Gestione degli obblighi di conformità

Questo documento del framework dell'architettura di Google Cloud fornisce le best practice per la gestione delle obbligazioni di conformità.

I requisiti normativi del cloud dipendono da una combinazione di fattori, tra cui:

• Le leggi e le normative che si applicano alle sedi fisiche della tua organizzazione.
• Le leggi e le normative vigenti nelle località fisiche dei tuoi clienti.
• I requisiti normativi del tuo settore.

Questi requisiti definiscono molte delle decisioni da prendere quali controlli di sicurezza abilitare per i carichi di lavoro in Google Cloud.

Un tipico percorso di conformità attraversa tre fasi: valutazione, lacune correzione e monitoraggio continuo. Questa sezione descrive le best practice da utilizzare durante ciascuna fase.

Valuta le tue esigenze di conformità

La valutazione della conformità inizia con un'analisi completa di tutte le normative gli obblighi di sicurezza e il modo in cui la tua attività li sta implementando. Per aiutarti nella valutazione dei servizi Google Cloud, utilizza il Centro risorse per la conformità. Questo sito fornisce informazioni dettagliate su quanto segue:

• Assistenza per i servizi per varie normative
• Certificazioni e attestazioni Google Cloud

Tu possono chiedere un coinvolgimento con un esperto di conformità Google per comprendere meglio il ciclo di vita della conformità di Google e come soddisfare le tue esigenze.

Per ulteriori informazioni, consulta Garantire la conformità nel cloud (PDF).

Esegui il deployment di Assured Workloads

Assured Workloads è lo strumento Google Cloud che si basa sui controlli di Google Cloud per aiutarti a soddisfare i tuoi obblighi di conformità. Assured Workloads ti consente di svolgere le seguenti operazioni:

• Seleziona il tuo regime di conformità. Lo strumento imposta quindi automaticamente controlli di base dell'accesso del personale.
• Imposta la posizione dei tuoi dati utilizzando i criteri dell'organizzazione, in modo che e i dati inattivi rimangono solo in quella regione.
• Seleziona l'opzione di gestione delle chiavi (ad esempio il periodo di rotazione della chiave) che la soluzione più adatta ai tuoi requisiti di sicurezza e conformità.
• Per determinati requisiti normativi, come FedRAMP Moderate, seleziona i criteri per l'accesso del personale dell'Assistenza Google (ad esempio se ha completato i controlli dei precedenti appropriati).
• Utilizza chiavi di proprietà e gestite da Google conformi allo standard FIPS-140-2 e supportano la conformità a FedRAMP Moderate. Per un maggiore livello di controllo e la separazione dei compiti, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni sulle chiavi, consulta Cripta i dati.

Esaminare i progetti base per i modelli e le best practice applicabili al proprio regime di conformità.

Google ha pubblicato progetti e guide alle soluzioni che descrivono meglio e che forniscono moduli Terraform per consentirti di implementare un ambiente che aiuta a raggiungere la conformità. La tabella seguente elenca una selezione di blueprint che si occupano della sicurezza e dell'allineamento ai requisiti di conformità.

Standard	Descrizione
PCI	Progetto di sicurezza: PCI on GKE Conformità allo standard di sicurezza dei dati PCI Limitazione dell'ambito di conformità per gli ambienti PCI in Google Cloud Conformità PCI DSS su GKE
FedRAMP	Guida all'implementazione FedRAMP di Google Cloud (PDF) L'impostazione di un Carico di lavoro a tre livelli allineato a FedRAMP su Google Cloud
HIPAA	Protezione dei dati sanitari su Google Cloud (PDF) Configurazione di un progetto conforme a HIPAA tramite Data Protection Toolkit (PDF)

Monitora la conformità

La maggior parte delle normative richiede il monitoraggio di particolari attività, tra cui il controllo dell'accesso. Per facilitare il monitoraggio, puoi utilizzare quanto segue:

• Trasparenza degli accessi, che fornisce log in tempo quasi reale quando gli amministratori di Google Cloud accedono ai tuoi contenuti.
• Log delle regole firewall per registrare le connessioni TCP e UDP all'interno di una rete VPC per le regole che crei autonomamente. Questi log possono essere utili per controllare l'accesso alla rete o per avvisare tempestivamente che la rete è utilizzata in una in modo non approvato.
• Log di flusso VPC per registrare i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
• Security Command Center Premium per monitorare la conformità a vari standard.
• OSSEC (o un altro strumento open source) per registrare l'attività delle persone che hanno l'accesso amministrativo all'ambiente.
• Key Access Justifications per visualizzare i motivi di una richiesta di accesso alle chiavi.

Automatizza la conformità

Per aiutarti a mantenere la conformità alle normative in evoluzione, determina se esistono modi per automatizzare i criteri di sicurezza incorporandoli nei deployment Infrastructure as Code. Ad esempio, considera quanto segue:

• Utilizza i progetti base di sicurezza per integrare i criteri di sicurezza nei deployment dell'infrastruttura.

• Configurare Security Command Center per ricevere avvisi quando si verificano problemi di non conformità. Ad esempio, monitora eventuali problemi come la disattivazione da parte degli utenti della verifica in due passaggi o degli account di servizio con privilegi in eccesso. Per ulteriori informazioni, consulta la sezione Configurare le notifiche sui risultati.

• Configura la correzione automatica per determinate notifiche. Per ulteriori informazioni, consulta il codice di Cloud Functions.

Per ulteriori informazioni sull'automazione della conformità, consulta Soluzione RCaC (Risk and Compliance as Code).

Passaggi successivi

Scopri di più sulla conformità con le seguenti risorse:

• Implementare i requisiti di localizzazione e sovranità dei dati (documento successivo di questa serie)
• Centro risorse per la conformità
• Whitepaper sulla sicurezza di Google (PDF)
• Assured Workloads