Gestione degli obblighi di conformità

Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per la gestione degli obblighi di conformità.

I requisiti normativi del cloud dipendono da una combinazione di fattori, tra cui:

• Le leggi e le normative che regolano le località fisiche della tua organizzazione.
• Le leggi e le normative che si applicano alle località fisiche dei clienti.
• I requisiti normativi del tuo settore.

Questi requisiti determinano molte delle decisioni che devi prendere in merito ai controlli di sicurezza da attivare per i tuoi carichi di lavoro in Google Cloud.

Un tipico percorso di conformità passa attraverso tre fasi: valutazione, correzione delle lacune e monitoraggio continuo. Questa sezione descrive le best practice che puoi utilizzare in ogni fase.

Valuta le tue esigenze di conformità

La valutazione della conformità inizia con una revisione approfondita di tutti gli obblighi normativi e di come la tua azienda li sta implementando. Per aiutarti nella valutazione dei servizi Google Cloud, utilizza il Centro risorse per la conformità. Questo sito fornisce dettagli su quanto segue:

• Assistenza ai servizi per diverse normative
• Certificazioni e attestati Google Cloud

Puoi chiedere di collaborare con un esperto di conformità di Google per comprendere meglio il ciclo di vita della conformità in Google e come possono essere soddisfatti i tuoi requisiti.

Per ulteriori informazioni, consulta l'articolo Assicurare la conformità nel cloud (PDF).

Deployment di Assured Workloads

Assured Workloads è lo strumento di Google Cloud che si basa sui controlli di Google Cloud per aiutarti a rispettare gli obblighi di conformità. Assured Workloads ti consente di:

• Seleziona il tuo regime di conformità. Lo strumento quindi imposta automaticamente i controlli di accesso del personale di riferimento.
• Imposta la località per i dati utilizzando i criteri dell'organizzazione in modo che i dati at-rest e le risorse rimangano solo in quella regione.
• Seleziona l'opzione di gestione delle chiavi (ad esempio, il periodo di rotazione della chiave) più adatta ai tuoi requisiti di sicurezza e conformità.
• Per determinati requisiti normativi, come FedRAMP Moderate, seleziona i criteri per l'accesso da parte del personale dell'Assistenza Google (ad esempio, se hanno completato i controlli dei precedenti appropriati).
• Assicurati che le chiavi di crittografia gestite da Google siano conformi allo standard FIPS-140-2 e supportino la conformità FedRAMP Moderate. Per un ulteriore livello di controllo e separazione dei compiti, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni sulle chiavi, consulta Criptare i dati.

Esaminare i progetti base per i modelli e le best practice applicabili al proprio regime di conformità.

Google ha pubblicato progetti e guide alle soluzioni che descrivono le best practice e forniscono moduli Terraform per implementare un ambiente che ti aiuta a raggiungere la conformità. La seguente tabella elenca una selezione di progetti per la sicurezza e l'allineamento con i requisiti di conformità.

Standard	Descrizione
PCI	Progetto di sicurezza: PCI su GKE Conformità allo standard PCI Data Security Limitazione dell'ambito di conformità per gli ambienti PCI in Google Cloud Conformità PCI DSS su GKE
FedRAMP	Guida all'implementazione di FedRAMP di Google Cloud (PDF) Configurazione di un carico di lavoro a tre livelli allineato FedRAMP su Google Cloud
HIPAA	Protezione dei dati sanitari su Google Cloud (PDF) Configurazione di un carico di lavoro allineato a HIPAA utilizzando il Data Protection Toolkit (PDF)

Monitorare la conformità

La maggior parte delle normative richiede di monitorare attività specifiche, inclusi i controlli dell'accesso. Per eseguire il monitoraggio, puoi utilizzare quanto segue:

• Access Transparency, che fornisce log quasi in tempo reale quando gli amministratori di Google Cloud accedono ai tuoi contenuti.
• Logging delle regole firewall per registrare le connessioni TCP e UDP all'interno di una rete VPC per le regole che crei personalmente. Questi log possono essere utili per controllare l'accesso alla rete o per avvisare tempestivamente che la rete viene utilizzata in un modo non approvato.
• Log di flusso VPC per registrare i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
• Security Command Center Premium per monitorare la conformità a diversi standard.
• OSSEC (o un altro strumento open source) per registrare l'attività delle persone che hanno accesso amministrativo al tuo ambiente.
• Key Access Justifications per visualizzare i motivi di una richiesta di accesso alle chiavi.

Automatizza la conformità

Per aiutarti a rimanere conforme alle normative in continua evoluzione, determina se esistono modi per automatizzare i criteri di sicurezza incorporandoli nei deployment Infrastructure as Code. Ad esempio, considera quanto segue:

• Usa i progetti di sicurezza per integrare i criteri di sicurezza nelle tue distribuzioni dell'infrastruttura.

• Configurare Security Command Center per ricevere avvisi quando si verificano problemi di non conformità. Ad esempio, puoi monitorare eventuali problemi quali la disattivazione della verifica in due passaggi da parte degli utenti o gli account di servizio con privilegi in eccesso. Per ulteriori informazioni, consulta la sezione Configurare le notifiche sui risultati.

• Imposta la correzione automatica per determinate notifiche. Per saperne di più, vedi Codice di Cloud Functions.

Per ulteriori informazioni sull'automazione della conformità, consulta la pagina dedicata alla soluzione Risk and Compliance as Code (RCaC).

Passaggi successivi

Scopri di più sulla conformità con le seguenti risorse:

• Implementare i requisiti di residenza e sovranità dei dati (documento successivo di questa serie)
• Centro risorse per la conformità
• White paper sulla sicurezza di Google (PDF)
• Assured Workloads