Piano di valutazione della sicurezza

I funzionari abilitati all'autorizzazione (AO) presso enti e organizzazioni devono incorporare il piano di valutazione della sicurezza (SAP) di FedRAMP nei processi di autorizzazione interna per garantire che soddisfino i requisiti FedRAMP per l'utilizzo dei servizi cloud. Il SAF viene implementato in quattro fasi:

Quattro fasi del piano di valutazione della sicurezza.

Tu o la tua AO classificate il sistema informativo come un sistema con impatto basso, moderato o alto in base agli scopi di sicurezza per riservatezza, integrità e disponibilità stabiliti dal FIPS PUB 199.

In base alla classificazione FIPS del sistema, seleziona il riferimento dei controlli di sicurezza FedRAMP correlato al livello di classificazione basso, moderato o alto del FIPS 199. Devi poi implementare i controlli di sicurezza acquisiti nel rispettivo riferimento dei controlli. Sono accettabili anche implementazioni alternative e giustificazioni della ragione per cui non è stato possibile rispettare o implementare un controllo.

Acquisisci i dettagli dell'implementazione dei controlli di sicurezza in un piano di sicurezza del sistema (SSP). Ti consigliamo di selezionare il modello SSP in base al livello di conformità FedRAMP: Basso, Moderato o Alto.

L'SSP esegue le seguenti operazioni:

  • Descrive il confine dell'autorizzazione di sicurezza.
  • Spiega in che modo l'implementazione del sistema affronta ogni controllo di sicurezza FedRAMP.
  • Delinea i ruoli e le responsabilità del sistema.
  • Definisce il comportamento previsto degli utenti del sistema.
  • Mostra l'architettura del sistema e l'infrastruttura di supporto.

Utilizza il modello di revisione dell'autorizzazione FedRAMP per monitorare i tuoi progressi ATO.

Per ulteriori dettagli sulle fasi di implementazione, consulta la procedura di autorizzazione per enti di FedRAMP.

Modello di responsabilità cloud

Con l'IT tradizionale, le organizzazioni e gli enti dovevano acquistare data center fisici o spazi di colocation, server fisici, apparecchiature di networking, software, licenze e altri dispositivi per la creazione di sistemi e servizi. Con il cloud computing, un fornitore di servizi cloud investe nell'hardware fisico, nel data center e nel global networking, fornendo allo stesso tempo ai clienti apparecchiature, strumenti e servizi virtuali da utilizzare.

Esistono tre modelli di cloud computing: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS):

  • Nel modello IaaS, i CSP forniscono essenzialmente un data center virtuale nel cloud e offrono un'infrastruttura di computing virtualizzata, come server, reti e spazio di archiviazione. Sebbene i CSP gestiscano l'apparecchiatura fisica e i data center per queste risorse, sei responsabile della configurazione e della protezione delle risorse della piattaforma o delle applicazioni eseguite sull'infrastruttura virtualizzata.

  • Nel modello PaaS, i CSP non solo forniscono e gestiscono l'infrastruttura e il livello di virtualizzazione, ma offrono ai clienti anche una piattaforma presviluppata e preconfigurata per la creazione di software, applicazioni e servizi web. PaaS consente agli sviluppatori di creare facilmente applicazioni e middleware senza preoccuparsi della sicurezza e della configurazione dell'hardware soggiacente.

  • Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma e, allo stesso tempo, forniscono applicazioni e servizi basati su cloud destinati all'utilizzo da parte dei clienti. Le applicazioni internet eseguite direttamente dal browser web o tramite la visita a un sito web sono applicazioni SaaS. Con questo modello, le organizzazioni e gli enti non devono preoccuparsi di installare, aggiornare o supportare le applicazioni: il loro compito è semplicemente gestire i criteri di accesso al sistema e ai dati.

La figura seguente evidenzia le responsabilità del CSP e le tue responsabilità sia on-premise che nei modelli di cloud computing:

Responsabilità del CSP e del cliente.

Responsabilità di FedRAMP

Puoi visualizzare lo stack IT cloud in base a quattro livelli: infrastruttura fisica, infrastruttura cloud, piattaforma cloud e software cloud. Il seguente diagramma mostra questi livelli.

Livelli nello stack IT del cloud.

I livelli numerati nel diagramma corrispondono a quanto segue:

  1. Software as a Service. Google Workspace è inoltre certificato come FedRAMP Moderate. Per ereditare questi controlli di sicurezza SaaS, puoi richiedere una copia del pacchetto ATO di Google al JAB e includere una copia della lettera di attestazione di Google nel pacchetto.
  2. Platform as a Service. Oltre all'infrastruttura fisica Google Cloudcertificata FedRAMP, altri prodotti e servizi PaaS sono coperti da FedRAMP, tra cui App Engine, Cloud Storage e servizi di database. Utilizza questi prodotti e servizi pre-certificati ove possibile.
  3. Infrastructure as a Service. Oltre all'infrastruttura fisica Google Cloudcertificata FedRAMP, altri prodotti e servizi IaaS sono coperti da FedRAMP, tra cui Google Kubernetes Engine (GKE) e Compute Engine. Utilizza questi prodotti e servizi pre-certificati ove possibile.
  4. Infrastruttura fisica. Google Cloud è certificata da JAB come FedRAMP Moderate. Per ereditare questi controlli di sicurezza fisica, puoi richiedere una copia del pacchetto ATO di Google e includere la lettera di attestazione di Google nel pacchetto.

Per quanto riguarda FedRAMP ATO, ogni livello dello stack IT del cloud è considerato un confine di controllo indipendente e ogni confine di controllo richiede un'ATO separata. Ciò significa che, nonostante la conformità a FedRAMP diGoogle Cloud e la disponibilità di decine di Google Cloud servizi coperti da FedRAMP, è comunque necessario implementare i controlli di riferimento della sicurezza di FedRAMP e la procedura di AFM per dichiarare i sistemi e i carichi di lavoro cloud conformi a FedRAMP.

Esistono due tipi di controlli di sicurezza FedRAMP nei riferimenti di conformità di livello basso, moderato e alto: i controlli implementati dal sistema informativo e i controlli implementati dall'organizzazione. Quando la tua organizzazione o agenzia crea sistemi conformi a FedRAMP su Google Cloud, eredita i controlli di sicurezza dell'infrastruttura fisica che Google soddisfa con la sua certificazione FedRAMP. Erediterai inoltre tutti i controlli di sicurezza dell'infrastruttura fisica, IaaS e PaaS integrati in prodotti e servizi conformi a FedRAMP di Google e in tutti i controlli SaaS quando utilizzi Google Workspace. Tuttavia, devi implementare tutti gli altri controlli e configurazioni di sicurezza a livello di IaaS, PaaS e SaaS, come definito dal riferimento dei controlli di sicurezza FedRAMP.

Consigli per l'implementazione di FedRAMP

Come accennato, erediti alcuni controlli di sicurezza dal fornitore di servizi cloud. Per altri controlli, devi configurarli specificamente e creare criteri, regole e regolamenti definiti dall'organizzazione per soddisfare ciascun controllo.

Questa sezione consiglia strumenti per l'implementazione dei controlli di sicurezza NIST 800-53 nel cloud utilizzando criteri definiti dall'organizzazione con strumenti, servizi e best practice.Google Cloud

Controllo degli accessi

Per gestire il controllo degli accessi in Google Cloud, definisci gli amministratori dell'organizzazione che gestiranno gli account del sistema informativo nel cloud. Inserisci questi amministratori in gruppi di controllo dell'accesso utilizzando Cloud Identity, la Console di amministrazione o un altro provider di identità (ad esempio Active Directory o LDAP), assicurandoti che i provider di identità di terze parti siano federati conGoogle Cloud. Utilizza Identity and Access Management (IAM) per assegnare ruoli e autorizzazioni ai gruppi amministrativi, eseguendo l'implementazione del privilegio minimo e della separazione dei compiti.

Sviluppa un criterio di controllo dell'accesso a livello di organizzazione per gli account del sistema informativo nel cloud. Definisci i parametri e le procedure in base ai quali la tua organizzazione crea, attiva, modifica, disattiva e rimuove gli account di sistema di informazioni.

Gestione degli account, separazione dei compiti e privilegio minimo

Nel criterio di controllo degli accessi, definisci i parametri e le procedure in base ai quali la tua organizzazione creerà, attiverà, modificherà, disattiverà e rimuoverà gli account del sistema informativo. Definisci le condizioni in base a cui utilizzare gli account del sistema informativo.

Inoltre, identifica il periodo di tempo di inattività dopo il quale gli utenti dovranno disconnettersi da un sistema (ad esempio dopo *x* minuti, ore o giorni). Utilizza Cloud Identity, la Console di amministrazione o le configurazioni dell'applicazione per costringere gli utenti a uscire o eseguire nuovamente l'autenticazione dopo il periodo di tempo definito.

Definisci quali azioni intraprendere quando le assegnazioni di ruoli con privilegi non sono più appropriate per un utente dell'organizzazione. *Policy Intelligence di Google ha una funzionalità di motore per suggerimenti IAM che ti aiuta a rimuovere l'accesso indesiderato alle risorseGoogle Cloud utilizzando il machine learning per formulare suggerimenti intelligenti per il controllo degli accessi.

Definisci condizioni in base a cui gli account di gruppo vengano considerati appropriati. Utilizza Cloud Identity o la Console di amministrazione per creare gruppi o account di servizio. Assegna ruoli e autorizzazioni ad account di gruppo e di servizio condivisi utilizzando IAM. Utilizza gli account di servizio ove possibile. Specifica quale sia l'uso atipico di un account del sistema informativo per la tua organizzazione. Quando rilevi un utilizzo atipico, utilizza strumenti come Google Cloud Observability o *Security Command Center per avvisare gli amministratori del sistema informativo.

Segui queste linee guida per implementare questi controlli di sicurezza: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Applicazione forzata dei flussi di informazioni e accesso remoto

Nel controllo dell'accesso a livello di organizzazione, definisci i criteri di controllo del flusso di informazioni per la tua organizzazione. Identifica porte, protocolli e servizi vietati o soggetti a restrizioni. Definisci requisiti e restrizioni per le interconnessioni a sistemi interni ed esterni. Utilizza strumenti come Virtual Private Cloud per creare firewall, reti e subnet logicamente isolate. Contribuisci a controllare il flusso di informazioni implementando Cloud Load Balancing, Cloud Service Mesh e Controlli di servizio VPC.

Quando imposti i criteri per il controllo del flusso di informazioni, identifica i punti di accesso di rete controllati per la tua organizzazione. Utilizza strumenti come Identity-Aware Proxy per fornire un accesso basato sul contesto alle risorse cloud per utenti remoti e in loco. Utilizza Cloud VPN o Cloud Interconnect per fornire l'accesso sicuro e diretto ai VPC.

Imposta criteri a livello di organizzazione per l'esecuzione di comandi con privilegi e l'accesso a dati protetti tramite accesso remoto. Utilizza IAM e i Controlli di servizio VPC per limitare l'accesso a dati e carichi di lavoro sensibili.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).

Tentativi di accesso, notifica di utilizzo del sistema e chiusura della sessione

Nel criterio di controllo degli accessi, specifica per quanto tempo deve essere ritardato l'accesso di un utente a richiesta di accesso dopo oltre 3 tentativi non riusciti in un periodo di 15 minuti. Definisci le condizioni e i trigger in base a cui le sessioni utente vengono terminate o disconnesse.

Utilizza Cloud Identity Premium Edition o la Console di amministrazione per gestire i dispositivi mobili che si connettono alla tua rete, incluso i dispositivi personali degli utenti. Crea criteri di sicurezza a livello di organizzazione applicabili ai dispositivi mobili. Descrivi i requisiti e le procedure per l'espulsione e l'eliminazione dei dispositivi mobili in seguito a tentativi consecutivi di accesso non riusciti.

Sviluppa un linguaggio e notifiche relative all'uso del sistema a livello di organizzazione che forniscano norme sulla privacy, termini d'uso e avvisi di sicurezza agli utenti che accedono al sistema informativo. Definisci le condizioni in base alle quali vengono visualizzate le notifiche per l'intera organizzazione prima di concedere l'accesso agli utenti. Pub/Sub è un sistema di messaggistica globale e importazione di eventi che puoi utilizzare per inviare notifiche alle applicazioni e agli utenti finali. Puoi anche utilizzare *Chrome Enterprise Suite, che include *il browser Chrome e *Chrome OS, con la *API Push e *Notifications API per inviare notifiche e aggiornamenti agli utenti.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).

Azioni consentite, dispositivi mobili, condivisione di informazioni

Nel criterio di controllo degli accessi, definisci le azioni utente che possono essere eseguite su un sistema informativo senza identificazione e autenticazione. Utilizza IAM per regolare l'accesso degli utenti alla visualizzazione, creazione, eliminazione e modifica di risorse specifiche.

Sviluppa criteri validi in tutta l'organizzazione per la condivisione delle informazioni. Determina le circostanze in cui possono essere condivise le informazioni e quando è necessaria la discrezione dell'utente per la loro condivisione. Utilizza procedure per assistere gli utenti nella condivisione di informazioni e la collaborazione in tutta l'organizzazione. Google Workspace ha un ottimo set di funzionalità per la collaborazione e il coinvolgimento controllati tra i vari team.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: AC-14, AC-19 (05), AC-21.

Consapevolezza e formazione

Crea criteri di sicurezza e materiali di formazione associati da distribuire agli utenti e ai gruppi che si occupano di sicurezza all'interno dell'organizzazione almeno una volta all'anno. Google offre la possibilità di usufruire di Servizi professionali per la formazione degli utenti sulla sicurezza nel cloud, inclusi, a titolo esemplificativo, un coinvolgimento di Cloud Discover Security e una Valutazione della sicurezza di Google Workspace.

Aggiorna i criteri di sicurezza e la formazione inerente almeno una volta all'anno.

Il rispetto di queste linee guida è utile per l'implementazione del controllo di sicurezza AT-01.

Audit e responsabilità

Crea criteri di controllo e controlli di responsabilizzazione validi per l'intera organizzazione che delineano le procedure e i requisiti di implementazione per il personale di controllo, gli eventi e le azioni legate ai sistemi informativi del cloud.

Nel criterio di controllo dell'organizzazione, delinea gli eventi che devono essere controllati nei sistemi informativi e la frequenza di controllo. Alcuni esempi di eventi registrati sono: eventi di accesso all'account riusciti e non riusciti, eventi di gestione dell'account, accesso agli oggetti, modifica dei criteri, funzioni dei privilegi, monitoraggio dei processi ed eventi di sistema. Per le applicazioni web, gli esempi includono attività di amministrazione, controlli di autenticazione, controlli di autorizzazione, eliminazioni di dati, accesso ai dati, modifiche ai dati e modifiche delle autorizzazioni. Definisci altri eventi di interesse per la tua organizzazione.

Per le norme di controllo, ti consigliamo inoltre di specificare indicazioni relative ad attività inappropriate o insolite per la tua organizzazione. Monitora, registra e segnala queste attività regolarmente (almeno una volta alla settimana).

Utilizza Google Cloud Observability per gestire il logging, il monitoraggio e gli avvisi per Google Cloud, on-premise o in altri ambienti cloud. Utilizza Google Cloud Observability per configurare e monitorare gli eventi di sicurezza all'interno della tua organizzazione. Puoi anche utilizzare Cloud Monitoring per impostare metriche personalizzate per monitorare gli eventi definiti dall'organizzazione nei record di controllo.

Consenti ai sistemi informativi di avvisare gli amministratori in caso di errori di elaborazione dei controlli. Puoi implementare questi avvisi utilizzando strumenti come Pub/Sub e gli avvisi.

Imposta degli standard per avvisare gli amministratori entro un periodo di tempo prestabilito (ad esempio entro 15 minuti), in caso di malfunzionamento funzionale o di sistema, da includere quando i record di controllo raggiungono una determinata soglia o capacità di volume. Determina una granularità di misurazione del tempo a livello di organizzazione, sulla base di cui indicare la data e l'ora e registrare i record di controllo. Definisci il livello di tolleranza per i record con indicatore di data e ora nell'audit trail del sistema informativo (ad esempio quasi in tempo reale o entro 20 minuti).

Imposta Quote delle risorse VPC per stabilire le soglie di capacità per l'archiviazione dei record di controllo. Configura gli avvisi relativi al budget per informare gli amministratori quando la percentuale di un limite di risorse è stata raggiunta o superata.

Definisci requisiti di archiviazione validi per l'intera organizzazione per i dati e i record di controllo, in modo che includano la disponibilità degli audit log e i requisiti di conservazione. Utilizza Cloud Storage per archiviare gli audit log e BigQuery per eseguire ulteriori analisi dei log.

Segui queste linee guida per implementare questi controlli di sicurezza: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07.

Valutazione e autorizzazione della sicurezza

Sviluppa norme sulla valutazione della sicurezza e sull'autorizzazione valide in tutta l'organizzazione, in cui vengano definite le procedure e i requisiti di implementazione delle valutazioni della sicurezza e dei controlli di sicurezza e autorizzazione.

Nel criterio di valutazione e autorizzazione della sicurezza, definisci il livello di indipendenza richiesto ai team di valutazione della sicurezza per eseguire valutazioni imparziali dei sistemi informativi nel cloud. Identifica i sistemi informativi che devono essere valutati da un revisore indipendente.

Le valutazioni di sicurezza dovrebbero coprire almeno quanto segue:

  • Monitoraggio approfondito
  • Analisi delle vulnerabilità
  • Test degli utenti malintenzionati
  • Valutazione delle minacce interne
  • Test di prestazioni e di carico

La tua organizzazione deve definire requisiti e forme di valutazione della sicurezza supplementari.

Assicurati che il criterio di valutazione e autorizzazione della sicurezza specifichi le classificazioni e i requisiti dei sistemi di sicurezza, inclusi i requisiti per i sistemi di sicurezza non classificati e non nazionali.

Nei criteri di controllo del flusso di informazioni per l'organizzazione, delinea i requisiti e le restrizioni per le interconnessioni a sistemi interni ed esterni. Imposta le regole firewall VPC per consentire e negare il traffico verso i sistemi informativi e utilizza i Controlli di servizio VPC per proteggere i dati sensibili mediante parametri di sicurezza.

Imposta norme di controllo e responsabilità per l'intera organizzazione che soddisfano i requisiti di monitoraggio continuo (CA-07).

Segui queste linee guida per implementare questi controlli di sicurezza: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gestione della configurazione

Crea un criterio di gestione delle configurazioni a livello di organizzazione che definisce le procedure e i requisiti di implementazione per i controlli, i ruoli, le responsabilità, l'ambito e la conformità della gestione delle configurazioni in tutta l'organizzazione.

Standardizza i requisiti di impostazione della configurazione per i sistemi informativi e i componenti di sistema di proprietà dell'organizzazione. Fornisci procedure e requisiti operativi per la configurazione dei sistemi informativi. Indica esplicitamente il numero di versioni precedenti di una configurazione di riferimento che gli amministratori di sistema devono conservare per supportare il rollback del sistema informativo. Utilizza la suite di strumenti di gestione della configurazione di Google per controllare le configurazioni dei sistemi IT come codice e monitorare le modifiche alla configurazione utilizzando *Policy Intelligence o *Security Command Center.

Specifica i requisiti di configurazione per ciascun tipo di sistema informativo nella tua organizzazione (ad esempio cloud, on-premise, ibrido, non classificato, informazioni non classificate controllate (CUI) o classificate). Inoltre, definisci i requisiti di salvaguardia della sicurezza per i dispositivi di proprietà dell'organizzazione e BYOD (Bring Your Own Device) per includere l'identificazione di posizioni geografiche sicure e non sicure. Utilizza Identity-Aware Proxy per applicare controlli di accesso basati sul contesto ai dati di proprietà dell'organizzazione, inclusi i controlli degli accessi in base alla posizione geografica. Utilizza Cloud Identity Premium o la Console di amministrazione per applicare le configurazioni di sicurezza sui dispositivi mobili che si connettono alla rete aziendale.

Nel criterio di gestione della configurazione, definisci un elemento di controllo delle modifiche della configurazione valido per l'intera organizzazione, ad esempio un comitato o una commissione di controllo delle modifiche. Documenta la frequenza e le condizioni di incontro del comitato. Stabilisci un organo formale per la revisione e l'approvazione di modifiche alla configurazione.

Identifica le autorità di approvazione della gestione della configurazione per la tua organizzazione. Questi amministratori esaminano le richieste di modifiche ai sistemi informativi. Definisci il periodo di tempo entro cui le autorità devono approvare o non approvare le richieste di modifica. Fornisci indicazioni ai responsabili dell'implementazione delle modifiche riguardanti la notifica alle autorità di approvazione dell'avvenuta modifica del sistema informativo.

Imposta restrizioni sull'utilizzo di software open source all'interno dell'organizzazione che includano la specifica del software approvato e non approvato per l'utilizzo. Utilizza Cloud Identity o la Console di amministrazione per applicare le applicazioni e il software approvati per la tua organizzazione. Con Cloud Identity Premium, puoi attivare il Single Sign-On e l'autenticazione a più fattori per le applicazioni di terze parti.

Utilizza strumenti come gli avvisi per inviare notifiche agli amministratori della sicurezza quando vengono registrate modifiche della configurazione. Concedi l'accesso amministrativo a strumenti come Security Command Center per monitorare le modifiche della configurazione quasi in tempo reale. Con *Policy Intelligence, puoi utilizzare il machine learning per studiare le configurazioni definite dalla tua organizzazione, aumentando così la consapevolezza quando queste cambiano rispetto al riferimento.

Applica la minima funzionalità all'interno della tua organizzazione utilizzando i criteri di controllo del flusso di informazioni.

Segui queste linee guida per implementare questi controlli di sicurezza: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Pianificazione di emergenza

Sviluppa un piano di emergenza per la tua organizzazione in cui siano definite le procedure e i requisiti di implementazione relativi ai controlli dei piani di emergenza in tutta l'organizzazione. Identifica il personale, i ruoli e le responsabilità chiave per le emergenze in tutti gli elementi organizzativi.

È opportuno evidenziare le funzioni dei sistemi informativi essenziali per le operazioni e il business all'interno dell'organizzazione. Delinea i Recovery Time Objective (RTO) e i Recovery Point Objective (RPO) associati al recupero di funzioni essenziali una volta che il piano di emergenza è stato attivato.

Sistemi informativi critici per i documenti e software associati. Identifica eventuali informazioni correlate alla sicurezza supplementari e fornisci indicazioni e requisiti per l'archiviazione delle copie di backup di componenti e dati critici del sistema. Esegui il deployment delle risorse a livello globale, di area geografica e di zona di Google e delle località in tutto il mondo per un'alta disponibilità. Utilizza le classi Cloud Storage per opzioni con aree geografiche singole o multiple, backup e archiviazione. Implementa la scalabilità automatica e il bilanciamento del carico della rete globale con Cloud Load Balancing.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).

Identificazione e autenticazione

Crea un criterio di identificazione e autenticazione per la tua organizzazione che specifichi procedure di identificazione e autenticazione, ambiti, ruoli, responsabilità, gestione, entità e conformità. Specifica i controlli di identificazione e autenticazione richiesti dalla tua organizzazione. Utilizza Cloud Identity Premium o la Console di amministrazione per identificare i dispositivi aziendali e personali che possono connettersi alle risorse della tua organizzazione. Utilizza Identity-Aware Proxy per applicare l'accesso sensibile al contesto alle risorse.

Includi indicazioni sui contenuti dell'autenticatore per la tua organizzazione, sulle condizioni di riutilizzo dell'autenticazione, sugli standard per la protezione degli autenticatori e sugli standard per la modifica o l'aggiornamento degli autenticatori. Inoltre, fissa dei requisiti per l'utilizzo degli autenticatori memorizzati nella cache. Specifica i limiti di tempo per l'utilizzo degli autenticatori memorizzati nella cache e crea definizioni per la scadenza degli autenticatori memorizzati nella cache. Definisci i requisiti minimi e massimi del ciclo di vita e i periodi di tempo di aggiornamento da applicare ai sistemi informativi all'interno dell'organizzazione.

Utilizza Cloud Identity o la Console di amministrazione per applicare criteri di password relativi a sensibilità, utilizzo dei caratteri, nuova creazione o riutilizzo delle password, ciclo di vita, archiviazione e trasmissione delle password.

Delinea i requisiti di autenticazione con token per hardware e software per l'autenticazione validi in tutta l'organizzazione, inclusi, a titolo esemplificativo, requisiti della carta PIV e PKI. Puoi utilizzare i *token di sicurezza Titan per applicare requisiti di autenticazione aggiuntivi per gli amministratori e il personale con privilegi.

Nel criterio di identificazione e autenticazione, delinea i componenti del sistema informativo di identità federale, credenziali e gestione degli accessi (FICAM) che possono accettare terze parti nella tua organizzazione. Identity Platform di Google è una piattaforma di gestione di identità e accessi cliente (GIAC) che consente alle organizzazioni di aggiungere funzionalità per la gestione di identità e accessi alle applicazioni a cui hanno accesso entità esterne.

Segui queste linee guida per implementare questi controlli di sicurezza: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Risposta agli incidenti

Stabilisci criteri relativi alla risposta agli incidenti per l'organizzazione, incluse procedure per facilitare e implementare controlli della risposta agli incidenti. Crea gruppi di sicurezza per i team e le autorità di risposta agli incidenti dell'organizzazione. Utilizza strumenti come Google Cloud Observability o *Security Command Center per condividere eventi, log e dettagli degli incidenti.

Sviluppa un piano di verifica delle risposte agli incidenti, procedure ed elenchi di controllo, nonché requisiti e benchmark per misurarne l'efficacia. Specifica classi di incidenti che devono essere riconosciute nell'organizzazione e delinea le azioni associate da intraprendere in risposta a questi incidenti. Definisci le azioni che prevedi che il personale autorizzato debba intraprendere in caso di incidente. Queste azioni potrebbero essere passaggi per gestire fughe di informazioni, vulnerabilità e attacchi di cybersicurezza.Sfrutta le funzionalità di Google Workspace per scansionare e mettere in quarantena i contenuti delle email, bloccare i tentativi di phishing e impostare limitazioni sugli allegati. Utilizza Sensitive Data Protection per esaminare, classificare e anonimizzare i dati sensibili, contribuendo così a limitarne l'esposizione.

Specifica i requisiti a livello di organizzazione per la formazione relativa alla risposta agli incidenti, inclusi i requisiti di formazione per gli utenti generali e le responsabilità e i ruoli con privilegi. Applica dei requisiti di limiti di tempo per partecipare alla formazione (ad esempio entro 30 giorni dall'arrivo, con cadenza trimestrale o annuale).

Segui queste linee guida per implementare i seguenti controlli di sicurezza: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Manutenzione del sistema

Crea un criterio di manutenzione del sistema per l'organizzazione, documentando i controlli di manutenzione del sistema, i ruoli, le responsabilità, la gestione, i requisiti di coordinamento e la conformità. Definisci i parametri per la manutenzione controllata, inclusi i processi di approvazione per condurre manutenzione e riparazioni fuori sede e i tempi di risposta a livello di organizzazione per la sostituzione di dispositivi e parti danneggiati. La tua organizzazione potrà trarre vantaggio dall'eliminazione dei dati su Google Cloud, dalla sanitizzazione dei dati e delle attrezzature e dalla sicurezza e dall'innovazione dei data center di Google per la manutenzione e le riparazioni off-site.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MA-01, MA-02, MA-06.

Protezione dei contenuti multimediali

Nell'ambito dell'ATO FedRAMP di Google Cloud, soddisfiamo i requisiti di protezione dei contenuti multimediali per l'infrastruttura fisica. Consulta la pagina Infrastructure Security Design e la panoramica sulla sicurezza di Google. È poi responsabilità dell'utente soddisfare i requisiti di sicurezza delle infrastrutture virtuali.

Sviluppa un criterio di protezione dei contenuti multimediali per l'organizzazione, documentando i controlli multimediali, le norme e le procedure per la protezione, i requisiti di conformità, i ruoli e le responsabilità di gestione. Documenta le procedure per facilitare e implementare le protezioni dei contenuti multimediali valide all'interno dell'organizzazione. Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione dei contenuti multimediali e delle relative protezioni.

Specifica i tipi multimediali e gli accessi approvati per l'organizzazione, incluse limitazioni multimediali digitali e non digitali. Imposta contrassegni relativi ai contenuti multimediali ed eccezioni per la gestione dei contenuti multimediali che devono essere implementati in tutta l'organizzazione, inclusi i requisiti di contrassegni di sicurezza all'interno e all'esterno delle aree di accesso controllate. Utilizza *Data Catalog per gestire i metadati delle risorse cloud, semplificando l'individuazione dei dati. Controlla la conformità delle risorse cloud di tutta l'organizzazione, regolando la distribuzione e l'individuazione delle risorse cloud con *Service Catalog.

Identifica come sanificare, smaltire o riutilizzare i contenuti multimediali gestiti dalla tua organizzazione. Delinea i casi d'uso e le circostanze in cui sono richiesti o accettabili la sanitizzazione, lo smaltimento o il riutilizzo di contenuti multimediali e dispositivi. Definisci i metodi e i meccanismi di tutela dei contenuti multimediali ritenuti accettabili dalla tua organizzazione.

Con Google, potrai trarre vantaggio dall'eliminazione dei dati sulla Google Cloud sanitizzazione dei dati e delle attrezzature, nonché dalla sicurezza e dall'innovazione dei data center di Google. Inoltre, Cloud KMS e Cloud HSM forniscono protezione crittologica conforme a FIPS e puoi utilizzare *token di sicurezza Titan per applicare requisiti di autenticazione fisica aggiuntivi per amministratori e personale con privilegi.

Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.

Protezione fisica e ambientale

Nell'ambito di FedRAMP ATO di Google Cloud, soddisfiamo i requisiti di protezione fisica e ambientale per l'infrastruttura fisica. Consulta la pagina Infrastructure Security Design e la panoramica sulla sicurezza di Google. È poi responsabilità dell'utente soddisfare i requisiti di sicurezza delle infrastrutture virtuali.

Definisci un criterio di protezione fisica e ambientale per la tua organizzazione, specificando i controlli di protezione, le entità di protezione, gli standard di conformità, i ruoli, le responsabilità e i requisiti di gestione. Delinea come implementare la protezione fisica e ambientale in tutta l'organizzazione.

Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione delle protezioni fisiche e ambientali. Richiedi agli amministratori che hanno accesso a risorse di calcolo sensibili di utilizzare i *token di sicurezza Titan o un'altra forma di MFA per verificare l'integrità dell'accesso.

Nei criteri di protezione fisica e ambientale, definisci i requisiti di controllo di accesso fisico per l'organizzazione. Identifica i punti di ingresso e di uscita delle strutture per i siti del sistema informativo, i sistemi di protezione per il controllo dell'accesso a queste strutture e i requisiti dell'inventario. Sfrutta strumenti come *Google Maps Platform per visualizzare visivamente e monitorare strutture e punti di ingresso e uscita per le mappature della posizione. Utilizza Resource Manager e *catalogo dei servizi per controllare l'accesso alle risorse cloud, in modo che siano ben organizzate e rilevabili.

Utilizza Cloud Monitoring per configurare eventi, accessi e incidenti registrabili. Definisci gli eventi di accesso fisico di tutta l'organizzazione che devono essere registrati in Cloud Logging.

Utilizza i criteri di protezione fisica e ambientale per tenere conto di situazioni di emergenza, quali arresto d'emergenza dei sistemi informativi, alimentazione di emergenza, soppressione di incendi e risposta di emergenza. Identifica i punti di contatto da utilizzare per le risposte di emergenza, inclusi gli operatori locali che si occupano di emergenze e il personale fisico di sicurezza dell'organizzazione. Specifica i requisiti e le sedi di lavoro alternative. Specifica i controlli e il personale di sicurezza per le sedi di lavoro principali e alternative. Esegui il deployment delle risorse di Google a livello globale, di area geografica e di zona e delle sue località in tutto il mondo per un'alta disponibilità. Utilizza le classi di Cloud Storage per opzioni con aree geografiche singole o multiple, backup e archiviazione. Implementa la scalabilità automatica e il bilanciamento del carico della rete globale con Cloud Load Balancing. Crea modelli di deployment dichiarativi per definire un processo di deployment ripetibile e basato sui modelli.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.

Pianificazione della sicurezza del sistema

Sviluppa un criterio di pianificazione della sicurezza per l'organizzazione, delineando i controlli di pianificazione della sicurezza, i ruoli, le responsabilità, la gestione, le entità di pianificazione della sicurezza per l'organizzazione e i requisiti di conformità. Delinea come prevedi di implementare la pianificazione della sicurezza nella tua organizzazione.

Crea gruppi per definire il personale di pianificazione della sicurezza di conseguenza. Specifica gruppi di sicurezza per le valutazioni della sicurezza, i controlli, la manutenzione di hardware e software, la gestione delle patch e la pianificazione di emergenza per l'organizzazione. Utilizza strumenti come Google Cloud Observability o *Security Command Center per monitorare la sicurezza, la conformità e controllo dell'accesso in tutta l'organizzazione.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: PL-01, PL-02, PL-02 (03).

Sicurezza del personale

Crea un criterio di sicurezza del personale che identifichi il personale di sicurezza, i relativi ruoli e responsabilità, la modalità di implementazione della sicurezza del personale e i controlli di sicurezza del personale da applicare nell'organizzazione. Fissa condizioni che richiedano ai singoli individui di superare i controlli, i ricontrolli e un'indagine di sicurezza dell'organizzazione. Definisci i requisiti per le autorizzazioni di sicurezza all'interno dell'organizzazione.

Includi istruzioni per affrontare il licenziamento e il trasferimento del personale. Definisci le esigenze e i parametri per le interviste di uscita e gli argomenti relativi alla sicurezza che dovrebbero essere discussi durante queste interviste. Specifica entro quanto tempo è opportuno informare le entità amministrative e di sicurezza dell'organizzazione di eventuali licenziamenti, trasferimenti o riassegnazioni del personale (ad esempio, entro 24 ore). Specifica le azioni che prevedi che il personale e l'organizzazione debbano completare per un trasferimento, una riassegnazione o un licenziamento. Inoltre, delinea i requisiti per l'applicazione di sanzioni formali nei confronti dei dipendenti. Spiega quando prevedi che il personale di sicurezza e gli amministratori debbano essere informati in merito alle sanzioni applicate ai dipendenti, e spiega le procedure di sanzione.

Utilizza IAM per assegnare ruoli e autorizzazioni al personale. Aggiungi, rimuovi, disattiva e abilita i profili e gli accessi del personale in Cloud Identity o nella Console di amministrazione. Applica ulteriori requisiti di autenticazione fisica per gli amministratori e il personale con privilegi usando i *token di sicurezza Titan.

Segui queste linee guida per implementare i seguenti controlli di sicurezza: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.

Analisi del rischio

Implementa un criterio per la valutazione dei rischi che identifichi il personale incaricato di tale valutazione, i controlli della valutazione dei rischi che prevedi di applicare nell'organizzazione e le procedure per condurli. Definisci in che modo vuoi che le valutazioni dei rischi vengano documentate e comunicate. Utilizza strumenti come *Security Command Center per informare automaticamente il personale di sicurezza in merito ai rischi relativi alla sicurezza e alla posizione generale dell'organizzazione in tema di sicurezza.

Sfrutta la suite di strumenti di valutazione del rischio di Google, come Web Security Scanner, Artifact Analysis, Google Cloud Armor, e la protezione da phishing e malware di Google Workspace per eseguire scansioni e generare report sulle vulnerabilità nei sistemi di informazione della tua organizzazione. Rendi disponibili questi strumenti al personale addetto alla valutazione dei rischi e all'amministrazione per aiutarti a identificare ed eliminare le vulnerabilità.

Il rispetto di queste linee guida definisce le basi per l'implementazione dei seguenti controlli di sicurezza: RA-01, RA-03, RA-05.

Acquisizione di sistema e servizi

Sviluppa un criterio di acquisizione di sistema e servizi che delinea i ruoli e le responsabilità del personale chiave, la gestione dell'acquisizione e dei servizi, la conformità e le entità. Delinea le procedure di acquisizione di sistema e servizi e le linee guida per la loro implementazione nell'organizzazione. Definisci il ciclo di vita dello sviluppo del sistema dell'organizzazione per i sistemi informativi e la sicurezza delle informazioni. Delinea ruoli e responsabilità relativi alla sicurezza delle informazioni, il personale e il modo in cui prevedi che le norme sulla valutazione dei rischi della tua organizzazione guidino e influenzino le attività di sviluppo del sistema.

Evidenzia le procedure che prevedi di eseguire all'interno della tua organizzazione quando la documentazione del sistema informativo non è disponibile o non è definita. Rivolgiti agli amministratori del sistema informativo della tua organizzazione e al personale addetto ai servizi di sistema, in base alle necessità. Definisci eventuali corsi di formazione obbligatori per gli amministratori e gli utenti che implementano o accedono ai sistemi informativi della tua organizzazione.

Utilizza strumenti come *Security Command Center per monitorare la conformità, i risultati e i criteri per il controllo della sicurezza dell'organizzazione. Google delinea tutti i propri standard, normative e certificazioni di sicurezza per aiutare i clienti a soddisfare i requisiti e le leggi di conformità suGoogle Cloud. Inoltre, Google offre una suite di prodotti per la sicurezza per aiutare i clienti a monitorare continuamente i propri sistemi informativi, le comunicazioni e i dati sia nel cloud che on-premise.

Specifica eventuali restrizioni in base alla località per i dati, i servizi e il trattamento delle informazioni dell'organizzazione, nonché le condizioni in base alle quali i dati possono essere archiviati altrove. Google offre opzioni a livello globale, di area geografica e di zone per l'archiviazione, l'elaborazione e l'utilizzo dei dati in Google Cloud.

Utilizza il criterio di gestione delle configurazioni per regolamentare la gestione delle configurazioni degli sviluppatori per i controlli di acquisizione di sistemi e servizi e utilizza il criterio di valutazione della sicurezza e sull'autorizzazione per applicare i requisiti di valutazione e test di sicurezza per gli sviluppatori.

Segui queste linee guida per implementare questi controlli di sicurezza: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Protezione del sistema e delle comunicazioni

Crea un criterio di protezione del sistema e delle comunicazioni che delinea i ruoli e le responsabilità del personale chiave, i requisiti di implementazione per i criteri di protezione delle comunicazioni del sistema e i controlli di protezione richiesti per l'organizzazione. Identifica i tipi di attacchi denial of service riconosciuti e monitorati dalla tua organizzazione, e delinea i requisiti di protezione DoS.

Utilizza la funzionalità di osservabilità di Google Cloud per registrare, monitorare e creare avvisi in merito ad attacchi di sicurezza predefiniti a danno della tua organizzazione. Implementa strumenti come Cloud Load Balancing e Google Cloud Armor per proteggere il perimetro del cloud e sfrutta i servizi VPC come i firewall e i controlli di sicurezza della rete per proteggere la rete cloud interna.

Identifica i requisiti di disponibilità delle risorse dell'organizzazione, definisci in che modo prevedi che le risorse cloud vengano allocate all'interno dell'organizzazione e quali vincoli implementare per limitare l'utilizzo eccessivo. Utilizza strumenti come Resource Manager per controllare l'accesso alle risorse a livello di organizzazione, cartella, progetto e singola risorsa. Imposta quote delle risorse per gestire le richieste API e l'utilizzo delle risorse in Google Cloud.

Stabilisci requisiti di protezione dei confini per i tuoi sistemi informativi e le comunicazioni di sistema. Definisci i requisiti per il traffico delle comunicazioni interne e come prevedi che il traffico interno interagisca con le reti esterne. Specifica i requisiti per i server proxy e altri componenti di routing e di autenticazione di rete.

Sfrutta *Cloud Service Mesh per gestire il traffico di rete e il flusso di comunicazioni per la tua organizzazione. Utilizza Identity-Aware Proxy per controllare l'accesso alle risorse cloud in base all'autenticazione, all'autorizzazione e al contesto, incluse la posizione geografica o l'impronta digitale del dispositivo. Implementa *accesso privato Google, *Cloud VPN o *Cloud Interconnect per proteggere il traffico di rete e le comunicazioni tra risorse interne ed esterne. Utilizza la VPC per definire e proteggere le reti cloud della tua organizzazione, stabilire subnet per isolare ulteriormente le risorse e i perimetri di rete del cloud.

Google offre reti software-defined globali con opzioni a livello di area geografica singola o multipla e di zona per alta disponibilità e failover. Definisci i requisiti di errore dell'organizzazione per assicurarti che i tuoi sistemi informativi falliscano in uno stato noto. Fissa requisiti per la conservazione delle informazioni sullo stato del sistema informativo. Utilizza i gruppi di istanze gestite e i modelli di Deployment Manager per creare una nuova istanza per le risorse non riuscite o in stato non integro. Concedi agli amministratori l'accesso a Security Command Center per monitorare attivamente il livello di riservatezza, integrità e disponibilità della tua organizzazione.

Nel criterio, delinea i requisiti dell'organizzazione per la gestione delle chiavi di crittografia, inclusi i requisiti per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione di chiavi. Utilizza Cloud KMS e Cloud HSM per gestire, generare, utilizzare, ruotare, archiviare e distruggere chiavi di sicurezza conformi a FIPS nel cloud.

Google cripta i dati at-rest per impostazione predefinita, ma puoi utilizzare Cloud KMS con Compute Engine e Cloud Storage per criptare ulteriormente i dati utilizzando chiavi crittografiche. Puoi anche eseguire il deployment delle Shielded VM per applicare i controlli dell'integrità a livello di kernel su Compute Engine.

Segui queste linee guida per implementare questi controlli di sicurezza: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).

Integrità del sistema e delle informazioni

Implementa un criterio di integrità di sistema e informazioni che delinea i ruoli e le responsabilità del personale chiave, le procedure e i requisiti di implementazione dell'integrità, gli standard di conformità e i controlli di sicurezza per la tua organizzazione. Crea gruppi di sicurezza per il personale dell'organizzazione responsabili dell'integrità del sistema e delle informazioni. Delinea i requisiti di correzione delle falle per la tua organizzazione, includendo linee guida per il monitoraggio, la valutazione, l'autorizzazione, l'implementazione, la pianificazione, il benchmarking e la risoluzione dei problemi di sicurezza in tutta l'organizzazione e nei suoi sistemi informativi.

Sfrutta la suite di strumenti di sicurezza di Google, inclusi, a titolo esemplificativo:

Utilizza questi strumenti per:

  • Protezione da codice dannoso, attacchi informatici e vulnerabilità comuni.
  • Mettere in quarantena lo spam e impostare criteri per lo spam e i malware.
  • Avvisare gli amministratori in merito alle vulnerabilità.
  • Ottieni informazioni approfondite sulla tua organizzazione per la gestione centralizzata.

Utilizza strumenti come Google Cloud Observability o *Security Command Center per gestire in modo centralizzato, creare avvisi e monitorare i controlli e i risultati di sicurezza dell'organizzazione. Nello specifico, utilizza la funzionalità di monitoraggio di Google Cloud per registrare azioni amministrative, accessi ai dati ed eventi di sistema avviati da personale e utenti con privilegi all'interno della tua organizzazione. Invia notifiche agli amministratori sui messaggi di errore e sulla gestione degli errori del sistema informativo.

Definisci eventi rilevanti per la sicurezza relativi a software, firmware e informazioni dell'organizzazione (ad esempio vulnerabilità zero-day, eliminazione dei dati non autorizzata, installazione di nuovo hardware, software o firmware). Spiega i passaggi da intraprendere nel caso si verifichino questi tipi di variazioni pertinenti alla sicurezza. Specifica gli obiettivi di monitoraggio e gli indicatori di attacco a cui gli amministratori devono prestare particolare attenzione per includere informazioni essenziali da monitorare all'interno dei sistemi informativi dell'organizzazione. Definisci i ruoli e le responsabilità inerenti al monitoraggio del sistema e delle informazioni, nonché la frequenza di monitoraggio e reporting (ad esempio in tempo reale, ogni 15 minuti, ogni ora o trimestrale).

Fissa requisiti per l'analisi del traffico delle comunicazioni dei sistemi informativi all'interno dell'organizzazione. Specifica i requisiti per il rilevamento delle anomalie, inclusi i punti di sistema per il monitoraggio. *I servizi Network Intelligence Center di Google consentono di eseguire analisi approfondite delle prestazioni di rete e della sicurezza. Google dispone inoltre di solide partnership con terze parti che si integrano conGoogle Cloud per la scansione e la protezione degli endpoint e degli host cloud, ad esempio Aqua Security e Crowdstrike. Le Shielded VM consentono di proteggere i dispositivi, verificare l'autenticazione e garantire processi di avvio protetto.

Definisci il modo in cui prevedi che la tua organizzazione effettui controlli e si salvaguardi da anomalie relative alla sicurezza e violazioni dell'integrità. Utilizza strumenti come *Security Command Center o *Policy Intelligence per monitorare e rilevare le modifiche alla configurazione. Utilizza gli strumenti di +configuration management o i modelli di Deployment Manager per creare nuove istanze o bloccare le modifiche alle risorse cloud.

Nelle informazioni di sistema e nelle norme di integrità, specifica i requisiti per l'autorizzazione e l'approvazione dei servizi di rete nella tua organizzazione. Descrivi i processi di approvazione e autorizzazione per i servizi di rete. VPC è essenziale per definire reti e subnet cloud utilizzando i firewall per proteggere i perimetri di rete. I Controlli di servizio VPC consentono di applicare perimetri di sicurezza di rete aggiuntivi per i dati sensibili nel cloud.

Oltre a tutto questo, erediterai automaticamente lo stack di avvio protetto e l'infrastruttura di difesa in profondità affidabile di Google.

Segui queste linee guida per implementare questi controlli di sicurezza: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16.

Conclusione

La sicurezza e la conformità nel cloud sono un impegno comune a carico tuo e del tuo fornitore di servizi cloud (CSP). Google garantisce che l'infrastruttura fisica e i servizi corrispondenti supportino la conformità a dozzine di standard, normative e certificazioni di terze parti, ma è tua responsabilità assicurarti che tutto ciò che crei nel cloud sia conforme.

Google Cloud ti supporta nel tuo impegno verso la conformità fornendo lo stesso insieme di prodotti e funzionalità di sicurezza utilizzato da Google per proteggere la propria infrastruttura.

Passaggi successivi

  • Esplora architetture di riferimento, diagrammi e best practice su Google Cloud. Consulta il nostro Cloud Architecture Center.