Gerenciar obrigações de conformidade

Este documento no Framework da arquitetura do Google Cloud fornece práticas recomendadas para gerenciar obrigações de conformidade.

Os requisitos regulamentares para a nuvem dependem de uma combinação de fatores, incluindo:

• As leis e regulamentos que se aplicam ao local físico da sua organização.
• As leis e regulamentos que se aplicam ao local físico dos seus clientes.
• Requisitos regulamentares do setor.

Esses requisitos moldam muitas das decisões que você precisa tomar sobre quais controles de segurança ativar suas cargas de trabalho no Google Cloud.

Uma jornada típica de conformidade passa por três estágios: avaliação, remediação de lacunas e monitoramento contínuo. Nesta seção, você conhecerá as práticas recomendadas que podem ser usadas durante cada etapa.

Avaliar suas necessidades de conformidade

A avaliação de conformidade começa com uma análise completa de todas as suas obrigações regulamentares e como sua empresa as está implementando. Para ajudar na sua avaliação dos serviços do Google Cloud, use a Central de recursos de conformidade. Este site oferece detalhes sobre o seguinte:

• Suporte de serviço para vários regulamentos
• Certificações e atestados do Google Cloud

É possível solicitar um engajamento com um especialista em conformidade do Google para entender melhor o ciclo de vida da conformidade no Google e como os requisitos podem ser atendidos.

Para mais informações, consulte Como garantir conformidade na nuvem (PDF).

Implantar o Assured Workloads

O Assured Workloads é a ferramenta do Google Cloud criada com base nos controles do Google Cloud para você cumprir as obrigações de conformidade. Você pode fazer o seguinte com o Assured Workloads:

• Selecione seu regime de conformidade. Em seguida, a ferramenta define automaticamente os controles de acesso da equipe de referência.
• Defina o local dos dados usando políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
• Selecione a opção de gerenciamento de chaves (como o período de rotação de chaves) que melhor atende às necessidades de segurança e conformidade.
• Para determinados requisitos regulamentares, como o FedRAMP de nível médio, selecione os critérios de acesso da equipe de suporte do Google, por exemplo, se eles passaram por investigações de histórico para contratação apropriadas.
• Verifique se as chaves de criptografia gerenciadas pelo Google estão em conformidade com o FIPS-140-2 e sejam compatíveis com a conformidade do FedRAMP de nível médio. Para ter uma camada adicional de controle e separação de deveres, use as chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações sobre chaves, consulte Criptografar dados.

Analisar os blueprints de modelos e práticas recomendadas que se aplicam ao seu regime de conformidade

O Google publicou blueprints e guias de soluções que descrevem as práticas recomendadas e que fornecem módulos do Terraform para permitir que você implemente um ambiente que ajudará você a alcançar a conformidade. A tabela a seguir lista uma seleção de blueprints que abordam a segurança e o alinhamento com os requisitos de conformidade.

Padrão	Descrição
PCI	Blueprint de segurança: PCI no GKE Conformidade com o padrão de segurança de dados do PCI Como limitar o escopo de conformidade para ambientes PCI no Google Cloud Conformidade com PCI DSS no GKE
FedRAMP	Guia de implementação do FedRAMP do Google Cloud (PDF) Como configurar uma carga de trabalho de três níveis alinhada no FedRAMP no Google Cloud
HIPAA	Como proteger dados de saúde no Google Cloud (PDF) Como configurar uma carga de trabalho em conformidade com a HIPAA usando ferramentas de proteção de dados (PDF)

Monitorar a conformidade

A maioria das regulamentações exige que você monitore determinadas atividades, incluindo controles de acesso. Para ajudar no monitoramento, você pode usar o seguinte:

• Transparência no acesso, que fornece registros quase em tempo real quando os administradores do Google Cloud acessam seu conteúdo.
• A geração de registros de regras de firewall para gravar conexões TCP e UDP dentro de uma rede VPC para qualquer regra que você criar. Esses registros podem ser úteis para auditar o acesso à rede ou fornecer aviso antecipado de que a rede está sendo usada de maneira não aprovada.
• Os registros de fluxo de VPC registram os fluxos de tráfego de rede enviados ou recebidos por instâncias de VM.
• Security Command Center Premium para verificar a conformidade com vários padrões.
• OSSEC (ou outra ferramenta de código aberto) para registrar a atividade de indivíduos que têm acesso de administrador ao ambiente.
• Justificativas do acesso às chaves para visualizar os motivos das solicitações.

Automatize a conformidade

Para garantir a conformidade com as regulamentações em constante mudança, determine se você pode automatizar as políticas de segurança incorporando-as à infraestrutura como implantações de código. Por exemplo, considere o seguinte:

• Use blueprints de segurança para integrar as políticas de segurança às implantações de infraestrutura.

• Configure o Security Command Center para alertar quando ocorrerem problemas de não conformidade. Por exemplo, monitore para identificar problemas como usuários que desativam a verificação em duas etapas ou contas de serviço com privilégios em excesso. Para saber mais, consulte Como configurar as notificações de localização.

• Configurar a correção automática para notificações específicas. Para mais informações, consulte Código do Cloud Functions.

Para mais informações sobre a automação de conformidade, consulte a solução de Risco e conformidade como código (RCaC, na sigla em inglês).

A seguir

Saiba mais sobre compliance com os seguintes recursos:

• Implemente requisitos de residência e soberania de dados (próximo documento desta série).
• Central de recursos de conformidade
• Artigo sobre segurança do Google (PDF)
• Assured Workloads