Gerenciar obrigações de conformidade

Last reviewed 2023-07-17 UTC

Este documento no Framework da arquitetura do Google Cloud fornece práticas recomendadas para gerenciar obrigações de conformidade.

Os requisitos regulamentares para a nuvem dependem de uma combinação de fatores, incluindo:

  • As leis e regulamentos que se aplicam ao local físico da sua organização.
  • As leis e regulamentos que se aplicam ao local físico dos seus clientes.
  • Requisitos regulamentares do setor.

Esses requisitos moldam muitas das decisões que você precisa tomar sobre quais controles de segurança ativar suas cargas de trabalho no Google Cloud.

Uma jornada típica de conformidade passa por três estágios: avaliação, remediação de lacunas e monitoramento contínuo. Nesta seção, você conhecerá as práticas recomendadas que podem ser usadas durante cada etapa.

Avaliar suas necessidades de conformidade

A avaliação de conformidade começa com uma análise completa de todas as suas obrigações regulamentares e como sua empresa as está implementando. Para ajudar na sua avaliação dos serviços do Google Cloud, use a Central de recursos de compliance. Este site oferece detalhes sobre o seguinte:

  • Suporte de serviço para vários regulamentos
  • Certificações e atestados do Google Cloud

É possível solicitar um envolvimento com um especialista em conformidade do Google para entender melhor o ciclo de vida da conformidade no Google e como seus requisitos podem ser atendidos.

Para mais informações, consulte Como garantir conformidade na nuvem (PDF).

Implantar o Assured Workloads

O Assured Workloads é a ferramenta do Google Cloud criada com base nos controles do Google Cloud para você cumprir as obrigações de conformidade. Você pode fazer o seguinte com o Assured Workloads:

  • Selecione seu regime de conformidade. Em seguida, a ferramenta define automaticamente os controles de acesso da equipe de referência.
  • Defina o local dos dados usando políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
  • Selecione a opção de gerenciamento de chaves (como o período de rotação de chaves) que melhor atende às necessidades de segurança e conformidade.
  • Para determinados requisitos regulamentares, como o FedRAMP de nível médio, selecione os critérios de acesso da equipe de suporte do Google, por exemplo, se eles passaram por investigações de histórico para contratação apropriadas.
  • Use chaves de propriedade e gerenciadas pelo Google que estejam em conformidade com o FIPS-140-2 e que estejam em conformidade com o FedRAMP moderado. Para ter uma camada adicional de controle e separação de deveres, use as chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações sobre chaves, consulte Criptografar dados.

Analisar os blueprints de modelos e práticas recomendadas que se aplicam ao seu regime de conformidade

O Google publicou blueprints e guias de soluções que descrevem as práticas recomendadas e que fornecem módulos do Terraform para permitir que você implemente um ambiente que ajudará você a alcançar a conformidade. A tabela a seguir lista uma seleção de blueprints que abordam a segurança e o alinhamento com os requisitos de conformidade.

PadrãoDescrição
PCI
FedRAMP
HIPAA

Monitorar a conformidade

A maioria das regulamentações exige que você monitore determinadas atividades, incluindo controles de acesso. Para ajudar no monitoramento, você pode usar o seguinte:

  • Transparência no acesso, que fornece registros quase em tempo real quando os administradores do Google Cloud acessam seu conteúdo.
  • A geração de registros de regras de firewall para gravar conexões TCP e UDP dentro de uma rede VPC para qualquer regra que você criar. Esses registros podem ser úteis para auditar o acesso à rede ou fornecer aviso antecipado de que a rede está sendo usada de maneira não aprovada.
  • Os registros de fluxo de VPC para registrar os fluxos de tráfego de rede enviados ou recebidos por instâncias de VM.
  • Security Command Center Premium para verificar a conformidade com vários padrões.
  • OSSEC (ou outra ferramenta de código aberto) para registrar a atividade de indivíduos que têm acesso de administrador ao ambiente.
  • Justificativas de acesso às chaves para visualizar os motivos das solicitações.

Automatize a conformidade

Para garantir a conformidade com as regulamentações em constante mudança, determine se você pode automatizar as políticas de segurança incorporando-as à infraestrutura como implantações de código. Por exemplo, considere o seguinte:

  • Use blueprints de segurança para integrar as políticas de segurança às implantações de infraestrutura.

  • Configure o Security Command Center para alertar quando ocorrerem problemas de não conformidade. Por exemplo, monitore para identificar problemas como usuários que desativam a verificação em duas etapas ou contas de serviço com privilégios em excesso. Para saber mais, consulte Como configurar as notificações de localização.

  • Configurar a correção automática para notificações específicas. Para mais informações, consulte Código do Cloud Functions.

Para mais informações sobre a automação de conformidade, consulte a solução de Risco e conformidade como código (RCaC, na sigla em inglês).

A seguir

Saiba mais sobre compliance com os seguintes recursos: