Questo documento nel framework dell'architettura Google Cloud descrive le best practice per la gestione dei rischi in un deployment cloud. L'esecuzione di un'analisi accurata dei rischi che si applicano alla tua organizzazione ti consente di determinare i controlli di sicurezza di cui hai bisogno. Devi completare l'analisi del rischio prima di eseguire il deployment dei carichi di lavoro su Google Cloud e in seguito regolarmente in base alle esigenze aziendali, ai requisiti normativi e alle minacce pertinenti alla tua organizzazione che cambiano.
Identifica i rischi per la tua organizzazione
Prima di creare ed eseguire il deployment di risorse su Google Cloud, completa una valutazione del rischio per determinare le funzionalità di sicurezza di cui hai bisogno per soddisfare i requisiti di sicurezza interni e quelli normativi esterni. La valutazione del rischio ti fornisce un catalogo di rischi pertinenti per te e ti mostra quanto è capace della tua organizzazione nel rilevare e contrastare le minacce alla sicurezza.
I rischi in un ambiente cloud sono diversi da quelli in un ambiente on-premise per via dell'accordo di responsabilità condivisa che hai stipulato con il tuo cloud provider. Ad esempio, in un ambiente on-premise devi attenuare le vulnerabilità nello stack hardware. In un ambiente cloud, invece, questi rischi sono sostenuti dal cloud provider.
Inoltre, i rischi variano a seconda di come prevedi di utilizzare Google Cloud. Stai trasferendo alcuni dei tuoi carichi di lavoro su Google Cloud o tutti? Utilizzi Google Cloud solo a scopo di ripristino di emergenza? Stai configurando un ambiente cloud ibrido?
Ti consigliamo di utilizzare un framework di valutazione del rischio standard di settore applicabile agli ambienti cloud e ai requisiti normativi. Ad esempio, Cloud Security Alliance (CSA) fornisce Cloud Controls Matrix (CCM). Inoltre, esistono modelli di minaccia, come la definizione del modello di minaccia per le applicazioni OWASP, che forniscono un elenco di potenziali lacune e suggeriscono azioni per rimediare a eventuali lacune. Puoi consultare la nostra directory dei partner per un elenco di esperti nella conduzione di valutazioni dei rischi per Google Cloud.
Per aiutarti a catalogare i rischi, prendi in considerazione Risk Manager, che fa parte del Programma di protezione dai rischi. (al momento questo programma è in anteprima). Risk Manager analizza i carichi di lavoro per aiutarti a comprendere i rischi aziendali. I suoi report dettagliati forniscono una base di riferimento per la sicurezza. Inoltre, puoi utilizzare i report di gestione dei rischi per confrontare i rischi rispetto a quelli descritti nel Benchmark Center for Internet Security (CIS).
Dopo aver catalogato i rischi, devi decidere come gestirli, ovvero se accettarli, evitarli, trasferirli o mitigarli. La seguente sezione descrive i controlli di mitigazione.
Riduci i rischi
Puoi mitigare i rischi utilizzando controlli tecnici, protezioni contrattuali e verifiche o attestazioni di terze parti. La tabella seguente elenca come puoi utilizzare queste mitigazioni quando adotti nuovi servizi cloud pubblico.
| Attenuazione | Descrizione |
|---|---|
| Controlli tecnici | I controlli tecnici si riferiscono alle funzionalità e alle tecnologie che
utilizzi per proteggere il tuo ambiente. tra cui controlli di sicurezza cloud integrati, come firewall e logging. I controlli tecnici possono anche includere l'uso di strumenti di terze parti per rafforzare o supportare la strategia di sicurezza. Esistono due categorie di controlli tecnici:
|
| Tutele contrattuali | Per protezioni contrattuali si intendono gli impegni legali assunti da noi in relazione ai servizi Google Cloud. Google si impegna a mantenere e ampliare il proprio portafoglio di soluzioni ai fini della conformità. Il documento sull'Addendum per il trattamento dei dati Cloud (ATDC) definisce il nostro impegno a mantenere le certificazioni ISO 27001, 27017 e 27018 e ad aggiornare i rapporti SOC 2 e SOC 3 ogni 12 mesi. Il documento DPST descrive inoltre i controlli di accesso implementati per limitare l'accesso da parte dei tecnici dell'Assistenza Google agli ambienti dei clienti e descrive il nostro rigoroso processo di logging e approvazione. Ti consigliamo di esaminare i controlli contrattuali di Google Cloud con i tuoi esperti legali e normativi e verificare che soddisfino i tuoi requisiti. Per ulteriori informazioni, contatta il rappresentante tecnico del tuo account. |
| Verifiche o attestazioni di terze parti | Verifiche o attestazioni di terze parti si riferisce al fatto che un fornitore di terze parti controlli il cloud provider per garantire che il provider soddisfi i requisiti di conformità. Ad esempio, Google è stato valutato da una terza parte per verificarne la conformità alla norma ISO 27017. Puoi visualizzare le attuali certificazioni Google Cloud e le lettere di attestazione nel Centro risorse per la conformità. |
Passaggi successivi
Scopri di più sulla gestione dei rischi con le seguenti risorse:
- Gestisci gli asset (documento successivo di questa serie)
Governance dei rischi della trasformazione digitale nel cloud (PDF)