Questo documento del framework dell'architettura di Google Cloud descrive le best practice per la gestione dei rischi in un deployment cloud. Eseguire un'attenta analisi dei rischi che si applicano alla tua organizzazione ti consente di determinare i controlli di sicurezza di cui hai bisogno. Devi completare l'analisi dei rischi prima di eseguire il deployment dei carichi di lavoro su Google Cloud e regolarmente in seguito, man mano che cambiano le esigenze della tua attività, i requisiti normativi e le minacce pertinenti alla tua organizzazione.
Identificare i rischi per la tua organizzazione
Prima di creare ed eseguire il deployment di risorse su Google Cloud, completa una valutazione dei rischi per determinare le funzionalità di sicurezza necessarie per soddisfare i requisiti di sicurezza interni e i requisiti normativi esterni. La valutazione del rischio fornisce un catalogo di rischi pertinenti e indica la capacità della tua organizzazione di rilevare e contrastare le minacce alla sicurezza.
I rischi in un ambiente cloud sono diversi da quelli in un ambiente on-premise a causa dell'accordo di responsabilità condivisa che stipuli con il tuo provider cloud. Ad esempio, in un ambiente on-premise devi attenuare le vulnerabilità dello stack hardware. Al contrario, in un ambiente cloud questi rischi sono a carico del provider cloud.
Inoltre, i rischi variano a seconda di come prevedi di utilizzare Google Cloud. Trasferisci alcuni dei tuoi carichi di lavoro su Google Cloud o tutti? Utilizzi Google Cloud solo per scopi di ripristino di emergenza? Stai configurando un ambiente cloud ibrido?
Ti consigliamo di utilizzare un framework di valutazione del rischio standard del settore che si applichi agli ambienti cloud e ai requisiti normativi. Ad esempio, la Cloud Security Alliance (CSA) fornisce la Cloud Controls Matrix (CCM). Esistono inoltre modelli di minacce come la modellazione delle minacce alle applicazioni OWASP che forniscono un elenco di potenziali lacune e suggeriscono azioni per rimediare a eventuali lacune rilevate. Puoi consultare la nostra directory dei partner per un elenco di esperti nella conduzione di valutazioni dei rischi per Google Cloud.
Per catalogare i rischi, valuta la possibilità di utilizzare Risk Manager, che fa parte del Programma di protezione dai rischi. (Questo programma è attualmente in anteprima). Risk Manager analizza i carichi di lavoro per aiutarti a comprendere i rischi della tua attività. I suoi report dettagliati forniscono una base di riferimento per la sicurezza. Inoltre, puoi utilizzare i report di Risk Manager per confrontare i tuoi rischi con quelli descritti nel benchmark del Center for Internet Security (CIS).
Dopo aver catalogato i rischi, devi stabilire come affrontarli, ovvero se accettarli, evitarli, trasferirli o mitigarli. La sezione seguente descrive i controlli di mitigazione.
Riduci i rischi
Puoi mitigare i rischi utilizzando controlli tecnici, protezioni contrattuali e verifiche o attestazioni di terze parti. La tabella seguente illustra come utilizzare queste mitigazioni quando adotti nuovi servizi cloud pubblico.
| Attenuazione | Descrizione |
|---|---|
| Controlli tecnici | I controlli tecnici si riferiscono alle funzionalità e alle tecnologie che utilizzi per proteggere il tuo ambiente. Sono inclusi i controlli di sicurezza cloud integrati, come firewall e logging. I controlli tecnici possono anche includere l'utilizzo di strumenti di terze parti per rafforzare o supportare la tua strategia di sicurezza. Esistono due categorie di controlli tecnici:
|
| Tutele contrattuali | Le protezioni contrattuali si riferiscono agli impegni legali assunti da Google in merito ai servizi Google Cloud. Google si impegna a mantenere ed espandere il proprio portafoglio di conformità. Il documento Addendum per il trattamento dei dati Cloud (CDPA) definisce il nostro impegno a mantenere le certificazioni ISO 27001, 27017 e 27018 e ad aggiornare i report SOC 2 e SOC 3 ogni 12 mesi. Il documento DPST illustra inoltre i controlli di accesso implementati per limitare l'accesso degli addetti all'assistenza di Google agli ambienti dei clienti e descrive la nostra rigorosa procedura di registrazione e approvazione. Ti consigliamo di esaminare i controlli contrattuali di Google Cloud insieme ai tuoi esperti legali e normativi e di verificare che soddisfino i tuoi requisiti. Per ulteriori informazioni, contatta il rappresentante dell'account tecnico. |
| Verifiche o attestazioni di terze parti | Per verifiche o attestazioni di terze parti si intende il controllo del fornitore cloud da parte di un fornitore di terze parti per garantire che il fornitore soddisfi i requisiti di conformità. Ad esempio, Google è stata sottoposta a un audit da parte di una terza parte per verificare la conformità allo standard ISO 27017. Puoi visualizzare le certificazioni e le lettere di attestazione Google Cloud attuali nel Centro risorse per la conformità. |
Passaggi successivi
Scopri di più sulla gestione dei rischi con le seguenti risorse:
- Gestire gli asset (documento successivo di questa serie)
Governance del rischio della trasformazione digitale nel cloud (PDF)