Questo principio del pilastro della sicurezza del Google Cloud Architecture Framework ti aiuta a identificare e soddisfare i requisiti normativi, di conformità e di privacy per i deployment cloud. Questi requisiti influiscono su molte delle decisioni da prendere in merito ai controlli di sicurezza da utilizzare per i carichi di lavoro in Google Cloud.
Panoramica dei principi
Soddisfare le esigenze normative, di conformità e di privacy è una sfida inevitabile per tutte le attività. I requisiti normativi del cloud dipendono da diversi fattori, tra cui:
- Le leggi e le normative vigenti nelle sedi fisiche della tua organizzazione
- Le leggi e le normative vigenti per le sedi fisiche dei tuoi clienti
- Requisiti normativi del tuo settore
I regolamenti sulla privacy definiscono le modalità di ottenimento, elaborazione, archiviazione e gestione dei dati degli utenti. I tuoi dati sono di tua proprietà, inclusi quelli che ricevi dai tuoi utenti. Pertanto, molti controlli per la privacy sono a tua responsabilità, inclusi i controlli per i cookie, la gestione delle sessioni e l'ottenimento dell'autorizzazione dell'utente.
I consigli per implementare questo principio sono raggruppati nelle seguenti sezioni:
- Suggerimenti per gestire i rischi organizzativi
- Consigli per soddisfare le obbligazioni normative e di conformità
- Suggerimenti per gestire la sovranità dei dati
- Suggerimenti per soddisfare i requisiti relativi alla privacy
Consigli per affrontare i rischi organizzativi
Questa sezione fornisce consigli per aiutarti a identificare e risolvere i rischi per la tua organizzazione.
Identificare i rischi per la tua organizzazione
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Prima di creare e implementare risorse su Google Cloud, completa una valutazione del rischio. Questa valutazione dovrebbe determinare le funzionalità di sicurezza necessarie per soddisfare i requisiti di sicurezza interni e i requisiti normativi esterni.
La valutazione del rischio fornisce un catalogo di rischi specifici per l'organizzazione e ti informa sulla capacità dell'organizzazione di rilevare e contrastare le minacce alla sicurezza. Devi eseguire un'analisi dei rischi immediatamente dopo il deployment e ogni volta che cambiano le esigenze della tua attività, i requisiti normativi o le minacce alla tua organizzazione.
Come indicato nel principio Implementa la sicurezza per progettazione, i rischi per la sicurezza in un ambiente cloud sono diversi da quelli on-premise. Questa differenza è dovuta al modello di responsabilità condivisa nel cloud, che varia in base al servizio (IaaS, PaaS o SaaS) e al tuo utilizzo. Utilizza un framework di valutazione del rischio specifico per il cloud come Cloud Controls Matrix (CCM). Utilizza la definizione di modelli di minacce, come la definizione di modelli di minacce per le applicazioni OWASP, per identificare e risolvere le vulnerabilità. Per ricevere assistenza da esperti per le valutazioni dei rischi, contatta il rappresentante del tuo account Google o consulta la directory dei partner di Google Cloud.
Dopo aver catalogato i rischi, devi stabilire come affrontarli, ovvero se accettarli, evitarli, trasferirli o mitigarli. Per i controlli di mitigazione che puoi implementare, consulta la sezione successiva sulla mitigazione dei rischi.
Riduci i rischi
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Quando adotti nuovi servizi cloud pubblici, puoi mitigare i rischi utilizzando controlli tecnici, protezioni contrattuali e verifiche o attestazioni di terze parti.
I controlli tecnici sono funzionalità e tecnologie che utilizzi per proteggere il tuo ambiente. Sono inclusi i controlli di sicurezza cloud integrati come firewall e logging. I controlli tecnici possono includere anche l'utilizzo di strumenti di terze parti per rafforzare o supportare la tua strategia di sicurezza. Esistono due categorie di controlli tecnici:
- Puoi implementare i controlli di sicurezza di Google Cloudper contribuire a mitigare i rischi che si applicano al tuo ambiente. Ad esempio, puoi proteggere la connessione tra le tue reti on-premise e le tue reti cloud utilizzando Cloud VPN e Cloud Interconnect.
- Google dispone di solidi controlli e audit interni per proteggere i dati dei clienti dall'accesso di personale interno. I nostri log di controllo forniscono log in tempo quasi reale degli accessi degli amministratori Google su Google Cloud.
Le protezioni contrattuali si riferiscono agli impegni legali assunti da Google in merito aiGoogle Cloud servizi. Google si impegna a mantenere ed espandere il suo portfolio di conformità. L'Addendum per il trattamento dei dati Cloud (ATDC) descrive i nostri impegni in materia di trattamento e sicurezza dei tuoi dati. L'ATDC illustra inoltre i controlli di accesso che limitano l'accesso degli ingegneri dell'assistenza Google agli ambienti dei clienti e descrive la nostra rigorosa procedura di registrazione e approvazione. Ti consigliamo di esaminare i controlli contrattuali di Google Cloudinsieme ai tuoi esperti legali e normativi e di verificare che soddisfino i tuoi requisiti. Per ulteriori informazioni, contatta il rappresentante dell'account tecnico.
Le verifiche o attestazioni di terze parti si riferiscono al controllo del fornitore cloud da parte di un fornitore di terze parti per garantire che il fornitore soddisfi i requisiti di conformità. Ad esempio, per informazioni sulle Google Cloud attestazioni relative alle linee guida ISO/IEC 27017, consulta ISO/IEC 27017 - Conformità. Per visualizzare le Google Cloud certificazioni e le lettere di attestazione attuali, visita il Centro risorse per la conformità.
Consigli per soddisfare le obbligazioni normative e di conformità
Un tipico percorso di conformità prevede tre fasi: la valutazione, la correzione delle lacune e il monitoraggio continuo. Questa sezione fornisce consigli che puoi utilizzare durante ciascuna di queste fasi.
Valuta le tue esigenze di conformità
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La valutazione della conformità inizia con un'attenta revisione di tutti gli obblighi normativi e di come la tua attività li sta implementando. Per aiutarti nella valutazione dei Google Cloud servizi, utilizza il Centro risorse per la conformità. Questo sito fornisce informazioni su quanto segue:
- Assistenza per i servizi per varie normative
- Google Cloud certificazioni e attestati
Per comprendere meglio il ciclo di vita della conformità in Google e come soddisfare i requisiti, puoi contattare il team di vendita per richiedere l'aiuto di uno specialista della conformità Google. In alternativa, puoi contattare il tuo Google Cloud account manager per richiedere un seminario sulla conformità.
Per ulteriori informazioni sugli strumenti e sulle risorse che puoi utilizzare per gestire la sicurezza e la conformità per i carichi di lavoro, consulta Garantire la conformità nel cloud. Google Cloud
Automatizza l'implementazione dei requisiti di conformità
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Per aiutarti a rispettare le normative in evoluzione, determina se puoi automatizzare l'implementazione dei requisiti di conformità. Puoi utilizzare sia le funzionalità incentrate sulla conformità fornite da Google Cloud sia i blueprint che utilizzano le configurazioni consigliate per un determinato regime di conformità.
Assured Workloads si basa sui controlli di Google Cloud per aiutarti a soddisfare i tuoi obblighi di conformità. Assured Workloads ti consente di:
- Seleziona il regime di conformità. Lo strumento imposta automaticamente i controlli di accesso del personale di riferimento per il regime selezionato.
- Imposta la posizione dei dati utilizzando i criteri dell'organizzazione in modo che i dati at-rest e le risorse rimangano solo in quella regione.
- Seleziona l'opzione di gestione delle chiavi (ad esempio il periodo di rotazione delle chiavi) che meglio soddisfa i tuoi requisiti di sicurezza e conformità.
- Seleziona i criteri di accesso per il personale dell'Assistenza Google per soddisfare determinati requisiti normativi, come FedRAMP Moderate. Ad esempio, puoi selezionare se il personale dell'Assistenza Google ha completato i controlli dei precedenti appropriati.
- Utilizzare risorse di proprietà di Google Google-owned and Google-managed encryption key conformi a FIPS-140-2 e che supportano la conformità FedRAMP Moderate. Per un ulteriore livello di controllo e per la separazione delle responsabilità, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni sulle chiavi, consulta Criptare i dati at-rest e in transito.
Oltre ad Assured Workloads, puoi utilizzare Google Cloud blueprint pertinenti al tuo regime di conformità. Puoi modificare questi progetti base per incorporare i criteri di sicurezza nei deployment dell'infrastruttura.
Per aiutarti a creare un ambiente che supporti i tuoi requisiti di conformità, le guide alle soluzioni e ai progetti di Google includono configurazioni consigliate e forniscono moduli Terraform. La tabella seguente elenca i blueprint che si occupano di sicurezza e allineamento ai requisiti di conformità.
Requisito | Progetti e guide alle soluzioni |
---|---|
FedRAMP | |
HIPAA |
Monitora la conformità
Questo consiglio è pertinente per le seguenti aree di interesse:
- Governance, rischio e conformità del cloud
- Logging, monitoraggio e controllo
La maggior parte delle normative richiede il monitoraggio di particolari attività, tra cui quelle relative all'accesso. Per facilitare il monitoraggio, puoi utilizzare quanto segue:
- Access Transparency: visualizza i log in tempo quasi reale quando gli amministratori accedono ai tuoi contenuti. Google Cloud
- Registrazione delle regole firewall: registra le connessioni TCP e UDP all'interno di una rete VPC per tutte le regole che crei. Questi log possono essere utili per controllare l'accesso alla rete o per fornire un avviso in anteprima che la rete viene utilizzata in un modo non approvato.
- Log di flusso VPC: registrano i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
- Security Command Center Premium: monitora la conformità a vari standard.
- OSSEC (o un altro strumento open source): registra l'attività delle persone che hanno accesso amministrativo al tuo ambiente.
- Key Access Justifications: visualizza i motivi di una richiesta di accesso alle chiavi.
- Notifiche di Security Command Center: ricevi avvisi quando si verificano problemi di non conformità. Ad esempio, ricevi avvisi quando gli utenti disattivano la verifica in due passaggi o quando gli account di servizio hanno privilegi eccessivi. Puoi anche configurare la correzione automatica per notifiche specifiche.
Suggerimenti per gestire la sovranità dei dati
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità dei dati ti offre un meccanismo per impedire a Google di accedere ai tuoi dati. Approvi l'accesso solo per i comportamenti del fornitore che ritieni necessari. Ad esempio, puoi gestire la sovranità dei tuoi dati nei seguenti modi:
- Archivia e gestisci le chiavi di crittografia al di fuori del cloud.
- Concedi l'accesso a queste chiavi in base a giustificazioni dell'accesso dettagliate.
- Proteggi i dati in uso utilizzando Confidential Computing.
Gestire la sovranità operativa
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità operativa garantisce che il personale di Google non possa compromettere i tuoi carichi di lavoro. Ad esempio, puoi gestire la sovranità operativa nei seguenti modi:
- Limitare il deployment delle nuove risorse a regioni specifiche del provider.
- Limitare l'accesso del personale Google in base ad attributi predefiniti come cittadinanza o posizione geografica.
Gestire la sovranità del software
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità del software ti garantisce che puoi controllare la disponibilità dei tuoi carichi di lavoro ed eseguirli ovunque. Inoltre, puoi avere questo controllo senza dipendere da un unico provider cloud o esserne vincolato. La sovranità del software include la capacità di sopravvivere a eventi che richiedono di cambiare rapidamente il luogo in cui sono distribuiti i carichi di lavoro e il livello di connessione esterna consentito.
Ad esempio, per aiutarti a gestire la sovranità del software, Google Cloud supporta deployment ibridi e multi-cloud. Inoltre, GKE Enterprise ti consente di gestire ed eseguire il deployment delle applicazioni sia in ambienti cloud sia in ambienti on-premise. Se scegli i deployment on-premise per motivi di sovranità dei dati, Google Distributed Cloud è una combinazione di hardware e software che porta Google Cloud nel Google Cloud tuo data center.
Consigli per soddisfare i requisiti relativi alla privacy
Google Cloud include i seguenti controlli che promuovono la privacy:
- Crittografia predefinita di tutti i dati quando sono inattivi, in transito e durante l'elaborazione.
- Misure di salvaguardia contro l'accesso di personale interno.
- Supporto di numerose normative sulla privacy.
I seguenti consigli riguardano i controlli aggiuntivi che puoi implementare. Per ulteriori informazioni, consulta il Centro risorse per la privacy.
Controllare la residenza dei dati
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Per residenza dei dati si intende il luogo in cui sono archiviati i dati at-rest. I requisiti di residenza dei dati variano in base agli obiettivi di progettazione del sistema, ai problemi normativi del settore, alle leggi nazionali, alle implicazioni fiscali e persino alla cultura.
Il controllo della residenza dei dati inizia con quanto segue:
- Scopri il tipo di dati e la relativa posizione.
- Determina quali rischi esistono per i tuoi dati e quali leggi e normative si applicano.
- Controlla dove vengono archiviati o dove vengono inviati i tuoi dati.
Per aiutarti a rispettare i requisiti di residenza dei dati, Google Cloud ti consente di controllare dove vengono archiviati i tuoi dati, come viene eseguito l'accesso e come vengono elaborati. Puoi utilizzare i criteri sulla località delle risorse per limitare i luoghi di creazione delle risorse e quelli di replica dei dati tra le regioni. Puoi utilizzare la proprietà location di una risorsa per identificare dove viene disegnato il servizio e chi lo gestisce. Per ulteriori informazioni, consulta Località delle risorse dei servizi supportati.
Classifica i tuoi dati riservati
Questo consiglio è pertinente alla seguente area di interesse: Sicurezza dei dati.
È necessario definire quali dati sono riservati e poi garantire che i dati riservati siano adeguatamente protetti. I dati riservati possono includere numeri di carte di credito, indirizzi, numeri di telefono e altre informazioni che consentono l'identificazione personale (PII). Con Sensitive Data Protection, puoi impostare classificazioni appropriate. In seguito è possibile etichettare e tokenizzare i dati prima di archiviarli in Google Cloud. Inoltre, Dataplex offre un servizio di catalogo che fornisce una piattaforma per archiviare, gestire e accedere ai metadati. Per ulteriori informazioni e un esempio di classificazione e anonimizzazione dei dati, consulta Anonimizzazione e reidentificazione delle PII utilizzando Sensitive Data Protection.
Bloccare l'accesso ai dati sensibili
Questo consiglio è pertinente per le seguenti aree di interesse:
- Sicurezza dei dati
- Gestione di identità e accessi
Posiziona i dati sensibili nel proprio perimetro di servizio utilizzando Controlli di servizio VPC. I Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di copia o trasferimento non autorizzato di dati (esfiltrazione di dati) dai servizi gestiti da Google. Con i Controlli di servizio VPC, puoi configurare perimetri di sicurezza attorno alle risorse dei tuoi servizi gestiti da Google per controllare il movimento dei dati all'interno del perimetro. Impostare i controlli di accesso di Google Identity and Access Management (IAM) per questi dati. Configura l'autenticazione a più fattori (MFA) per tutti gli utenti che devono accedere a dati sensibili.