Gestione degli obblighi di conformità

Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per la gestione degli obblighi di conformità.

I requisiti normativi per il cloud dipendono da una combinazione di fattori, tra cui:

• Le leggi e le normative che applicano le sedi fisiche della tua organizzazione.
• Le leggi e le normative che si applicano alle sedi fisiche dei clienti.
• I requisiti normativi del tuo settore.

Questi requisiti definiscono molte delle decisioni su quali controlli di sicurezza abilitare per i carichi di lavoro in Google Cloud.

Un tipico percorso di conformità attraversa tre fasi: valutazione, correzione delle lacune e monitoraggio continuo. Questa sezione illustra le best practice che puoi usare in ogni fase.

Valuta le tue esigenze di conformità

La valutazione della conformità inizia con un'attenta analisi di tutti gli obblighi normativi e di come l'azienda li sta implementando. Per aiutarti con la valutazione dei servizi Google Cloud, utilizza il Centro risorse per la conformità. Questo sito fornisce dettagli su quanto segue:

• Assistenza per diverse normative
• Certificazioni e attestazioni di Google Cloud

Puoi chiedere un coinvolgimento con uno specialista della conformità di Google per comprendere meglio il ciclo di vita della conformità in Google e come soddisfare i tuoi requisiti.

Per ulteriori informazioni, vedi Assicurare la conformità nel cloud (PDF).

Esegui il deployment di Assured Workloads

Assured Workloads è lo strumento di Google Cloud che si basa sui controlli all'interno di Google Cloud per aiutarti a soddisfare i tuoi obblighi di conformità. Assured Workloads ti consente di:

• Seleziona il tuo regime di conformità. Lo strumento imposta quindi automaticamente i controlli di base per l'accesso del personale.
• Imposta la località dei dati utilizzando i criteri dell'organizzazione, in modo che i dati at-rest e le risorse rimangano solo in quella regione.
• Seleziona l'opzione di gestione delle chiavi (ad esempio il periodo di rotazione della chiave) più adatta ai tuoi requisiti di sicurezza e conformità.
• Per determinati requisiti normativi, come FedRAMP Moderate, seleziona i criteri per l'accesso da parte del personale dell'Assistenza Google (ad esempio, se hanno completato i controlli dei precedenti appropriati).
• Utilizza chiavi di proprietà di Google e gestite da Google che siano conformi a FIPS-140-2 e che supportano la conformità FedRAMP Moderate. Per un ulteriore livello di controllo e separazione dei compiti, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni sulle chiavi, consulta Crittografia dei dati.

Esaminare i progetti base per i modelli e le best practice applicabili al proprio regime di conformità.

Google ha pubblicato progetti e guide alle soluzioni che descrivono le best practice e forniscono moduli Terraform per consentirti di implementare un ambiente che ti aiuti a ottenere la conformità. La tabella seguente elenca una selezione di progetti per la sicurezza e l'allineamento con i requisiti di conformità.

Standard	Descrizione
PCI	Progetto di sicurezza: PCI su GKE Conformità allo standard di sicurezza dei dati PCI Limitazione dell'ambito di conformità per gli ambienti PCI in Google Cloud Conformità PCI DSS su GKE
FedRAMP	Guida all'implementazione di FedRAMP Google Cloud (PDF) Configurazione di un carico di lavoro a tre livelli allineato a FedRAMP su Google Cloud
HIPAA	Protezione dei dati sanitari su Google Cloud (PDF) Configurazione di un carico di lavoro allineato HIPAA utilizzando Data Protection Toolkit (PDF)

Monitora la conformità

La maggior parte delle normative richiede di monitorare determinate attività, inclusi i controlli dell'accesso. Per facilitare il monitoraggio, puoi utilizzare quanto segue:

• Access Transparency, che fornisce log quasi in tempo reale quando gli amministratori di Google Cloud accedono ai tuoi contenuti.
• Logging delle regole firewall per registrare le connessioni TCP e UDP all'interno di una rete VPC per tutte le regole che crei autonomamente. Questi log possono essere utili per controllare l'accesso alla rete o per fornire preavvisi relativi a un utilizzo non approvato della rete.
• Log di flusso VPC per registrare i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
• Security Command Center Premium per monitorare la conformità a vari standard.
• OSSEC (o un altro strumento open source) per registrare l'attività delle persone che hanno accesso amministrativo al tuo ambiente.
• Key Access Justifications per visualizzare i motivi di una richiesta di accesso alla chiave.

Automatizza la conformità

Per aiutarti a rimanere conforme alle normative in continua evoluzione, determina se esistono modi per automatizzare i criteri di sicurezza incorporandoli nelle tue implementazioni di Infrastructure as Code. Ad esempio, considera quanto segue:

• Utilizza i progetti di sicurezza per integrare i criteri di sicurezza nei deployment dell'infrastruttura.

• Configurare Security Command Center per ricevere avvisi quando si verificano problemi di non conformità. Ad esempio, monitora eventuali problemi come la disattivazione da parte degli utenti della verifica in due passaggi o degli account di servizio con privilegi in eccesso. Per ulteriori informazioni, consulta la sezione Configurare le notifiche sui risultati.

• Impostare la correzione automatica per determinate notifiche. Per ulteriori informazioni, consulta Codice di Cloud Functions.

Per ulteriori informazioni sull'automazione della conformità, consulta Soluzione RCaC (Risk and Compliance as Code).

Passaggi successivi

Scopri di più sulla conformità con le seguenti risorse:

• Implementare i requisiti di residenza e sovranità dei dati (prossimo documento di questa serie)
• Centro risorse per la conformità
• White paper sulla sicurezza di Google (PDF)
• Assured Workloads