Implementazione della sicurezza dei dati

Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per l'implementazione della sicurezza dei dati.

Nell'ambito dell'architettura di deployment, devi considerare quali dati intendi elaborare e archiviare in Google Cloud e la sensibilità dei dati. Progetta i controlli per proteggere i dati durante il loro ciclo di vita, per identificare la proprietà e la classificazione dei dati e per contribuire a proteggere i dati da un uso non autorizzato.

Per un progetto di sicurezza che esegue il deployment di un data warehouse BigQuery con le best practice per la sicurezza descritte in questo documento, consulta Proteggere un data warehouse BigQuery in cui sono archiviati dati riservati.

Classifica automaticamente i tuoi dati

Eseguire la classificazione dei dati fin dalle prime fasi del ciclo di vita della gestione dei dati, idealmente al momento della creazione dei dati. In genere, le attività di classificazione dei dati richiedono solo poche categorie, tra cui:

• Pubblico: dati approvati per l'accesso pubblico.
• Interno: dati non sensibili che non vengono divulgati pubblicamente.
• Riservato: dati sensibili disponibili per la distribuzione interna generale.
• Con restrizioni: dati altamente sensibili o regolamentati che richiedono una distribuzione limitata.

Utilizza Sensitive Data Protection per scoprire e classificare i dati in tutto il tuo ambiente Google Cloud. Sensitive Data Protection offre il supporto integrato per la scansione e la classificazione dei dati sensibili in Cloud Storage, BigQuery e Datastore. Dispone inoltre di un'API di flusso per supportare origini dati aggiuntive e carichi di lavoro personalizzati.

Sensitive Data Protection può identificare i dati sensibili utilizzando infoType integrati. Può classificare, mascherare, tokenizzare e trasformare automaticamente elementi sensibili (come i dati PII) per consentirti di gestire i rischi legati alla raccolta, all'archiviazione e all'utilizzo dei dati. In altre parole, si può integrare con i processi del ciclo di vita dei dati per garantire che i dati siano protetti in ogni fase.

Per maggiori informazioni, consulta Anonimizzazione e reidentificazione delle PII in set di dati su larga scala utilizzando Sensitive Data Protection.

Gestisci la governance dei dati utilizzando i metadati

La governance dei dati è una combinazione di processi che garantiscono che i dati siano sicuri, privati, accurati, disponibili e utilizzabili. Sebbene tu sia responsabile della definizione di una strategia di governance dei dati per la tua organizzazione, Google Cloud fornisce strumenti e tecnologie per aiutarti a mettere in pratica la tua strategia. Google Cloud fornisce anche un framework per la governance dei dati (PDF) nel cloud.

Utilizza Data Catalog per trovare, selezionare e utilizzare i metadati per descrivere i tuoi asset di dati nel cloud. Puoi utilizzare Data Catalog per cercare asset di dati e poi taggare gli asset con i metadati. Per accelerare le attività di classificazione dei dati, integra Data Catalog con Sensitive Data Protection per identificare automaticamente i dati riservati. Dopo aver applicato i tag ai dati, puoi utilizzare Google Identity and Access Management (IAM) per limitare i dati su cui gli utenti possono eseguire query o utilizzarli tramite le viste di Data Catalog.

Utilizza Dataproc Metastore o Metastore Hive per gestire i metadati per i carichi di lavoro. Data Catalog dispone di un connettore hive che consente al servizio di rilevare i metadati che si trovano all'interno di un metastore hive.

Utilizza Dataprep di Trifacta per definire e applicare le regole sulla qualità dei dati tramite una console. Puoi utilizzare Dataprep da Cloud Data Fusion o utilizzare Dataprep come servizio autonomo.

Proteggi i dati in base alla fase del ciclo di vita e alla classificazione

Dopo aver definito i dati nel contesto del loro ciclo di vita e averli classificati in base alla sensibilità e al rischio, puoi assegnare i controlli di sicurezza adeguati per proteggerli. Devi assicurarti che i controlli forniscano protezioni adeguate, soddisfino i requisiti di conformità e riducano i rischi. Quando passi al cloud, rivedi la strategia attuale e dove potresti dover modificare i processi attuali.

La seguente tabella descrive tre caratteristiche di una strategia di sicurezza dei dati nel cloud.

Caratteristica	Descrizione
Identificazione	Comprendere l'identità di utenti, risorse e applicazioni quando creano, modificano, archiviano, utilizzano, condividono ed eliminano i dati. Utilizza Cloud Identity e IAM per controllare l'accesso ai dati. Se le tue identità richiedono certificati, prendi in considerazione Certificate Authority Service. Per saperne di più, consulta Gestire l'identità e l'accesso.
Confine e accesso	Configura i controlli relativi alle modalità di accesso ai dati, a chi e in quali circostanze. I limiti di accesso ai dati possono essere gestiti a questi livelli: Accesso a livello di rete tramite controlli come Cloud Firewall. Per ulteriori informazioni sul livello di rete, utilizza Network Intelligence Center. Usare Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi specificati. Controlli di accesso IAM utilizzando IAM. Per informazioni sulla gestione dei ruoli IAM, consulta Utilizzo delle gerarchie di risorse per il controllo dell'accesso.
Visibilità	Puoi controllare l'utilizzo e creare report che mostrano il controllo e l'accesso ai dati. Google Cloud Logging e Access Transparency forniscono approfondimenti sulle attività dei tuoi amministratori cloud e del personale Google. Per ulteriori informazioni, vedi Monitorare i dati.

Cripta i dati

Per impostazione predefinita, Google Cloud cripta i dati archiviati inattivi dei clienti, senza che sia richiesta alcuna azione da parte tua. Oltre alla crittografia predefinita, Google Cloud offre opzioni per la crittografia envelope e la gestione delle chiavi di crittografia. Ad esempio, i dischi permanenti di Compute Engine vengono criptati automaticamente, ma puoi fornire o gestire le tue chiavi.

È necessario identificare le soluzioni più adatte ai tuoi requisiti in termini di generazione, archiviazione e rotazione delle chiavi, sia che tu stia scegliendo le chiavi per l'archiviazione, il computing o i carichi di lavoro di big data.

Google Cloud include le seguenti opzioni per la crittografia e la gestione delle chiavi:

• Chiavi di crittografia gestite dal cliente (CMEK). Puoi generare e gestire le tue chiavi di crittografia utilizzando Cloud Key Management Service (Cloud KMS). Utilizza questa opzione se hai determinati requisiti di gestione delle chiavi, come la necessità di ruotare regolarmente le chiavi di crittografia.
• Chiavi di crittografia fornite dal cliente (CSEK). Puoi creare e gestire le tue chiavi di crittografia, per poi fornirle a Google Cloud quando necessario. Utilizza questa opzione se generi le tue chiavi utilizzando il tuo sistema di gestione delle chiavi on-premise per Bring Your Own Key (BYOK). Se fornisci le tue chiavi utilizzando CSEK, Google le replica e le rende disponibili per i tuoi carichi di lavoro. Tuttavia, la sicurezza e la disponibilità delle CSEK sono una tua responsabilità, perché le chiavi fornite dal cliente non vengono archiviate nei modelli di istanze o nell'infrastruttura di Google. Se perdi l'accesso alle chiavi, Google non può aiutarti a recuperare i dati criptati. Valuta attentamente quali chiavi vuoi creare e gestire autonomamente. Potresti usarla solo per le informazioni più sensibili. Un'altra opzione è eseguire la crittografia lato client sui tuoi dati e quindi archiviare i dati criptati in Google Cloud, dove i dati vengono criptati nuovamente da Google.
• Sistema di gestione delle chiavi di terze parti con Cloud External Key Manager (Cloud EKM). Cloud EKM protegge i tuoi dati at-rest utilizzando chiavi di crittografia archiviate e gestite in un sistema di gestione delle chiavi di terze parti che puoi controllare al di fuori dell'infrastruttura di Google. Quando utilizzi questo metodo, hai la certezza che i tuoi dati non sono accessibili a nessuno al di fuori della tua organizzazione. Cloud EKM consente di ottenere un modello hold-your-own-key (HYOK) sicuro per la gestione delle chiavi. Per informazioni sulla compatibilità, consulta l'elenco dei servizi abilitati per Cloud EKM.

Cloud KMS consente inoltre di criptare i dati con chiavi di crittografia basate su software o moduli di sicurezza hardware (HSM) convalidati di livello 3 FIPS 140-2. Se utilizzi Cloud KMS, le chiavi di crittografia vengono archiviate nell'area geografica in cui esegui il deployment della risorsa. Cloud HSM distribuisce le tue esigenze di gestione delle chiavi tra le regioni, fornendo ridondanza e disponibilità globale delle chiavi.

Per informazioni su come funziona la crittografia envelope, consulta Crittografia at-rest in Google Cloud.

Controllare l'accesso degli amministratori cloud ai tuoi dati

Puoi controllare l'accesso del personale tecnico e dell'Assistenza Google al tuo ambiente su Google Cloud. Access Approval consente di approvare esplicitamente prima che i dipendenti Google accedano ai tuoi dati o alle tue risorse su Google Cloud. Questo prodotto completa la visibilità fornita da Access Transparency, che genera i log quando il personale di Google interagisce con i tuoi dati. Questi log includono la posizione dell'ufficio e il motivo dell'accesso.

Se utilizzi questi prodotti insieme, puoi negare a Google la possibilità di decriptare i tuoi dati per qualsiasi motivo.

Configurare la posizione dei dati e dell'accesso degli utenti.

Puoi controllare le località di rete da cui gli utenti possono accedere ai dati utilizzando Controlli di servizio VPC. Questo prodotto ti consente di limitare l'accesso agli utenti in una regione specifica. Puoi applicare questo vincolo anche se l'utente è autorizzato in base al tuo criterio Google IAM. Con i Controlli di servizio VPC, puoi creare un perimetro di servizio che definisce i confini virtuali da cui è possibile accedere a un servizio, impedendo lo spostamento dei dati al di fuori di questi confini.

Per ulteriori informazioni, consulta le seguenti risorse:

• Automatizzare la classificazione dei dati caricati su Cloud Storage
• Governance dei dati nel cloud
• Dal data warehouse alla governance dei dati di BigQuery
• Metastore Cloud Hives ora disponibile

Gestire i segreti tramite Secret Manager.

Secret Manager consente di archiviare tutti i tuoi secret in una posizione centralizzata. I secret sono informazioni di configurazione come password di database, chiavi API o certificati TLS. Puoi ruotare automaticamente i secret e configurare le applicazioni in modo che utilizzino automaticamente la versione più recente di un secret. Ogni interazione con Secret Manager genera un audit log, quindi puoi visualizzare tutti gli accessi a ogni secret.

Sensitive Data Protection offre anche una categoria di rilevatori per aiutarti a identificare credenziali e secret nei dati che potrebbero essere protetti con Secret Manager.

Monitora i tuoi dati

Per visualizzare i log delle attività degli amministratori e dell'utilizzo delle chiavi, consulta Cloud Audit Logs. Per proteggere i tuoi dati, monitora i log con Cloud Monitoring per garantire un utilizzo appropriato delle tue chiavi.

Cloud Logging acquisisce gli eventi Google Cloud e consente di aggiungere ulteriori origini se necessario. Puoi segmentare i log per regione, archiviarli in bucket e integrare codice personalizzato per l'elaborazione dei log. Ad esempio, vedi Soluzione personalizzata per l'analisi automatica dei log.

Puoi anche esportare i log in BigQuery per eseguire analisi della sicurezza e degli accessi al fine di identificare modifiche non autorizzate e accessi inappropriati ai dati della tua organizzazione.

Security Command Center può aiutarti a identificare e risolvere i problemi di accesso non sicuro ai dati aziendali sensibili archiviati nel cloud. Attraverso un'unica interfaccia di gestione, puoi analizzare un'ampia varietà di vulnerabilità e rischi di sicurezza per la tua infrastruttura cloud. Ad esempio, puoi monitorare l'esfiltrazione di dati, eseguire la scansione dei sistemi di archiviazione per individuare dati riservati e rilevare quali bucket Cloud Storage sono aperti a internet.

Passaggi successivi

Scopri di più sulla sicurezza dei dati con le seguenti risorse:

• Esegui il deployment delle applicazioni in modo sicuro (prossimo documento di questa serie)

• Proteggere un data warehouse BigQuery in cui vengono archiviati dati riservati

• Progettare e implementare una strategia di sicurezza dei dati (PDF)

• Riservatezza dei dati del cliente garantita con Google Cloud (PDF)

• Criteri di conservazione che utilizzano il blocco di bucket

• Best practice per Cloud Storage

• Best practice per le istanze SQL Server

• Best practice per Datastore

• Data Catalog