Dokumen dalam Framework Arsitektur Google Cloud ini menjelaskan praktik terbaik untuk mengelola risiko dalam deployment cloud. Melakukan analisis cermat terhadap risiko yang terjadi pada organisasi memungkinkan Anda menentukan kontrol keamanan yang diperlukan. Anda harus menyelesaikan analisis risiko sebelum men-deploy workload di Google Cloud, dan secara berkala setelahnya saat kebutuhan bisnis, persyaratan peraturan, dan ancaman yang relevan bagi organisasi Anda berubah.
Identifikasi risiko terhadap organisasi Anda
Sebelum Anda membuat dan men-deploy resource di Google Cloud, selesaikan penilaian risiko untuk menentukan fitur keamanan yang Anda butuhkan untuk memenuhi persyaratan keamanan internal dan persyaratan peraturan eksternal. Penilaian risiko memberi Anda katalog risiko yang relevan bagi Anda, dan menunjukkan seberapa mampu organisasi Anda dalam mendeteksi dan menangkal ancaman keamanan.
Risiko Anda di lingkungan cloud berbeda dengan risiko di lingkungan lokal hal ini disebabkan adanya pengaturan tanggung jawab bersama yang Anda lakukan dengan penyedia cloud. Misalnya, di lingkungan lokal Anda perlu mengurangi kerentanan terhadap tumpukan hardware. Sebaliknya, di lingkungan cloud risiko ini ditanggung oleh penyedia cloud.
Sebagai tambahan, risiko Anda akan berbeda-beda, tergantung rencana Anda untuk menggunakan Google Cloud. Apakah Anda mentransfer beberapa workload Anda ke Google Cloud, atau seluruhnya? Apakah Anda menggunakan Google Cloud hanya untuk tujuan pemulihan dari bencana? Apakah Anda menyiapkan lingkungan hybrid cloud?
Sebaiknya gunakan framework penilaian risiko standar industri yang berlaku untuk lingkungan cloud dan persyaratan peraturan Anda. Misalnya, Cloud Security Alliance (CSA) menyediakan Cloud Controls Matrix (CCM). Selain itu, ada model ancaman seperti pemodelan ancaman aplikasi OWASP yang memberi Anda daftar potensi celah, dan menyarankan tindakan untuk memperbaiki setiap celah yang ditemukan singkat ini. Anda dapat memeriksa direktori partner kami untuk daftar pakar dalam melakukan penilaian risiko untuk Google Cloud.
Untuk membuat katalog risiko, pertimbangkan Risk Manager, yang merupakan bagian dari Program Perlindungan Risiko. (Program ini sedang dalam pratinjau.) Risk Manager memindai workload Anda untuk membantu memahami risiko bisnis. Laporan detail ini memberi Anda dasar pengukuran keamanan. Selain itu, Anda dapat menggunakan laporan Risk Manager untuk membandingkan risiko dengan risiko yang diuraikan dalam Benchmark Center untuk Internet Security (CIS).
Setelah membuat katalog risiko, Anda harus menentukan cara mengatasinya—yaitu, apakah Anda ingin menerima, menghindari, mentransfer, atau menguranginya. Bagian berikut menjelaskan kontrol mitigasi.
Mitigasi risiko Anda
Anda dapat memitigasi risiko menggunakan kontrol teknis, perlindungan kontrak, dan verifikasi atau pengesahan pihak ketiga. Tabel berikut mencantumkan bagaimana cara Anda menggunakan mitigasi ini ketika Anda mengadopsi layanan cloud publik baru.
| Mitigasi | Deskripsi |
|---|---|
| Kontrol teknis | Kontrol teknis mengacu pada fitur dan teknologi yang Anda gunakan untuk melindungi lingkungan Anda. Hal ini mencakup kontrol keamanan cloud bawaan, seperti firewall dan logging. Kontrol teknis juga dapat disertakan untuk penggunaan alat pihak ketiga untuk memperkuat atau mendukung strategi keamanan Anda. Terdapat dua kategori kontrol teknis:
|
| Perlindungan kontraktual | Perlindungan kontrak mengacu pada komitmen hukum yang kami buat terkait layanan Google Cloud. Google berkomitmen untuk mengelola dan memperluas portofolio kepatuhan kami. Dokumen Adendum Pemrosesan Data Cloud (CDPA) menentukan komitmen kami untuk mempertahankan sertifikasi ISO 27001, 27017, dan 27018 kami serta memperbarui laporan SOC 2 dan SOC 3 kami setiap 12 bulan. Dokumen DPST juga menguraikan kontrol akses yang tersedia untuk membatasi akses oleh engineer dukungan Google ke lingkungan pelanggan, dan dokumen ini juga menjelaskan logging kami yang ketat dan proses persetujuan. Sebaiknya tinjau kontrol kontraktual Google Cloud dengan pakar hukum dan peraturan, lalu verifikasi bahwa mereka memenuhi persyaratan Anda. Jika Anda memerlukan informasi lebih lanjut, hubungi perwakilan akun teknis Anda. |
| Verifikasi atau pengesahan pihak ketiga | Verifikasi atau pengesahan pihak ketiga mengacu pada permintaan
vendor pihak ketiga mengaudit penyedia cloud untuk memastikan bahwa penyedia tersebut
memenuhi persyaratan kepatuhan. Misalnya, Google diaudit oleh pihak ketiga untuk memastikan kepatuhan pada ISO 27017. Anda dapat melihat surat dan sertifikasi pengesahan Google Cloud terbaru di Pusat Referensi Kepatuhan. |
Langkah selanjutnya
Pelajari manajemen risiko lebih lanjut dengan referensi berikut:
- Mengelola aset Anda (dokumen berikutnya dalam seri ini)