Gestione degli obblighi di conformità

Questo documento del framework dell'architettura di Google Cloud fornisce le best practice per la gestione delle obbligazioni di conformità.

I requisiti normativi del cloud dipendono da una combinazione di fattori, tra cui:

• Le leggi e le normative che si applicano alle sedi fisiche della tua organizzazione.
• Le leggi e le normative vigenti nelle località fisiche dei tuoi clienti.
• I requisiti normativi del tuo settore.

Questi requisiti determinano molte delle decisioni da prendere in merito ai controlli di sicurezza da attivare per i carichi di lavoro in Google Cloud.

Un tipico percorso di conformità passa attraverso tre fasi: la valutazione, la correzione delle lacune e il monitoraggio continuo. Questa sezione descrive le best practice da utilizzare durante ciascuna fase.

Valuta le tue esigenze di conformità

La valutazione della conformità inizia con un'attenta revisione di tutti gli obblighi normativi e di come la tua attività li sta implementando. Per aiutarti nella valutazione dei servizi Google Cloud, utilizza il Centro risorse per la conformità. Questo sito fornisce informazioni dettagliate su quanto segue:

• Assistenza per i servizi per varie normative
• Certificazioni e attestazioni Google Cloud

Puoi chiedere di coinvolgere uno specialista della conformità Google per comprendere meglio il ciclo di vita della conformità in Google e come soddisfare i requisiti.

Per ulteriori informazioni, consulta Garantire la conformità nel cloud (PDF).

Esegui il deployment di Assured Workloads

Assured Workloads è lo strumento Google Cloud che si basa sui controlli di Google Cloud per aiutarti a soddisfare i tuoi obblighi di conformità. Assured Workloads ti consente di:

• Seleziona il regime di conformità. Lo strumento imposta automaticamente i controlli di accesso del personale di riferimento.
• Imposta la posizione dei dati utilizzando i criteri dell'organizzazione in modo che i dati at-rest e le risorse rimangano solo in quella regione.
• Seleziona l'opzione di gestione delle chiavi (ad esempio il periodo di rotazione della chiave) che meglio si adatta ai tuoi requisiti di sicurezza e conformità.
• Per determinati requisiti normativi, come FedRAMP Moderate, seleziona i criteri per l'accesso del personale dell'Assistenza Google (ad esempio se ha completato i controlli dei precedenti appropriati).
• Utilizza chiavi di proprietà e gestite da Google conformi allo standard FIPS-140-2 e supportano la conformità a FedRAMP Moderate. Per un ulteriore livello di controllo e di separazione delle responsabilità, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni sulle chiavi, consulta Criptare i dati.

Esaminare i progetti base per i modelli e le best practice applicabili al proprio regime di conformità.

Google ha pubblicato progetti base e guide alle soluzioni che descrivono le best practice e forniscono moduli Terraform per consentirti di eseguire il provisioning e la configurazione di un ambiente che ti aiuti a raggiungere la conformità. La tabella seguente elenca una selezione di blueprint che si occupano della sicurezza e dell'allineamento ai requisiti di conformità.

Standard	Descrizione
PCI	Progetto di sicurezza: PCI su GKE Conformità allo standard di sicurezza dei dati PCI Limitazione dell'ambito di conformità per gli ambienti PCI in Google Cloud Conformità PCI DSS su GKE
FedRAMP	Guida all'implementazione FedRAMP di Google Cloud (PDF) Configurazione di un carico di lavoro a tre livelli allineato a FedRAMP su Google Cloud
HIPAA	Protezione dei dati sanitari su Google Cloud (PDF) Configurazione di un progetto conforme a HIPAA tramite Data Protection Toolkit (PDF)

Monitora la conformità

La maggior parte delle normative richiede il monitoraggio di particolari attività, tra cui il controllo dell'accesso. Per facilitare il monitoraggio, puoi utilizzare quanto segue:

• Access Transparency, che fornisce log in tempo quasi reale quando gli amministratori di Google Cloud accedono ai tuoi contenuti.
• Registrazione delle regole firewall per registrare le connessioni TCP e UDP all'interno di una rete VPC per le regole che crei autonomamente. Questi log possono essere utili per controllare l'accesso alla rete o per avvisare preventivamente che la rete viene utilizzata in un modo non approvato.
• Log di flusso VPC per registrare i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
• Security Command Center Premium per monitorare la conformità a vari standard.
• OSSEC (o un altro strumento open source) per registrare l'attività delle persone che hanno accesso amministrativo al tuo ambiente.
• Key Access Justifications per visualizzare i motivi di una richiesta di accesso alle chiavi.

Automatizza la conformità

Per aiutarti a mantenere la conformità alle normative in evoluzione, determina se esistono modi per automatizzare i criteri di sicurezza incorporandoli nei deployment Infrastructure as Code. Ad esempio, prendi in considerazione quanto indicato di seguito:

• Utilizza i progetti base di sicurezza per integrare i criteri di sicurezza nei deployment dell'infrastruttura.

• Configurare Security Command Center per ricevere avvisi quando si verificano problemi di non conformità. Ad esempio, monitora la presenza di problemi come la disattivazione della verifica in due passaggi da parte degli utenti o account di servizio con privilegi eccessivi. Per ulteriori informazioni, vedi Configurare le notifiche relative ai risultati.

• Configurare la correzione automatica per determinate notifiche.

Per ulteriori informazioni sull'automazione della conformità, consulta la soluzione RCaC (Risk and Compliance as Code).

Passaggi successivi

Scopri di più sulla conformità con le seguenti risorse:

• Implementare i requisiti di localizzazione e sovranità dei dati (documento successivo di questa serie)
• Centro risorse per la conformità
• Whitepaper sulla sicurezza di Google (PDF)
• Assured Workloads