Questa guida è rivolta agli addetti alla sicurezza, ai responsabili della conformità, agli amministratori IT e ad altri dipendenti responsabili dell'implementazione del programma FedRAMP (Federal Risk and Authorization Management Program) e della conformità su Google Cloud. Questa guida ti aiuta a capire in che modo Google è in grado di supportare la conformità FedRAMP e quali strumenti, prodotti e servizi Google Cloud configurare per aiutarti ad adempiere alle tue responsabilità ai sensi di FedRAMP.
Panoramica
Google Cloud supporta la conformità FedRAMP e fornisce dettagli specifici sull'approccio alla sicurezza e alla protezione dei dati nel white paper sulla sicurezza di Google e nella Panoramica sulla progettazione della sicurezza dell'infrastruttura Google. Sebbene Google fornisca un'infrastruttura cloud sicura e conforme, è tua responsabilità valutare la tua conformità a FedRAMP. Hai anche la responsabilità di garantire che l'ambiente e le applicazioni che crei su Google Cloud siano adeguatamente configurati e protetti in base ai requisiti FedRAMP.
Questo documento descrive le fasi dell'autorità FedRAMP per operare (ATO) ad alto livello, spiega il modello di responsabilità condivisa di Google Cloud, evidenzia le responsabilità specifiche del cliente e suggerisce come soddisfare questi requisiti e linee guida su Google Cloud.
FedRAMP
Il Federal Risk and Authorization Management Program (FedRAMP) è un programma a livello governativo che standardizza le modalità di applicazione al cloud computing del Federal Information Security Modernization Act (FISMA). Stabilisce un approccio ripetibile alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo per i servizi basati su cloud.
Utilizzando gli standard e le linee guida di FedRAMP, puoi proteggere nel cloud dati sensibili, mission essenziali e mission critical, in modo da rilevare rapidamente le vulnerabilità della cybersicurezza.
A livello generale, FedRAMP ha i seguenti obiettivi:
- Assicurarsi che i sistemi e i servizi cloud utilizzati dagli enti statali dispongano di misure di protezione adeguate.
- Deduplicare gli sforzi e ridurre i costi di gestione del rischio.
- Consenti agli enti statali di acquisire sistemi e servizi di informazione in modo rapido ed economico.
In ottemperanza al FedRAMP, gli enti statali federali devono:
- Assicurati che tutti i sistemi cloud che elaborano, trasmettono e archiviano i dati governativi utilizzino la baseline dei controlli di sicurezza FedRAMP.
- Utilizza il piano di valutazione della sicurezza quando concedi le autorizzazioni di sicurezza ai sensi della FISMA.
- Applicare i requisiti FedRAMP mediante contratti con fornitori di servizi cloud (CSP).
Autorizzazione a operare (ATO)
L'implementazione e l'esecuzione di successo del processo di accreditamento FedRAMP culminano con un'autorità per operare (ATO) nel cloud. Esistono due percorsi per l'ATO del FedRAMP: P-ATO e Agency ATO.
La P-ATO, o Provisioningal Authority to Operate, è rilasciata dalla Joint Authorization Board (JAB) del FedRAMP. La JAB è composta da CIO del Department of Homeland Security (DHS), della General Services Administration (GSA) e del Department of Defense (DoD). Il comitato definisce i controlli di sicurezza FedRAMP di base e stabilisce i criteri di accreditamento FedRAMP per le organizzazioni di valutazione di terze parti (3PAO). Organizzazioni e agenzie richiedono l'elaborazione da parte della JAB del pacchetto di sicurezza del loro sistema informatico, che successivamente assegna al P-ATO l'utilizzo dei servizi cloud.
Tramite l'Agenzia ATO, l'organizzazione o l'agenzia interna designa i funzionari autorizzati a eseguire una revisione dei rischi del pacchetto di sicurezza del sistema informatico. L'AO può coinvolgere 3PAO o valutatori indipendenti (IA) non accreditati per esaminare il pacchetto di sicurezza del sistema informatico. L'AO e, in seguito, l'agenzia o l'organizzazione autorizzano l'utilizzo dei servizi cloud da parte del sistema informatico. Il pacchetto di sicurezza viene anche inviato al PMO (FedRAMP Program Management Office) per la revisione. GSA è il PMO di FedRAMP. Dopo la revisione, il PMO pubblica il pacchetto di sicurezza per altre agenzie e organizzazioni.
Piano di valutazione della sicurezza
I funzionari autorizzati (AO) di agenzie e organizzazioni devono incorporare il piano di valutazione della sicurezza (SAP) FedRAMP nei processi di autorizzazione interni per garantire che soddisfino i requisiti FedRAMP per l'utilizzo dei servizi cloud. La SAF viene implementata in quattro fasi:
Tu o il tuo AO categorizzate il tuo sistema informatico come sistema a impatto Basso, Moderato o Ad alto impatto in base agli obiettivi di sicurezza FIPS PUB 199 in termini di riservatezza, integrità e disponibilità.
In base alla classificazione FIPS del sistema, seleziona la base di riferimento dei controlli di sicurezza FedRAMP correlata al livello di categorizzazione FIPS 199 di basso, moderato o alto. Devi quindi implementare i controlli di sicurezza acquisiti nella rispettiva base di controllo. Sono accettabili anche implementazioni alternative e una giustificazione del motivo per cui un controllo non può essere soddisfatto o implementato.
Acquisisci i dettagli dell'implementazione dei controlli di sicurezza in un piano di sicurezza del sistema (SSP). Ti consigliamo di selezionare il modello SSP in base al livello di conformità FedRAMP: Low, Moderate o High.
L'SSP:
- Descrive il confine dell'autorizzazione di sicurezza.
- Spiega in che modo l'implementazione del sistema gestisce ciascun controllo di sicurezza FedRAMP.
- Definisce i ruoli e le responsabilità di sistema.
- Definisce il comportamento previsto degli utenti del sistema.
- Mostra come è progettata l'architettura del sistema e come appare l'infrastruttura di supporto.
Devi usare il modello di revisione dell'autorizzazione FedRAMP per monitorare i tuoi progressi nell'ATO.
Per maggiori dettagli sulle fasi di implementazione, consulta la procedura di autorizzazione delle agenzie del FedRAMP.
Modello di responsabilità cloud
La tecnologia dell'infrastruttura convenzionale (IT) richiedeva alle organizzazioni e alle agenzie l'acquisto, data center fisici o spazi di colocation, server fisici, apparecchiature di rete, software, licenze e altri dispositivi per la creazione di sistemi e servizi. Con il cloud computing, un CSP investe nell'hardware fisico, nei data center e nel networking globale, fornendo al contempo ai clienti apparecchiature, strumenti e servizi virtuali.
Esistono tre modelli di cloud computing: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS):
Nel modello IaaS, i CSP forniscono essenzialmente un data center virtuale nel cloud e offrono un'infrastruttura di computing virtualizzata, come server, reti e archiviazione. Sebbene i CSP gestiscano le apparecchiature fisiche e i data center per queste risorse, sei responsabile della configurazione e della protezione delle risorse della piattaforma o dell'applicazione che esegui sull'infrastruttura virtualizzata.
Nel modello PaaS, i CSP non solo forniscono e gestiscono il livello di infrastruttura e virtualizzazione, ma forniscono ai clienti una piattaforma preconfigurata e preconfigurata per la creazione di software, applicazioni e servizi web. PaaS consente agli sviluppatori di creare facilmente applicazioni e middleware senza preoccuparsi della sicurezza e della configurazione dell'hardware sottostante.
Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma, fornendo al contempo applicazioni e servizi basati su cloud per i clienti. Le applicazioni internet che vengono eseguite direttamente dal browser web o visitando un sito web sono applicazioni SaaS. Con questo modello, le organizzazioni e le agenzie non devono preoccuparsi di installare, aggiornare o supportare le applicazioni, ma si limitano a gestire i criteri di accesso al sistema e ai dati.
La figura seguente evidenzia le responsabilità CSP e le tue responsabilità sia on-premise che nei modelli di cloud computing:
Responsabilità di FedRAMP
Puoi visualizzare lo stack IT cloud rispetto a quattro livelli: il livello dell'infrastruttura fisica, il livello dell'infrastruttura cloud, il livello della piattaforma cloud e il livello del software cloud. Il seguente diagramma mostra questi livelli.
I livelli numerati nel diagramma corrispondono a quanto segue:
- Software as a Service. Google Workspace è anche certificato come FedRAMP Moderate. Per ereditare questi controlli di sicurezza SaaS, puoi richiedere una copia del pacchetto ATO di Google dalla JAB e includere una copia della lettera di attestazione di Google nel pacchetto.
- Platform as a Service. Oltre all'infrastruttura fisica certificata FedRAMP di Google Cloud, altri prodotti e servizi PaaS sono coperti da FedRAMP, tra cui App Engine, Cloud Storage e servizi di database. Se possibile, utilizza questi prodotti e servizi pre-certificati.
- Infrastructure as a Service. Oltre all'infrastruttura fisica certificata FedRAMP di Google Cloud, altri prodotti e servizi IaaS sono coperti da FedRAMP, tra cui Google Kubernetes Engine (GKE) e Compute Engine. Se possibile, utilizza questi prodotti e servizi pre-certificati.
- Infrastruttura fisica. Google Cloud è certificato da JAB come FedRAMP Moderate. Per ereditare questi controlli di sicurezza fisici, puoi richiedere una copia del pacchetto ATO di Google e includere nel pacchetto la lettera di attestazione di Google.
Per quanto riguarda l'ATO del FedRAMP, ogni livello dello stack IT del cloud è considerato un limite di controllo indipendente e ogni confine di controllo richiede un ATO separato. Ciò significa che, nonostante la conformità FedRAMP di Google Cloud e la disponibilità di decine di servizi Google Cloud coperti da FedRAMP, devi comunque implementare i controlli di base della sicurezza di FedRAMP e il processo SAF per qualificare i tuoi sistemi cloud e i tuoi carichi di lavoro come conformi a FedRAMP.
Esistono due tipi di controlli di sicurezza FedRAMP nelle basi di conformità bassa, moderata e elevata: i controlli implementati dal sistema informatico e i controlli implementati dall'organizzazione. Quando la tua organizzazione o agenzia crea sistemi conformi al FedRAMP su Google Cloud, erediti i controlli di sicurezza dell'infrastruttura fisica che Google soddisfa in base alla sua certificazione FedRAMP. Quando utilizzi Google Workspace, erediti anche l'infrastruttura fisica, i controlli di sicurezza IaaS e PaaS integrati nei prodotti e servizi conformi a FedRAMP di Google e in tutti i controlli SaaS. Tuttavia, devi implementare tutti gli altri controlli e configurazioni di sicurezza a livello IaaS, PaaS e SaaS, come definito dalla base dei controlli di sicurezza del FedRAMP.
Consigli per l'implementazione di FedRAMP
Come accennato, alcuni controlli di sicurezza vengono ereditati da CSP. Per gli altri controlli, devi configurarli in modo specifico e creare criteri, regole e normative definiti dall'organizzazione per soddisfare ogni controllo.
Questa sezione consiglia assistenza per l'implementazione dei controlli di sicurezza NIST 800-53 nel cloud utilizzando criteri definiti dall'organizzazione con gli strumenti, i servizi e le best practice di Google Cloud.
Controllo dell'accesso
Per gestire controllo dell'accesso in Google Cloud, definisci gli amministratori dell'organizzazione che gestiranno gli account dei sistemi informativi nel cloud. Inserisci questi amministratori nei gruppi di controllo dell'accesso utilizzando Cloud Identity, la Console di amministrazione o un altro provider di identità (ad esempio, Active Directory o LDAP), assicurando che i provider di identità di terze parti siano federati con Google Cloud. Utilizza Identity and Access Management (IAM) per assegnare ruoli e autorizzazioni ai gruppi amministrativi, implementando i privilegi minimi e la separazione dei compiti.
Sviluppare un criterio di controllo dell'accesso a livello di organizzazione per gli account dei sistemi informativi nel cloud. Definire i parametri e le procedure in base ai quali l'organizzazione crea, attiva, modifica, disattiva e rimuove gli account del sistema informatico.
Gestione degli account, separazione dei compiti e privilegio minimo
Nel criterio di controllo dell'accesso dell'accesso, definisci i parametri e le procedure tramite i quali l'organizzazione creerà, abiliterà, modificherà, disattiverà e rimuoverà gli account del sistema informatico. Definire le condizioni in base alle quali devono essere utilizzati gli account del sistema informatico.
Inoltre, identifica il periodo di inattività in cui gli utenti devono uscire da un sistema (ad esempio, dopo *x* minuti, ore o giorni). Utilizza Cloud Identity, la Console di amministrazione o le configurazioni delle applicazioni per forzare gli utenti a uscire o eseguire nuovamente l'autenticazione dopo il periodo di tempo definito.
Definisci le azioni da eseguire se le assegnazioni dei ruoli con privilegi non sono più appropriate per un utente della tua organizzazione. Policy Intelligence di Google include una funzionalità del motore per suggerimenti IAM che consente di rimuovere gli accessi indesiderati alle risorse Google Cloud utilizzando il machine learning per formulare suggerimenti intelligenti per il controllo degli accessi.
Definisci condizioni in base a cui gli account di gruppo vengano considerati appropriati. Utilizza Cloud Identity o la Console di amministrazione per creare gruppi o account di servizio. Assegna ruoli e autorizzazioni a gruppi condivisi e account di servizio utilizzando IAM. Utilizza gli account di servizio ove possibile. Specificare l'uso atipico di un account del sistema informatico per la tua organizzazione. Quando rilevi un uso atipico, utilizza strumenti come Google Cloud Observability o *Security Command Center per avvisare gli amministratori dei sistemi informativi.
Segui queste linee guida per semplificare l'implementazione dei controlli di sicurezza: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03),
Applicazione forzata del flusso di informazioni e accesso remoto
Nel controllo dell'accesso a livello di organizzazione, definisci i criteri di controllo del flusso di informazioni per la tua organizzazione. Identificare porte, protocolli e servizi vietati o con restrizioni. Definire requisiti e restrizioni per le interconnessioni con sistemi interni ed esterni. Utilizza strumenti come Virtual Private Cloud per creare firewall, reti isolate logicamente e subnet. Aiuta a controllare il flusso di informazioni implementando Cloud Load Balancing, *Traffic Director e Controlli di servizio VPC.
Quando imposti i criteri di controllo del flusso di informazioni, identifica i punti di accesso alla rete controllati per la tua organizzazione. Utilizza strumenti come Identity-Aware Proxy per fornire accesso basato sul contesto alle risorse cloud per gli utenti remoti e in loco. Utilizza Cloud VPN o Cloud Interconnect per fornire un accesso diretto e sicuro ai VPC.
Imposta criteri a livello di organizzazione per l'esecuzione di comandi con privilegi e l'accesso a dati sicuri tramite accesso remoto. Utilizza i Controlli di servizio IAM e VPC per limitare l'accesso a dati e carichi di lavoro sensibili.
Segui queste linee guida per agevolare l'implementazione di questi controlli di sicurezza: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01), CM-07(02).
Tentativi di accesso, notifica relativa all'utilizzo del sistema e chiusura della sessione
Nel criterio di controllo dell'accesso, specifica per quanto tempo un utente deve subire il ritardo prima di accedere a una richiesta di accesso se sono stati tentati 3 tentativi di accesso non riusciti nell'arco di 15 minuti. Definisci le condizioni e i trigger in base ai quali le sessioni utente vengono terminate o disconnesse.
Utilizza Cloud Identity Premium Edition o la Console di amministrazione per gestire i dispositivi mobili che si connettono alla tua rete, incluso il BYOD. Crea criteri di sicurezza a livello di organizzazione applicabili ai dispositivi mobili. Illustra i requisiti e le procedure per l'eliminazione definitiva e la cancellazione dei dati dai dispositivi mobili dopo tentativi di accesso non riusciti consecutivi.
Sviluppare notifiche relative all'utilizzo del sistema e del linguaggio a livello di organizzazione che forniscano norme sulla privacy, termini e condizioni d'uso e notifiche sulla sicurezza agli utenti che accedono al sistema informatico. Definisci le condizioni in base alle quali vengono visualizzate le notifiche a livello di organizzazione prima di concedere l'accesso agli utenti. Pub/Sub è un sistema globale di messaggistica e importazione di eventi che puoi utilizzare per eseguire il push delle notifiche alle applicazioni e agli utenti finali. Puoi anche utilizzare *Chrome Enterprise Suite, tra cui *Browser Chrome e *Chrome OS, con l'*API Push e l'*API Notifications per inviare notifiche e aggiornamenti agli utenti.
Segui queste linee guida per implementare questi controlli di sicurezza: AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01).
Azioni consentite, dispositivi mobili, condivisione di informazioni
Nel criterio di controllo dell'accesso dell'accesso, definisci le azioni utente che possono essere eseguite su un sistema informatico senza identificazione e autenticazione. Utilizza IAM per regolare l'accesso degli utenti per visualizzare, creare, eliminare e modificare risorse specifiche.
Sviluppare criteri a livello di organizzazione per la condivisione delle informazioni. Determina le circostanze in cui è possibile condividere le informazioni e quando è richiesta la discrezione dell'utente per la condivisione delle informazioni. Adottare processi per aiutare gli utenti a condividere le informazioni e collaborare in tutta l'organizzazione. Google Workspace offre un'ottima serie di funzionalità per la collaborazione e il coinvolgimento controllati tra i team.
Segui queste linee guida per implementare questi controlli di sicurezza: AC-14, AC-19 (05), AC-21.
Notorietà e formazione
Creare criteri di sicurezza e materiali per la formazione associati da distribuire a utenti e gruppi di sicurezza nella tua organizzazione almeno una volta l'anno. Google offre opzioni di servizi professionali per informare gli utenti sulla sicurezza del cloud, inclusi, a titolo esemplificativo, un impegno per la sicurezza di Cloud Discover e una valutazione della sicurezza di Google Workspace.
Aggiorna i criteri di sicurezza e la formazione inerente almeno una volta all'anno.
Seguire queste linee guida per facilitare l'implementazione del controllo di sicurezza AT-01.
Controllo e responsabilità
Creare criteri di audit a livello di organizzazione e controlli di responsabilizzazione che soddisfino le procedure e i requisiti di implementazione per il personale responsabile della revisione, gli eventi e le azioni collegati ai sistemi informativi cloud.
Nel criterio di controllo a livello di organizzazione, descrivi gli eventi che devono essere controllati nei sistemi informativi della tua organizzazione e la frequenza di controllo. Esempi di eventi registrati includono gli eventi di accesso all'account riusciti e non riusciti, gli eventi di gestione dell'account, l'accesso agli oggetti, la modifica dei criteri, le funzioni dei privilegi, il monitoraggio dei processi e gli eventi di sistema. Per le applicazioni web, gli esempi includono attività di amministrazione, controlli di autenticazione, controlli di autorizzazione, eliminazione dei dati, accesso ai dati, modifiche ai dati e modifiche alle autorizzazioni. Definisci altri eventi di interesse per la tua organizzazione.
Per il criterio di controllo, ti consigliamo inoltre di specificare indicazioni relative ad attività inappropriate o insolite per la tua organizzazione. Monitora, registra e segnala regolarmente queste attività (almeno una volta alla settimana).
Utilizza l'osservabilità di Google Cloud per gestire il logging, il monitoraggio e gli avvisi per il tuo ambiente Google Cloud, on-premise o altri ambienti cloud. Usa l'osservabilità di Google Cloud per configurare e monitorare gli eventi di sicurezza nella tua organizzazione. Puoi anche utilizzare Cloud Monitoring per impostare metriche personalizzate da monitorare per gli eventi definiti dall'organizzazione nei record di controllo.
Consente ai sistemi informativi di avvisare gli amministratori di errori nell'elaborazione dei controlli. Puoi implementare questi avvisi utilizzando strumenti come Pub/Sub e gli avvisi.
Imposta standard per inviare avvisi agli amministratori in un periodo di tempo prestabilito (ad esempio entro 15 minuti), in caso di guasto del sistema o del funzionamento, per includere il momento in cui i record di controllo raggiungono una soglia o una capacità di volume impostata. Determinare una granularità della misurazione del tempo a livello di organizzazione, in base alla quale i record di audit devono essere timestamp e registrati. Definisci il livello di tolleranza per i record con timestamp nell'audit trail del sistema informatico (ad esempio quasi in tempo reale o entro 20 minuti).
Imposta le quote delle risorse VPC per stabilire le soglie di capacità per l'archiviazione degli audit record. Configura gli avvisi relativi al budget per inviare una notifica agli amministratori quando viene raggiunta o superata una percentuale di limite delle risorse.
Definire requisiti di archiviazione a livello di organizzazione per i dati e i record di controllo, per includere la disponibilità e i requisiti di conservazione degli audit log. Utilizza Cloud Storage per archiviare e archiviare gli audit log e BigQuery per eseguire ulteriori analisi dei log.
Segui queste linee guida per implementare i controlli di sicurezza: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04, AU-1), AU-09 (02), AU-1
Valutazione e autorizzazione della sicurezza
Sviluppa una valutazione della sicurezza e un criterio di autorizzazione a livello di organizzazione che definisca le procedure e i requisiti di implementazione delle valutazioni della sicurezza, dei controlli di sicurezza e delle autorizzazioni dell'organizzazione.
Nella valutazione della sicurezza e nel criterio di autorizzazione, definisci il livello di indipendenza richiesto ai team di valutazione della sicurezza per condurre valutazioni imparziali dei sistemi informativi nel cloud. Identificare i sistemi informativi che devono essere valutati da un valutatore indipendente.
Le valutazioni della sicurezza dovrebbero riguardare almeno quanto segue:
- Monitoraggio approfondito
- Analisi delle vulnerabilità
- Test sugli utenti dannosi
- Valutazione delle minacce interne
- Test di prestazioni e carico
L'organizzazione dovrebbe definire requisiti e forme aggiuntive di valutazione della sicurezza.
Assicurati che la valutazione della sicurezza e il criterio di autorizzazione specifichino le classificazioni e i requisiti dei sistemi di sicurezza, inclusi i requisiti per i sistemi di sicurezza non classificati e non nazionali.
Nei criteri di controllo del flusso di informazioni per la tua organizzazione, descrivi i requisiti e le limitazioni per le interconnessioni con sistemi interni ed esterni. Imposta regole firewall VPC per consentire e negare il traffico ai sistemi informativi e utilizza i Controlli di servizio VPC per proteggere i dati sensibili mediante parametri di sicurezza.
Imposta criteri di controllo e responsabilizzazione a livello di organizzazione che applicano i requisiti di monitoraggio continuo (CA-07).
Segui queste linee guida per agevolare l'implementazione di questi controlli di sicurezza: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07(01), CA-08, CA-09.
Gestione della configurazione
Crea un criterio di gestione delle configurazioni a livello di organizzazione che definisca le procedure e i requisiti di implementazione per i controlli, i ruoli, le responsabilità, l'ambito e la conformità di gestione della configurazione a livello di organizzazione.
Standardizza i requisiti delle impostazioni di configurazione per i sistemi informativi e i componenti di sistema di proprietà dell'organizzazione. Fornire i requisiti operativi e le procedure per configurare i sistemi informativi. Visualizzare esplicitamente quante versioni precedenti di una configurazione di base gli amministratori di sistema sono tenuti a conservare per supportare il rollback del sistema informatico. Utilizza la suite di strumenti di gestione delle configurazioni di Google per controllare le configurazioni dei sistemi IT come codice e monitorare le modifiche alle configurazioni utilizzando *Policy Intelligence o *Security Command Center.
Specifica i requisiti di configurazione per ogni tipo di sistema informatico nella tua organizzazione (ad esempio informazioni su cloud, on-premise, ibridi, non classificati, non classificate controllate o classificate). Inoltre, definisci i requisiti di salvaguardia della sicurezza per i dispositivi di proprietà dell'organizzazione e BYOD (Bring Your Own Device) al fine di includere l'identificazione di posizioni geografiche sicure e non sicure. Utilizza Identity-Aware Proxy per applicare controlli dell'accesso basati sul contesto ai dati di proprietà dell'organizzazione, inclusi i controlli dell'accesso per posizione geografica. Utilizza la versione Cloud Identity Premium o la Console di amministrazione per applicare configurazioni di sicurezza sui dispositivi mobili che si connettono alla rete aziendale.
Nel criterio di gestione delle configurazioni, definisci un elemento di controllo delle modifiche della configurazione a livello di organizzazione, ad esempio una scheda o un comitato di controllo delle modifiche. Documenta la frequenza con cui il comitato soddisfa e le relative condizioni. Stabilisci un organismo formale per la revisione e l'approvazione delle modifiche alla configurazione.
Identifica le autorità di approvazione della gestione della configurazione per la tua organizzazione. Questi amministratori esaminano le richieste di modifica dei sistemi informativi. Definisci il periodo di tempo entro il quale le autorità devono approvare o disapprovare le richieste di modifica. Fornire indicazioni agli utenti che implementano le modifiche per avvisare le autorità di approvazione quando le modifiche al sistema informatico sono state completate.
Imposta restrizioni sull'uso del software open source nella tua organizzazione per includere le specifiche relative ai software approvati e non approvati per l'uso. Utilizza Cloud Identity o la Console di amministrazione per applicare le applicazioni e il software approvati per la tua organizzazione. Con Cloud Identity Premium, puoi abilitare l'accesso Single Sign-On e l'autenticazione a più fattori per le applicazioni di terze parti.
Utilizza strumenti come gli avvisi per inviare notifiche agli amministratori della sicurezza quando vengono registrate le modifiche alla configurazione. Concedi l'accesso amministrativo a strumenti come *Security Command Center per monitorare le modifiche alla configurazione quasi in tempo reale. Utilizzando *Policy Intelligence, puoi utilizzare il machine learning per studiare le configurazioni definite dalla tua organizzazione, aumentando la consapevolezza in merito a quando le configurazioni cambiano rispetto alla base di riferimento.
Applica almeno funzionalità in tutta la tua organizzazione utilizzando i criteri di controllo del flusso di informazioni.
Segui queste linee guida per implementare questi controlli di sicurezza: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07, CM-07 (01),
Pianificazione della contingenza
Sviluppa un piano di emergenza per la tua organizzazione che definisca le procedure e i requisiti di implementazione per i controlli della pianificazione di emergenza in tutta l'organizzazione. Identificare il personale per le emergenze chiave, i ruoli e le responsabilità tra gli elementi organizzativi.
Evidenzia le operazioni del sistema informatico essenziali per la missione e le aziende all'interno della tua organizzazione. Delinea gli RTO (Recovery Time Objective) e gli RPO (Recovery Point Objective) per riprendere le operazioni essenziali quando il piano di contingenza è stato attivato.
Sistemi informativi critici per i documenti e software associati. Identifica eventuali informazioni aggiuntive relative alla sicurezza e fornisci indicazioni e requisiti per l'archiviazione di copie di backup di componenti e dati di sistema critici. Esegui il deployment delle risorse globali, a livello di regione e di zona e di località in tutto il mondo di Google per garantire l'alta disponibilità. Usa le classi di Cloud Storage per opzioni multiregionali, regionali, di backup e di archiviazione. Implementa la scalabilità automatica della rete globale e il bilanciamento del carico con Cloud Load Balancing.
Segui queste linee guida per implementare questi controlli di sicurezza: CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03).
Identificazione e autenticazione
Crea un criterio di identificazione e autenticazione per la tua organizzazione che specifichi procedure di identificazione e autenticazione, ambiti, ruoli, responsabilità, gestione, entità e conformità. Specifica i controlli di identificazione e autenticazione richiesti dalla tua organizzazione. Utilizza Cloud Identity Premium o la Console di amministrazione per identificare i dispositivi aziendali e personali che possono connettersi alle risorse dell'organizzazione. Utilizzare Identity-Aware Proxy per applicare l'accesso sensibile al contesto alle risorse.
Includi indicazioni sui contenuti dell'autenticatore per la tua organizzazione, sulle condizioni di riutilizzo dell'autenticazione, sugli standard per la protezione degli autenticati e sugli standard per la modifica o l'aggiornamento degli autenticati. Inoltre, mostra i requisiti per l'uso di autenticazione nella cache. Specifica i limiti di tempo per l'utilizzo degli autenticatori memorizzati nella cache e crea le definizioni relative alla scadenza. Definisci i requisiti minimi e massimi di durata e i periodi di tempo di aggiornamento che devono essere applicati dai sistemi informativi della tua organizzazione.
Utilizza Cloud Identity o la Console di amministrazione per applicare criteri relativi alle password per i requisiti di sensibilità, utilizzo dei caratteri, creazione o riutilizzo di nuove password, durata e requisiti di archiviazione e trasmissione delle password.
Illustra i requisiti di autenticazione dei token hardware e software per l'autenticazione nella tua organizzazione, inclusi, a titolo esemplificativo, i requisiti delle schede PIV e dell'infrastruttura a chiave pubblica. Puoi utilizzare i token di sicurezza *Titan per applicare requisiti di autenticazione aggiuntivi per gli amministratori e il personale con privilegi.
Nel criterio di identificazione e autenticazione, descrivi i componenti del sistema informatico FICAM (Identity, Credential and Access Management) federale, che possono essere accettati per accettare terze parti nell'organizzazione. Google Identity Platform è una piattaforma di gestione di identità e accessi del cliente (GIAC) che consente alle organizzazioni di aggiungere funzionalità di gestione di identità e accessi alle applicazioni a cui accedono entità esterne.
Segui queste linee guida per agevolare l'implementazione dei controlli di sicurezza: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).
Risposta agli incidenti
Stabilisci un criterio di risposta agli incidenti per la tua organizzazione, incluse procedure per facilitare e implementare i controlli di risposta agli incidenti. Crea gruppi di sicurezza per le autorità e i team di risposta agli incidenti della tua organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per condividere log, dettagli e eventi relativi agli incidenti. *Gestione delle risposte agli incidenti (IRM) consente agli amministratori di indagare e risolvere gli incidenti di sicurezza dei sistemi informativi end-to-end.
Sviluppa un piano di test di risposta agli incidenti, procedure ed elenchi di controllo, nonché requisiti e benchmark per il successo. Specificare le classi degli incidenti che la tua organizzazione deve riconoscere e definire le azioni associate da intraprendere in risposta a tali incidenti. Definisci le azioni che ti aspetti vengano intraprese dal personale autorizzato in caso di incidente. Queste azioni potrebbero essere passaggi per gestire la perdita di informazioni, le vulnerabilità della cybersicurezza e gli attacchi.Sfrutta le funzionalità di Google Workspace per scansionare e mettere in quarantena i contenuti delle email, bloccare i tentativi di phishing e impostare limitazioni sugli allegati. Utilizza Sensitive Data Protection per esaminare, classificare e anonimizzare i dati sensibili per contribuire a limitare l'esposizione.
Specifica i requisiti a livello di organizzazione per la formazione sulla risposta agli incidenti, inclusi i requisiti di addestramento per gli utenti generali e i ruoli e le responsabilità con privilegi. Applicare i requisiti relativi al periodo di tempo per seguire la formazione (ad esempio, entro 30 giorni dall'iscrizione, trimestrale o annuale).
Segui queste linee guida per agevolare l'implementazione dei controlli di sicurezza: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09 (03), IR-09 (04).
Manutenzione del sistema
Crea un criterio di manutenzione del sistema per la tua organizzazione, documentando i controlli di manutenzione del sistema, i ruoli, le responsabilità, la gestione, i requisiti di coordinamento e la conformità. Definisci i parametri per la manutenzione controllata, inclusi i processi di approvazione per l'esecuzione di riparazioni e manutenzione fuori sede, nonché i tempi di risposta a livello di organizzazione per la sostituzione dei dispositivi e dei componenti guasti. La tua organizzazione trarrà vantaggio dalla eliminazione dei dati su Google Cloud dalla sanitizzazione dei dati e dalle apparecchiature e dalla sicurezza e innovazione dei data center di Google per la manutenzione e le riparazioni fuori sede.
Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MA-01, MA-02, MA-06.
Protezione dei contenuti multimediali
Nell'ambito dell'ATO FedRAMP di Google Cloud, soddisfi i requisiti di protezione dei media per l'infrastruttura fisica. Esamina la progettazione della sicurezza dell'infrastruttura e la panoramica sulla sicurezza di Google. Successivamente, sei responsabile del rispetto dei requisiti di sicurezza dell'infrastruttura virtuale.
Sviluppa un criterio di protezione dei contenuti multimediali per la tua organizzazione, documentando i controlli multimediali, i criteri e le procedure di protezione, i requisiti di conformità e i ruoli e le responsabilità di gestione. Documentare le procedure per facilitare e implementare le protezioni dei media in tutta l'organizzazione. Crea gruppi di sicurezza che identificano i membri del personale e i ruoli per la gestione dei contenuti multimediali e le relative protezioni.
Specifica i tipi di contenuti multimediali approvati e gli accessi per la tua organizzazione, incluse le restrizioni relative ai media digitali e non. Imposta le etichette dei supporti e le eccezioni relative alla gestione dei contenuti multimediali che devono essere implementate in tutta l'organizzazione, compresi i requisiti di contrassegno di sicurezza all'interno e all'esterno delle aree di accesso controllato. Utilizza *Data Catalog per gestire i metadati delle risorse cloud, semplificando il rilevamento dei dati. Controlla la conformità delle risorse cloud nella tua organizzazione, regolando la distribuzione e il rilevamento di risorse cloud con *Service Catalog.
Identifica come sanitizzare, smaltire o riutilizzare i contenuti multimediali gestiti dalla tua organizzazione. Illustrare i casi d'uso e le circostanze in cui sono richiesti o accettabili la sanitizzazione, lo smaltimento o il riutilizzo di contenuti multimediali e dispositivi. Definisci i metodi e i meccanismi di salvaguardia dei contenuti multimediali che la tua organizzazione ritiene accettabili.
Con Google, potrai trarre vantaggio dall'eliminazione dei dati sulla sanitizzazione dei dati e delle apparecchiature di Google Cloud, nonché dalla sicurezza e dall'innovazione dei data center di Google. Inoltre, Cloud KMS e Cloud HSM forniscono protezione crittografica conforme a FIPS e puoi utilizzare *token di sicurezza Titan per applicare ulteriori requisiti di autenticazione fisica per amministratori e personale con privilegi.
Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07.
Protezione fisica e ambientale
Nell'ambito dell'ATO FedRAMP di Google Cloud, rispettiamo i requisiti di protezione fisica e ambientale per l'infrastruttura fisica. Esamina la progettazione della sicurezza dell'infrastruttura e la panoramica sulla sicurezza di Google. Successivamente, sei responsabile del rispetto dei requisiti di sicurezza dell'infrastruttura virtuale.
Stabilisci un criterio di protezione fisica e ambientale per la tua organizzazione, delineando i controlli di protezione, le entità di protezione, gli standard di conformità, i ruoli, le responsabilità e i requisiti di gestione. Descrivi come implementare la protezione fisica e ambientale in tutta la tua organizzazione.
Crea gruppi di sicurezza che identificano il personale e i ruoli per la gestione delle protezioni fisiche e ambientali. Richiedi agli amministratori che accedono a risorse di calcolo sensibili di utilizzare token di sicurezza Titan o altri tipi di MFA per verificare l'integrità dell'accesso.
Nei criteri di protezione fisica e ambientale, definisci i requisiti di controllo degli accessi fisici per la tua organizzazione. Identifica i punti di ingresso e di uscita delle strutture per i siti dei sistemi informativi, le salvaguardie di controllo dell'accesso per tali strutture e i requisiti di inventario. Sfrutta strumenti come *Google Maps Platform per visualizzare e tracciare visivamente le strutture e i punti di ingresso e uscita per le mappature di località. Utilizza Resource Manager e *catalogo dei servizi per controllare l'accesso alle risorse cloud, rendendole organizzate e facilmente rilevabili.
Utilizza Cloud Monitoring per configurare eventi, accessi e incidenti registrabili. Definisci gli eventi di accesso fisico a livello di organizzazione che devono essere registrati in Cloud Logging. Utilizza *Gestione delle risposte agli incidenti per affrontare gli incidenti di sicurezza fisica che si sono attivati e consolidare i risultati in *Security Command Center.
Utilizza i criteri di protezione fisica e ambientale per tenere conto di situazioni di emergenza, come l'arresto di emergenza dei sistemi informativi, l'alimentazione di emergenza, i sistemi di soppressione degli incendi e la risposta alle emergenze. Identifica i punti di contatto per le emergenze, inclusi i personale di primo intervento locali e il personale della sicurezza fisica per la tua organizzazione. Definire i requisiti e le località dei siti di lavoro alternativi. Specificare i controlli di sicurezza e il personale per i siti di lavoro principali e alternativi. Esegui il deployment delle risorse globali, a livello di regione e di zona di Google e delle località in tutto il mondo per l'alta disponibilità. Utilizza le classi di Cloud Storage per opzioni multiregionali, a livello di regione, di backup e di archiviazione. Implementa la scalabilità automatica della rete globale e il bilanciamento del carico con Cloud Load Balancing. Creare modelli di deployment dichiarativi per stabilire un processo di deployment ripetibile basato su modelli.
Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17.
Pianificazione della sicurezza del sistema
Sviluppa un criterio di pianificazione della sicurezza per la tua organizzazione, delineando i controlli di pianificazione della sicurezza, i ruoli, le responsabilità, la gestione, le entità di pianificazione della sicurezza per la tua organizzazione e i requisiti di conformità. Definisci come prevedi che verrà implementata la pianificazione per la sicurezza in tutta la tua organizzazione.
Crea gruppi per definire di conseguenza il personale per la pianificazione della sicurezza. Specifica i gruppi di sicurezza per le valutazioni della sicurezza, gli audit, la manutenzione hardware e software, la gestione delle patch e la pianificazione di emergenza per la tua organizzazione. Usa strumenti come Google Cloud Observability o *Security Command Center per monitorare la sicurezza, la conformità e controllo dell'accesso in tutta l'organizzazione.
Segui queste linee guida per agevolare l'implementazione di questi controlli di sicurezza: PL-01, PL-02, PL-02 (03).
Sicurezza del personale
Crea un criterio di sicurezza del personale che identifichi il personale addetto alla sicurezza, i loro ruoli e responsabilità, come prevedete l'implementazione della sicurezza del personale e quali controlli di sicurezza del personale applicare all'interno dell'organizzazione. Acquisisci le condizioni che richiederebbero ai singoli utenti di passare sottoporsi a screening, nuovo filtro e analisi della sicurezza dell'organizzazione. Delinea i requisiti per le autorizzazioni di sicurezza nella tua organizzazione.
Includi istruzioni per affrontare il licenziamento e il trasferimento del personale. Definire i bisogni e i parametri per i colloqui finali e gli argomenti di sicurezza che dovrebbero essere affrontati durante questi colloqui. Specifica quando prevedi che le entità di sicurezza e amministrazione dell'organizzazione vengano avvisate della cessazione, del trasferimento o della riassegnazione del personale (ad esempio, entro 24 ore). Specifica le azioni che il personale e l'organizzazione dovrebbero completare per un trasferimento, una riassegnazione o una risoluzione. Inoltre, devi coprire i requisiti per l'applicazione di sanzioni formali per i dipendenti. Spiega quando prevedi che il personale addetto alla sicurezza e gli amministratori ricevano notifiche relative alle sanzioni per i dipendenti e spiega le procedure di sanzione.
Utilizza IAM per assegnare ruoli e autorizzazioni al personale. Aggiungi, rimuovi, disattiva e abilita i profili e gli accessi del personale in Cloud Identity o nella Console di amministrazione. Forza requisiti aggiuntivi di autenticazione fisica per amministratori e personale con privilegi utilizzando i token di sicurezza *Titan.
Segui queste linee guida per implementare questi controlli di sicurezza: PS-01, PS-03, PS-04, PS-05, PS-07, PS-08.
Analisi del rischio
Implementa una politica di valutazione del rischio che identifichi il personale addetto alla valutazione del rischio, i controlli che ti aspetti di essere applicati all'interno dell'organizzazione e le procedure per eseguire la valutazione del rischio nella tua organizzazione. Definisci il modo in cui ti aspetti che vengano documentate e segnalate le valutazioni del rischio. Usa strumenti come *Security Command Center per notificare automaticamente al personale per la sicurezza i rischi per la sicurezza e il livello di sicurezza complessivo della tua organizzazione.
Sfrutta la suite di strumenti di valutazione del rischio di Google come Web Security Scanner, Artifact Analysis, Google Cloud Armor e Protezione da phishing e malware di Google Workspace per analizzare e segnalare le vulnerabilità all'interno dei sistemi informativi della tua organizzazione. Rendi disponibili questi strumenti al personale addetto alla valutazione dei rischi e agli amministratori per identificare ed eliminare le vulnerabilità.
Queste linee guida gettano le basi per l'implementazione dei seguenti controlli di sicurezza: RA-01, RA-03, RA-05.
Acquisizione di sistemi e servizi
Sviluppa una politica di acquisizione di sistemi e servizi che descriva i ruoli e le responsabilità chiave del personale, la gestione delle acquisizioni e dei servizi, la conformità e le entità. Descrivere le procedure di acquisizione di sistemi e servizi e le linee guida per l'implementazione per la tua organizzazione. Definire il ciclo di vita dello sviluppo del sistema della tua organizzazione per la sicurezza delle informazioni. Descrivere le responsabilità e i ruoli relativi alla sicurezza delle informazioni, il personale e come prevedi i criteri di valutazione del rischio della tua organizzazione per guidare e influenzare le attività del ciclo di vita dello sviluppo dei sistemi.
Evidenzia le procedure che prevedi di eseguire all'interno della tua organizzazione quando la documentazione del sistema informatico non è disponibile o non è definita. Coinvolgi gli amministratori del sistema informatico della tua organizzazione e il personale dei servizi di sistema, se necessario. Definire l'eventuale formazione richiesta per gli amministratori e gli utenti che implementano o accedono ai sistemi informativi nella tua organizzazione.
Usa strumenti come *Security Command Center per tenere traccia della conformità della sicurezza, dei risultati e dei criteri di controllo della sicurezza per la tua organizzazione. Google descrive tutti i suoi standard di sicurezza, normative e certificazioni per aiutare i clienti a istruire i clienti su come soddisfare i requisiti di conformità e le leggi su Google Cloud. Inoltre, Google offre una suite di prodotti per la sicurezza per aiutare i clienti a monitorare continuamente i sistemi informativi, le comunicazioni e i dati sia nel cloud che on-premise.
Specificare eventuali limitazioni geografiche relative ai dati, ai servizi e al trattamento delle informazioni della tua organizzazione e alle condizioni in cui i dati possono essere archiviati altrove. Google offre opzioni globali, a livello di regione e di zona per l'utilizzo di archiviazione, elaborazione e servizi dei dati in Google Cloud.
Sfrutta i criteri di gestione della configurazione per regolare la gestione della configurazione degli sviluppatori per i controlli di acquisizione dei sistemi e dei servizi e utilizza i criteri di valutazione e autorizzazione della sicurezza per applicare i requisiti di test e valutazione della sicurezza degli sviluppatori.
Segui queste linee guida per agevolare l'implementazione di questi controlli di sicurezza: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.
Protezione del sistema e delle comunicazioni
Crea un criterio di protezione del sistema e delle comunicazioni che definisca i ruoli e le responsabilità chiave del personale, i requisiti di implementazione delle politiche di protezione della comunicazione dei sistemi e i controlli di protezione richiesti per la tua organizzazione. Identificare i tipi di attacco denial of service che l'organizzazione riconosce e monitora e delinea i requisiti di protezione DoS per l'organizzazione.
Utilizza l'osservabilità di Google Cloud per registrare, monitorare e creare avvisi sugli attacchi alla sicurezza predefiniti contro la tua organizzazione. Implementa strumenti come Cloud Load Balancing e Google Cloud Armor per salvaguardare il tuo perimetro cloud e sfrutta i servizi VPC come firewall e controlli di sicurezza della rete per proteggere la tua rete cloud interna.
Identifica i requisiti di disponibilità delle risorse della tua organizzazione, definisci come prevedi che le risorse cloud siano allocate all'interno dell'organizzazione e quali vincoli implementare per limitare l'utilizzo eccessivo. Utilizza strumenti come Resource Manager per controllare l'accesso alle risorse a livello di organizzazione, cartella, progetto e singola risorsa. Imposta le quote delle risorse per gestire le richieste API e l'utilizzo delle risorse in Google Cloud.
Stabilire i requisiti di protezione dei confini per i tuoi sistemi informativi e le comunicazioni di sistema. Definisci i requisiti per il traffico di comunicazioni interno e come prevedi che il traffico interno interagisca con le reti esterne. Specifica i requisiti per i server proxy e altri componenti di routing e autenticazione di rete.
Sfrutta *Traffic Director per gestire il traffico di rete e il flusso di comunicazione per la tua organizzazione. Utilizza Identity-Aware Proxy per controllare l'accesso alle risorse cloud in base a autenticazione, autorizzazione e contesto, inclusa la posizione geografica o l'impronta digitale del dispositivo. Implementa *accesso privato Google, *Cloud VPN o *Cloud Interconnect per proteggere il traffico di rete e le comunicazioni tra risorse interne ed esterne. Utilizza VPC per definire e proteggere le reti cloud della tua organizzazione e stabilire subnet per isolare ulteriormente le risorse cloud e i perimetri di rete.
Google offre reti globali software-defined con opzioni multiregionali, regionali e di zona per l'alta disponibilità e il failover. Definisci i requisiti di errore per la tua organizzazione per garantire che i sistemi informativi non tornino a uno stato noto. Acquisisci i requisiti per la conservazione delle informazioni sullo stato del sistema informatico. Utilizza i gruppi di istanze gestite e i modelli di Deployment Manager per rinforzare le risorse non riuscite o in stato non integro. Concedi agli amministratori l'accesso a *Security Command Center per monitorare attivamente la riservatezza, l'integrità e la disponibilità della tua organizzazione.
Nel criterio, descrivi i requisiti della tua organizzazione per la gestione delle chiavi di crittografia, compresi i requisiti per la generazione, la distribuzione, l'archiviazione, l'accesso e l'eliminazione delle chiavi. Usa Cloud KMS e Cloud HSM per gestire, generare, utilizzare, ruotare, archiviare ed eliminare i token di sicurezza conformi a FIPS nel cloud.
Google cripta i dati at-rest per impostazione predefinita. Tuttavia, puoi utilizzare Cloud KMS con Compute Engine e Cloud Storage per criptare ulteriormente i dati utilizzando chiavi di crittografia. Puoi anche eseguire il deployment di VM schermate per applicare controlli di integrità a livello di kernel su Compute Engine
Segui queste linee guida per facilitare l'implementazione di questi controlli di sicurezza: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28 (01, SC-28).
Integrità del sistema e delle informazioni
Implementare una politica di integrità del sistema e delle informazioni che definisca i ruoli e le responsabilità chiave del personale, le procedure e i requisiti di implementazione dell'integrità, gli standard di conformità e i controlli di sicurezza per l'organizzazione. Crea gruppi di sicurezza per il personale della tua organizzazione responsabile dell'integrità del sistema e delle informazioni. Definire i requisiti di correzione delle imperfezioni per la tua organizzazione, in modo da includere linee guida per il monitoraggio, la valutazione, l'autorizzazione, l'implementazione, la pianificazione, il benchmarking e la correzione dei difetti di sicurezza nella tua organizzazione e nei suoi sistemi informativi.
Sfrutta la suite di strumenti di sicurezza di Google, inclusi, a titolo esemplificativo:
- Browser Chrome
- Web Security Scanner
- Analisi degli artefatti
- Protezioni di Google Workspace da phishing e malware
- Centro sicurezza Google Workspace
- Google Cloud Armor
Utilizza questi strumenti per:
- Proteggiti da codice dannoso, attacchi informatici e vulnerabilità comuni.
- Mettere in quarantena lo spam e impostare criteri relativi a spam e malware.
- Avvisare gli amministratori sulle vulnerabilità.
- Ottieni insight in tutta la tua organizzazione per una gestione centralizzata.
Usa strumenti come Google Cloud Observability o *Security Command Center per gestire, inviare avvisi e monitorare centralmente i controlli e i risultati di sicurezza della tua organizzazione. In particolare, utilizza l'osservabilità di Google Cloud per registrare le azioni amministrative, gli accessi ai dati e gli eventi di sistema avviati da utenti con privilegi e personale all'interno dell'organizzazione. Inviare una notifica agli amministratori sui messaggi e sulla gestione degli errori del sistema informatico.
Definire eventi rilevanti per la sicurezza relativi a software, firmware e informazioni della tua organizzazione (ad esempio vulnerabilità zero-day, eliminazione non autorizzata di dati, installazione di nuovo hardware, software o firmware). Spiegare i passaggi da intraprendere quando si verificano questi tipi di cambiamenti rilevanti per la sicurezza. Specifica gli obiettivi di monitoraggio e gli indicatori di attacco a cui gli amministratori devono prestare particolare attenzione, in modo da includere informazioni essenziali da monitorare all'interno dei sistemi di informazione di tutta l'organizzazione. Definire ruoli e responsabilità per il monitoraggio del sistema e delle informazioni, nonché la frequenza del monitoraggio e della generazione di report (ad esempio in tempo reale, ogni 15 minuti, ogni ora o ogni trimestre).
Acquisisci i requisiti per l'analisi del traffico di comunicazione per i sistemi informativi di tutta l'organizzazione. Specifica i requisiti per il rilevamento di anomalie, inclusi i punti di sistema per il monitoraggio. *I servizi di Network Intelligence Center di Google consentono di eseguire in modo approfondito le prestazioni della rete e il monitoraggio della sicurezza. Google ha inoltre forti partnership con terze parti che si integrano con Google Cloud per la scansione e la protezione di host e endpoint cloud, come +Aqua Security e +Crowdstrike. Le Shielded VM consentono di proteggere i dispositivi, verificare l'autenticazione e garantire processi di avvio protetto.
Definisci le modalità di controllo e protezione della tua organizzazione contro anomalie di sicurezza e violazioni dell'integrità. Usa strumenti come *Security Command Center o *Policy Intelligence per monitorare e rilevare le modifiche alla configurazione. Usa gli strumenti di gestione della configurazione o i modelli di Deployment Manager per rinforzare o interrompere le modifiche alle risorse cloud.
Nei criteri relativi alle informazioni e all'integrità del sistema, specifica i requisiti per l'autorizzazione e l'approvazione dei servizi di rete della tua organizzazione. Descrivere i processi di approvazione e autorizzazione per i servizi di rete. Il VPC è essenziale per definire le reti cloud e la subnet utilizzando i firewall per proteggere i perimetri di rete. Controlli di servizio VPC consente di applicare perimetri di sicurezza di rete aggiuntivi per i dati sensibili nel cloud.
Inoltre, eredita automaticamente lo stack di avvio sicuro e l'affidabile infrastruttura di difesa in profondità di Google.
Segui queste linee guida per implementare questi controlli di sicurezza: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (20),
Conclusione
La sicurezza e la conformità nel cloud sono uno sforzo congiunto per conto tuo e del tuo CSP. Sebbene Google garantisca che l'infrastruttura fisica e i servizi corrispondenti supportino la conformità a decine di standard, normative e certificazioni di terze parti, hai l'obbligo di garantire che tutto ciò che crei nel cloud sia conforme.
Google Cloud ti supporta nelle tue attività di conformità fornendo lo stesso insieme di prodotti e funzionalità di sicurezza che Google utilizza per proteggere la sua infrastruttura.
Passaggi successivi
- Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Visita il nostro Cloud Architecture Center.