Este princípio no pilar de segurança da Google Cloud Well-Architected Framework ajuda a identificar e cumprir os requisitos regulamentares, de conformidade e de privacidade para implementações na nuvem. Estes requisitos influenciam muitas das decisões que tem de tomar sobre os controlos de segurança que têm de ser usados para as suas cargas de trabalho noGoogle Cloud.
Vista geral do princípio
Satisfazer as necessidades regulamentares, de conformidade e de privacidade é um desafio inevitável para todas as empresas. Os requisitos regulamentares da nuvem dependem de vários fatores, incluindo os seguintes:
- As leis e os regulamentos aplicáveis às localizações físicas da sua organização
- As leis e os regulamentos aplicáveis às localizações físicas dos seus clientes
- Os requisitos regulamentares do seu setor
Os regulamentos de privacidade definem como pode obter, processar, armazenar e gerir os dados dos seus utilizadores. Os seus dados são só seus, incluindo os dados que recebe dos seus utilizadores. Por conseguinte, muitos controlos de privacidade são da sua responsabilidade, incluindo os controlos para cookies, gestão de sessões e obtenção da autorização do utilizador.
As recomendações para implementar este princípio estão agrupadas nas seguintes secções:
- Recomendações para resolver riscos organizacionais
- Recomendações para cumprir as obrigações regulamentares e de conformidade
- Recomendações para gerir a sua soberania dos dados
- Recomendações para cumprir os requisitos de privacidade
Recomendações para resolver riscos organizacionais
Esta secção fornece recomendações para ajudar a identificar e resolver riscos para a sua organização.
Identifique riscos para a sua organização
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
Antes de criar e implementar recursos no Google Cloud, conclua uma avaliação de riscos. Esta avaliação deve determinar as funcionalidades de segurança de que precisa para cumprir os seus requisitos de segurança internos e requisitos regulamentares externos.
A avaliação de risco fornece-lhe um catálogo de riscos específicos da organização e informa-o sobre a capacidade da sua organização para detetar e neutralizar ameaças de segurança. Tem de realizar uma análise de riscos imediatamente após a implementação e sempre que houver alterações nas necessidades da sua empresa, nos requisitos regulamentares ou nas ameaças à sua organização.
Conforme mencionado no princípio Implementar a segurança por conceção, os seus riscos de segurança num ambiente de nuvem diferem dos riscos no local. Esta diferença deve-se ao modelo de responsabilidade partilhada na nuvem, que varia consoante o serviço (IaaS, PaaS ou SaaS) e a sua utilização. Use uma framework de avaliação do risco específica da nuvem, como a Cloud Controls Matrix (CCM). Use a modelagem de ameaças, como a modelagem de ameaças de aplicações OWASP, para identificar e resolver vulnerabilidades. Para receber ajuda especializada com as avaliações de risco, contacte o representante da sua Conta Google ou consulte o Google Cloud's diretório de parceiros.
Depois de catalogar os riscos, tem de determinar como os abordar, ou seja, se quer aceitar, evitar, transferir ou mitigar os riscos. Para ver os controlos de mitigação que pode implementar, consulte a secção seguinte sobre a mitigação dos seus riscos.
Mitigue os seus riscos
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
Quando adota novos serviços de nuvem pública, pode mitigar os riscos através de controlos técnicos, proteções contratuais e validações ou atestações de terceiros.
Os controlos técnicos são funcionalidades e tecnologias que usa para proteger o seu ambiente. Estas incluem controlos de segurança na nuvem incorporados, como firewalls e registo. Os controlos técnicos também podem incluir a utilização de ferramentas de terceiros para reforçar ou apoiar a sua estratégia de segurança. Existem duas categorias de controlos técnicos:
- Pode implementar os controlos de segurança do Google Cloudpara ajudar a mitigar os riscos que se aplicam ao seu ambiente. Por exemplo, pode proteger a ligação entre as suas redes no local e as suas redes na nuvem através do Cloud VPN e do Cloud Interconnect.
- A Google tem controlos internos e auditorias robustos para proteção contra o acesso interno aos dados dos clientes. Os nossos registos de auditoria fornecem-lhe registos quase em tempo real do acesso de administrador da Google em Google Cloud.
As proteções contratuais referem-se aos compromissos legais assumidos por nós relativamente aos Google Cloud serviços. A Google está empenhada em manter e expandir o nosso portefólio de conformidade. A Alteração ao Tratamento de Dados do Cloud (APDC) descreve os nossos compromissos relativamente ao tratamento e à segurança dos seus dados. A CDPA também descreve os controlos de acesso que limitam o acesso dos engenheiros do Apoio técnico da Google aos ambientes dos clientes, e descreve o nosso rigoroso processo de registo e aprovação. Recomendamos que reveja os controlos contratuais da Google Cloud com os seus especialistas jurídicos e regulamentares e verifique se cumprem os seus requisitos. Se precisar de mais informações, contacte o seu representante técnico da conta.
As verificações ou atestações de terceiros referem-se a ter uma auditoria de fornecedores terceiros para garantir que o fornecedor cumpre os requisitos de conformidade. Por exemplo, para saber mais sobre as Google Cloud atestações relativas às diretrizes ISO/IEC 27017, consulte o artigo ISO/IEC 27017 – Conformidade. Para ver as Google Cloud certificações e as cartas de atestação atuais, consulte o Centro de recursos de conformidade.
Recomendações para cumprir as obrigações regulamentares e de conformidade
Um percurso de conformidade típico tem três fases: avaliação, remediação de lacunas e monitorização contínua. Esta secção fornece recomendações que pode usar durante cada uma destas fases.
Avalie as suas necessidades de conformidade
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
A avaliação da conformidade começa com uma revisão exaustiva de todas as suas obrigações regulamentares e como a sua empresa as está a implementar. Para ajudar com a sua avaliação dos serviços Google Cloud , use o centro de recursos de conformidade. Este site fornece informações sobre o seguinte:
- Suporte de serviços para vários regulamentos
- Google Cloud certificações e atestações
Para compreender melhor o ciclo de vida de conformidade na Google e como os seus requisitos podem ser satisfeitos, pode contactar as vendas para pedir ajuda a um especialista em conformidade da Google. Em alternativa, pode contactar o seu Google Cloud gestor de conta para pedir um workshop de conformidade.
Para mais informações sobre ferramentas e recursos que pode usar para gerir a segurança e a conformidade para cargas de trabalho, consulte o artigo Garantir a conformidade na nuvem. Google Cloud
Automatize a implementação dos requisitos de conformidade
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
Para ajudar a manter a conformidade com as regulamentações em constante mudança, determine se pode automatizar a forma como implementa os requisitos de conformidade. Pode usar capacidades focadas na conformidade que Google Cloud fornecem e planos que usam configurações recomendadas para um regime de conformidade específico.
O Assured Workloads baseia-se nos controlos do Google Cloud para ajudar a cumprir as suas obrigações de conformidade. O Assured Workloads permite-lhe fazer o seguinte:
- Selecione o regime de conformidade. Em seguida, a ferramenta define automaticamente os controlos de acesso do pessoal de base para o regime selecionado.
- Defina a localização dos seus dados através de políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
- Selecione a opção de gestão de chaves (como o período de rotação de chaves) que melhor cumpre os seus requisitos de segurança e conformidade.
- Selecione os critérios de acesso para o pessoal do apoio técnico da Google cumprir determinados requisitos regulamentares, como o FedRAMP Moderate. Por exemplo, pode selecionar se o pessoal do apoio técnico da Google concluiu as verificações de antecedentes adequadas.
- Use Google-owned and Google-managed encryption keys que estejam em conformidade com a norma FIPS-140-2 e que suportem a conformidade com a norma FedRAMP Moderate. Para uma camada adicional de controlo e para a separação de funções, pode usar chaves de encriptação geridas pelo cliente (CMEK). Para mais informações sobre chaves, consulte o artigo Encripte dados em repouso e em trânsito.
Além do Assured Workloads, pode usar Google Cloud projetos relevantes para o seu regime de conformidade. Pode modificar estes blueprints para incorporar as suas políticas de segurança nas suas implementações de infraestrutura.
Para ajudar a criar um ambiente que suporte os seus requisitos de conformidade, os planos e os guias de soluções da Google incluem configurações recomendadas e fornecem módulos do Terraform. A tabela seguinte lista os planos detalhados que abordam a segurança e o alinhamento com os requisitos de conformidade.
| Requisito | Projetos e guias de soluções |
|---|---|
| FedRAMP | |
| HIPAA |
Monitorize a sua conformidade
Esta recomendação é relevante para as seguintes áreas de foco:
- Governança, risco e conformidade na nuvem
- Registo, monitorização e auditoria
A maioria dos regulamentos exige que monitorize atividades específicas, que incluem atividades relacionadas com o acesso. Para ajudar na monitorização, pode usar o seguinte:
- Transparência de acesso: Veja registos quase em tempo real quando os Google Cloud administradores acedem ao seu conteúdo.
- Registo de regras de firewall: registe ligações TCP e UDP numa rede VPC para todas as regras que criar. Estes registos podem ser úteis para auditar o acesso à rede ou para fornecer um aviso prévio de que a rede está a ser usada de forma não aprovada.
- Registos de fluxo da VPC: registam fluxos de tráfego de rede que são enviados ou recebidos por instâncias de VMs.
- Security Command Center Premium: Monitorize a conformidade com várias normas.
- OSSEC (ou outra ferramenta de código aberto): registe a atividade de indivíduos que tenham acesso de administrador ao seu ambiente.
- Justificações de acesso à chave: Veja os motivos de um pedido de acesso à chave.
- Notificações do Security Command Center: Receba alertas quando ocorrem problemas de não conformidade. Por exemplo, receba alertas quando os utilizadores desativam a validação em dois passos ou quando as contas de serviço têm privilégios excessivos. Também pode configurar a correção automática para notificações específicas.
Recomendações para gerir a soberania dos seus dados
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
A soberania dos dados oferece-lhe um mecanismo para impedir que a Google aceda aos seus dados. Aprova o acesso apenas para comportamentos de fornecedores que concorda serem necessários. Por exemplo, pode gerir a sua soberania de dados das seguintes formas:
- Armazenar e gerir chaves de encriptação fora da nuvem.
- Conceder acesso a estas chaves com base em justificações de acesso detalhadas.
- Proteja os dados em utilização através da computação confidencial.
Faça a gestão da sua soberania operacional
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
A soberania operacional oferece-lhe garantias de que o pessoal da Google não pode comprometer as suas cargas de trabalho. Por exemplo, pode gerir a soberania operacional das seguintes formas:
- Restrinja a implementação de novos recursos a regiões de fornecedores específicos.
- Limite o acesso do pessoal da Google com base em atributos predefinidos como a cidadania ou a localização geográfica.
Faça a gestão da soberania do software
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
A soberania do software oferece-lhe garantias de que pode controlar a disponibilidade das suas cargas de trabalho e executá-las quando quiser. Além disso, pode ter este controlo sem depender nem estar bloqueado a um único fornecedor de nuvem. A soberania do software inclui a capacidade de sobreviver a eventos que requerem que altere rapidamente a localização onde as suas cargas de trabalho estão implementadas e que nível de ligação ao exterior é permitido.
Por exemplo, para ajudar a gerir a sua soberania de software, Google Cloud suporta implementações híbridas e multinuvem. Além disso, o GKE Enterprise permite-lhe gerir e implementar as suas aplicações em ambientes na nuvem e em ambientes nas instalações. Se escolher implementações no local por motivos de soberania dos dados, o Google Distributed Cloud é uma combinação de hardware e software que traz o Google Cloud para o seu centro de dados. Google Cloud
Recomendações para cumprir os requisitos de privacidade
OGoogle Cloud inclui os seguintes controlos que promovem a privacidade:
- Encriptação predefinida de todos os dados quando estão inativos, quando estão em trânsito e enquanto estão a ser processados.
- Salvaguardas contra o acesso privilegiado.
- Suporte de vários regulamentos de privacidade.
As seguintes recomendações abordam controlos adicionais que pode implementar. Para mais informações, consulte o centro de recursos de privacidade.
Controle a residência dos dados
Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.
A residência dos dados descreve a localização onde os seus dados são armazenados em repouso. Os requisitos de residência dos dados variam consoante os objetivos de conceção do sistema, as preocupações regulamentares do setor, a lei nacional, as implicações fiscais e até a cultura.
O controlo da residência dos dados começa com o seguinte:
- Compreenda o seu tipo de dados e a respetiva localização.
- Determine que riscos existem para os seus dados e que leis e regulamentos se aplicam.
- Controlar onde os seus dados são armazenados ou para onde são enviados.
Para ajudar a agir em conformidade com os requisitos de residência de dados, Google Cloud permite-lhe controlar onde os seus dados são armazenados, como são acedidos e como são processados. Pode usar políticas de localização de recursos para restringir o local onde os recursos são criados e limitar a localização onde os dados são replicados entre regiões. Pode usar a propriedade de localização de um recurso para identificar onde o serviço está implementado e quem o mantém. Para mais informações, consulte o artigo Serviços suportados por localizações de recursos.
Classifique os seus dados confidenciais
Esta recomendação é relevante para a seguinte área de foco: Segurança dos dados.
Tem de definir que dados são confidenciais e, depois, garantir que os dados confidenciais são adequadamente protegidos. Os dados confidenciais podem incluir números de cartões de crédito, moradas, números de telefone e outras informações de identificação pessoal (PII). Com a proteção de dados confidenciais, pode configurar classificações adequadas. Em seguida, pode identificar e criar símbolos para os seus dados antes de os armazenar no Google Cloud. Além disso, o catálogo universal do Dataplex oferece um serviço de catálogo que fornece uma plataforma para armazenar, gerir e aceder aos seus metadados. Para mais informações e um exemplo de classificação e desidentificação de dados, consulte o artigo Desidentificação e reidentificação de PII com a proteção de dados sensíveis.
Proteja o acesso a dados confidenciais
Esta recomendação é relevante para as seguintes áreas de foco:
- Segurança dos dados
- Gestão de identidade e de acesso
Coloque dados sensíveis no seu próprio perímetro de serviço através dos VPC Service Controls. O VPC Service Controls melhora a sua capacidade de mitigar o risco de cópia ou transferência não autorizada de dados (exfiltração de dados) de serviços geridos pela Google. Com os VPC Service Controls, configura perímetros de segurança em torno dos recursos dos seus serviços geridos pela Google para controlar o movimento de dados no perímetro. Defina controlos de acesso da gestão de identidade e de acesso (IAM) da Google para esses dados. Configure a autenticação multifator (MFA) para todos os utilizadores que necessitem de acesso a dados sensíveis.