Il pilastro Sicurezza, privacy e conformità nel Google Cloud Architecture Framework fornisce consigli per aiutarti a progettare, implementare e gestire i carichi di lavoro cloud che soddisfano i tuoi requisiti di sicurezza, privacy e conformità.
Questo documento è progettato per offrire approfondimenti preziosi e soddisfare le esigenze di una gamma di professionisti e tecnici della sicurezza. La tabella seguente descrive i segmenti di pubblico previsti per questo documento:
| Pubblico | Informazioni fornite da questo documento |
|---|---|
| Responsabili della sicurezza informatica (CISO), responsabili delle unità di business e gestori IT | Un framework generale per stabilire e mantenere l'eccellenza della sicurezza nel cloud e garantire una visione completa delle aree di sicurezza per prendere decisioni consapevoli sugli investimenti in sicurezza. |
| Architetti e ingegneri della sicurezza | Best practice di sicurezza chiave per le fasi di progettazione e operatività per contribuire a garantire che le soluzioni siano progettate per sicurezza, efficienza e scalabilità. |
| Team DevSecOps | Indicazioni per integrare controlli di sicurezza generali per pianificare l'automazione che consenta un'infrastruttura sicura e affidabile. |
| Responsabili della conformità e gestori del rischio | Consigli di sicurezza chiave per seguire un approccio strutturato alla gestione del rischio con misure di salvaguardia che aiutano a soddisfare le obbligazioni di conformità. |
Per assicurarti che i tuoi Google Cloud carichi di lavoro soddisfino i requisiti di sicurezza, privacy e conformità, tutti gli stakeholder della tua organizzazione devono adottare un approccio collaborativo. Inoltre, devi riconoscere che la sicurezza nel cloud è una responsabilità condivisa tra te e Google. Per ulteriori informazioni, consulta Responsabilità condivise e destino condiviso su Google Cloud.
I consigli di questo pilastro sono raggruppati in principi di sicurezza di base. Ogni consiglio basato su principi è mappato a una o più delle principali aree di applicazione della sicurezza del cloud di implementazione che potrebbero essere fondamentali per la tua organizzazione. Ogni consiglio mette in evidenza indicazioni sull'utilizzo e sulla configurazione di Google Cloud prodotti e funzionalità per contribuire a migliorare la strategia di sicurezza della tua organizzazione.
Principi fondamentali
I consigli di questo pilastro sono raggruppati nei seguenti principi fondamentali della sicurezza. Ogni principio di questo pilastro è importante. A seconda dei requisiti della tua organizzazione e del carico di lavoro, puoi scegliere di dare la priorità a determinati principi.
- Implementa la sicurezza per progettazione: integra le considerazioni sulla sicurezza del cloud e della rete fin dalla fase di progettazione iniziale delle applicazioni e dell'infrastruttura.Google Cloud fornisce blueprint e consigli di architettura per aiutarti ad applicare questo principio.
- Implementa Zero Trust: utilizza un approccio non fidarsi mai, verificare sempre, in cui l'accesso alle risorse viene concesso in base a una verifica continua dell'affidabilità. Google Cloudsupporta questo principio tramite prodotti come Chrome Enterprise Premium e Identity-Aware Proxy (IAP).
- Implementa la sicurezza con approccio shift-left: implementa i controlli di sicurezza nelle prime fasi del ciclo di vita di sviluppo del software. Evita i difetti di sicurezza prima di apportare modifiche al sistema. Rileva e correggi i bug di sicurezza in modo tempestivo, rapido e affidabile dopo che le modifiche al sistema sono state committate. Google Cloud supporta questo principio tramite prodotti come Cloud Build, Autorizzazione binaria e Artifact Registry.
- Implementa una difesa informatica preventiva: adotta un approccio proattivo alla sicurezza implementando misure di base solide come la threat intelligence. Questo approccio ti aiuta a creare una base per un rilevamento e una risposta alle minacce più efficaci. L'approccio diGoogle Cloudai controlli di sicurezza a più livelli è in linea con questo principio.
- Utilizza l'IA in modo sicuro e responsabile: sviluppa ed esegui il deployment di sistemi di IA in modo responsabile e sicuro. I suggerimenti per questo principio sono in linea con le indicazioni riportate nel prospettivo dell'AI e del ML del Framework di architettura e nel Secure AI Framework (SAIF) di Google.
- Utilizza l'IA per la sicurezza: utilizza le funzionalità di IA per migliorare i sistemi e le procedure di sicurezza esistenti tramite Gemini in Security e le funzionalità di sicurezza della piattaforma complessiva. Utilizza l'IA come strumento per aumentare l'automazione delle attività di correzione e garantire la sicurezza per rendere più sicuri altri sistemi.
- Soddisfa le esigenze di conformità normativa e alla privacy: rispetta le normative, gli standard di conformità e i requisiti di privacy specifici del settore. Google Cloud ti aiuta a soddisfare queste obbligazioni tramite prodotti come Assured Workloads, il servizio di criteri dell'organizzazione e il nostro centro risorse per la conformità.
Mentalità di sicurezza organizzativa
Un approccio organizzativo incentrato sulla sicurezza è fondamentale per l'adozione e il funzionamento del cloud. Questo approccio deve essere profondamente radicato nella cultura della tua organizzazione e rispecchiato nelle sue pratiche, che si basano sui principi di sicurezza di base descritti in precedenza.
Un approccio alla sicurezza organizzativa sottolinea la necessità di pensare alla sicurezza durante la progettazione del sistema, di adottare il modello Zero Trust e di integrare le funzionalità di sicurezza durante il processo di sviluppo. In questo modo, puoi anche pensare in modo proattivo alle misure di cyberdifesa, utilizzare l'AI in modo sicuro e per la sicurezza e prendere in considerazione i requisiti normativi, di privacy e conformità. Se adotta questi principi, la tua organizzazione può coltivare una cultura incentrata sulla sicurezza che affronta in modo proattivo le minacce, protegge le risorse di valore e contribuisce a garantire un utilizzo responsabile della tecnologia.
Aree di interesse della sicurezza del cloud
Questa sezione descrive le aree su cui concentrarti quando pianifichi, implementi e gestisci la sicurezza delle tue applicazioni, dei tuoi sistemi e dei tuoi dati. I consigli in ogni principio di questo pilastro sono pertinenti a una o più di queste aree di interesse. Nel resto del documento, i consigli specificano le aree di attenzione per la sicurezza corrispondenti per fornire ulteriore chiarezza e contesto.
| Area di messa a fuoco | Attività e componenti | Prodotti, funzionalità e soluzioni Google Cloud correlati |
|---|---|---|
| Sicurezza dell'infrastruttura |
|
|
| Gestione di identità e accessi |
|
|
| Sicurezza dei dati |
|
|
| Sicurezza di AI e ML |
|
|
| Operazioni di sicurezza (SecOps) |
|
|
| Sicurezza delle applicazioni |
|
|
| Governance, rischio e conformità del cloud |
|
|
| Logging, controllo e monitoraggio |
|
Collaboratori
Autori:
- Wade Holmes | Global Solutions Director
- Hector Diaz | Cloud Security Architect
- Carlos Leonardo Rosario | Esperto di sicurezza Google Cloud
- John Bacon | Partner Solutions Architect
- Sachin Kalra | Global Security Solution Manager
Altri collaboratori:
- Anton Chuvakin | Security Advisor, Ufficio del CISO
- Daniel Lees | Cloud Security Architect
- Filipe Gracio, PhD | Customer Engineer
- Gary Harmson | Customer Engineer
- Gino Pelliccia | Principal Architect
- Jose Andrade | Customer Engineer per l'Infrastruttura aziendale
- Kumar Dhanagopal | Sviluppatore di soluzioni cross-product
- Laura Hyatt | Enterprise Cloud Architect
- Marwan Al Shawi | Partner Customer Engineer
- Nicolas Pintaux | Customer Engineer, specialista in modernizzazione delle applicazioni
- Noah McDonald | Consulente per la sicurezza del cloud
- Osvaldo Costa | Networking Specialist Customer Engineer
- Radhika Kanakam | Senior Program Manager, Cloud GTM
- Susan Wu | Outbound Product Manager