Guia de implementação do FedRAMP do Google Cloud

Estabelecer as políticas e os controles em conformidade com o FedRAMP no GCP
, março de 2020

Público-alvo

Para clientes sujeitos aos requisitos do Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP, na sigla em inglês), o Google Cloud Platform é compatível com o FedRAMP. Este guia destina-se a agentes de segurança e de conformidade, administradores de TI e outros funcionários responsáveis pela implementação e conformidade do FedRAMP no Google Cloud Platform. Este guia ajudará você a entender como o Google é compatível com a conformidade do FedRAMP, além de entender quais ferramentas, produtos e serviços do Google Cloud configurar para ajudar a atender às suas responsabilidades no FedRAMP.

Visão geral

O Google Cloud Platform é compatível com o FedRAMP e fornece detalhes específicos sobre a abordagem de segurança e proteção de dados no whitepaper de segurança do Google e na Visão geral do esquema de segurança da infraestrutura do Google. O Google oferece uma infraestrutura em nuvem segura e compatível, mas os clientes são os responsáveis por avaliar a própria conformidade com o FedRAMP e garantir que o ambiente e os aplicativos criados com base no Google Cloud Platform estejam configurados corretamente e protegidas de acordo com os requisitos do FedRAMP.

Este documento descreve as fases da FedRAMP Authority (ATO) em alto nível, explica o modelo de responsabilidade compartilhada do Google Cloud, destaca responsabilidades específicas do cliente e sugere como atender a esses requisitos e diretrizes sobre Google Cloud Platform

FedRAMP

O Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP, na sigla em inglês) é um programa do governo que padroniza a forma como a Lei de Sistemas de Informação Federal (FISMA, na sigla em inglês) se aplica à nuvem. computação. Ela estabelece uma abordagem repetível para avaliação de segurança, autorização e monitoramento contínuo para serviços baseados em nuvem.

O uso dos padrões e diretrizes do FedRAMP, os dados essenciais, essenciais e essenciais de missão pode ser protegido na nuvem, o que possibilita detectar vulnerabilidades de segurança cibernéticas rapidamente.

Em um nível alto, os objetivos do FedRAMP são:

  • Garantir que os serviços e os serviços em nuvem usados por agências governamentais tenham proteções adequadas

  • Duplique os esforços e reduza os custos de gerenciamento de risco

  • Possibilite que agências governamentais adquirem sistemas e informações de forma rápida e econômica

Em conformidade com o FedRAMP, as agências governamentais federais devem:

  • Verificar se todos os sistemas de nuvem que processam, transmitem e armazenam dados governamentais usam os valores de referência dos controles de segurança do FedRAMP

  • Usar o framework de avaliação de segurança ao conceder autorizações de segurança para a FISMA

  • Aplicar requisitos de FedRAMP por meio de contratos com provedores de serviços de nuvem (CSPs, na sigla em inglês)

Autoridade para operar (ATO, na sigla em inglês)

A implementação e a execução bem-sucedidas do processo de certificação do FedRAMP envolve uma autoridade de operação (ATO, na sigla em inglês) na nuvem. Há dois caminhos para a FedRAMP ATO: P-ATO e ATO da agência.

A P-ATO, ou Autoridade provisória para operar, é concedida pelo FedRAMP Join Authorization Board (JAB). O JAB é composto por CIOs de DHS, GSA e DoD; Elas definem os controles de segurança do FedRAMP e estabelecem os critérios de certificação do FedRAMP para organizações de avaliação de terceiros (3PAOs). Organizações e agências solicitam que o pacote de segurança do sistema de informações processado pela JAB e, posteriormente, o JAB emite P-ATO para usar os serviços em nuvem.

Com a Agência ATO, a organização interna ou a agência designa funcionários oficiais (AOs) para realizar uma análise de risco do pacote de segurança do sistema de informações. A AO pode engajar 3PAOs ou avaliadores independentes e não certificados para avaliar o pacote de segurança do sistema de informações. A AO e, em seguida, a agência ou organização autoriza o uso do serviço de nuvem pelo sistema de informações. O pacote de segurança também é enviado para análise pelo FedRAMP Program Office (PMO), o GSA é o PMO da FedRAMP. Depois da revisão, o gerente de segurança publicou o pacote de segurança para outras agências e organizações.

Framework de avaliação de segurança

Autorizar oficiais (AOs, na sigla em inglês) em agências e organizações precisa incorporar a biblioteca de avaliação de segurança (SAF, na sigla em inglês) do FedRAMP nos processos de autorização interna para garantir que atendam aos requisitos do FedRAMP para serviços em nuvem. uso. O SAF é implementado em quatro fases:

Fase de avaliação de segurança

Fase 1: documentação

A organização ou agência categoriza o sistema de informações como um sistema Baixo, Moderado ou Alto impacto de acordo com a segurança do FIPS PUB 199 objetivos de confidencialidade, integridade e disponibilidade.

Com base na categorização FIPS do sistema, a organização ou a agência deve selecionar a linha de base dos controles de segurança do FedRAMP, que está relacionada ao nível de categorização baixo, moderado, do FIPS 199 ou alto.

Os proprietários dos sistemas de informações precisam implementar os controles de segurança capturados no respectivo valor de referência de controles. Implementações alternativas e justificativa para por que não é possível atender ou implementar um controle também é aceitável.

Os detalhes da implementação dos controles de segurança precisam ser capturados em um plano de segurança do sistema (SSP, na sigla em inglês). Os proprietários de sistema precisam selecionar o modelo de SSP de acordo com o nível de conformidade direcionado ao FedRAMP: baixo, Moderado ou Alto

O SSP descreve o limite de autorização de segurança, explica como a implementação do sistema abordará cada controle de segurança do FedRAMP, descreverá os papéis e as responsabilidades do sistema, definirá o comportamento esperado do usuário do sistema, mostrará como o sistema foi arquitetado e o que uma infraestrutura de suporte.

Use o modelo de revisão de autorização do FedRAMP para rastrear seu progresso da ATO.

Consulte o processo de autorização da agência do FedRAMP para mais detalhes sobre as fases de implementação.

Modelo de responsabilidade da nuvem

As tecnologias de infraestrutura tradicional (IT, na sigla em inglês) exigem que as organizações e agências comprem, data centers ou espaço de colocation, servidores físicos, equipamentos de rede, software, licenças e outros dispositivos para a criação de sistemas e serviços. Com a computação em nuvem, um provedor de serviços de nuvem investe no hardware físico, no data center e na rede global e, ao mesmo tempo, oferece equipamentos, ferramentas e serviços virtuais para os clientes usarem.

Existem três modelos de computação em nuvem: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS).

No modelo IaaS, as CSPs essencialmente fornecem um data center virtual na nuvem. Eles oferecem infraestrutura de computação virtualizada, como servidores, redes e armazenamento. Enquanto os CSPs gerenciam o equipamento físico e os data centers para esses recursos, os clientes são responsáveis por configurar e proteger qualquer uma das funcionalidades ou dos recursos de aplicativos executados na infraestrutura virtualizada.

No modelo PaaS, os CSPs não apenas fornecem e gerenciam a camada e a camada de virtualização, eles também fornecem aos clientes uma plataforma pré-desenvolvida para criar software, aplicativos, e serviços da Web. A PaaS facilita a criação de aplicativos e middleware sem a preocupação com segurança e configuração do hardware subjacente.

No modelo SaaS, os CSPs gerenciam toda a infraestrutura física e virtual e a camada de plataforma, enquanto fornecem aplicativos e serviços baseados em nuvem para os clientes consumirem. Os aplicativos de Internet executados diretamente no navegador da Web ou acessando um site são aplicativos SaaS. Com esse modelo, as organizações e agências não precisam se preocupar com a instalação, atualização ou suporte a aplicativos. Basta gerenciar as políticas de acesso ao sistema e aos dados.

A figura abaixo destaca a responsabilidade da CSP e a responsabilidade do cliente no local e em todos os modelos de computação em nuvem:

Responsabilidade de FedRAMP

A pilha de TI da nuvem pode ser visualizada em relação a quatro camadas: a camada de infraestrutura física, a camada da infraestrutura em nuvem, a camada da plataforma em nuvem e a camada do software na nuvem.

estrutura de camadas da pilha de TI da nuvem

Com relação à ATO do FedRAMP, cada camada da pilha de TI da nuvem é considerada um limite de controle independente e cada limite de controle requer uma ATO separada. Isso significa que, apesar da conformidade do FedRAMP do Google Cloud Platform e de dezenas de serviços do Google Cloud cobertos pelo FedRAMP, os clientes ainda precisam implementar o valor de referência de segurança do FedRAMP e o processo de SAF para qualificar os sistemas de nuvem e as cargas de trabalho como em conformidade com o FedRAMP.

Há dois tipos de controles de segurança do FedRAMP em valores de referência de baixa, moderada e de alta conformidade: controles implementados pelo sistema de informações e controles implementados pela organização. organizations medida que organizações e agências desenvolvem sistemas compatíveis com o FedRAMP no Google Cloud, eles herdam os controles de segurança da infraestrutura física que o Google cumpre com a certificação do FedRAMP. Além disso, eles herdam todos os controles de segurança de infraestrutura física, IaaS e PaaS que estão integrados a produtos e serviços em conformidade com o FedRAMP do Google e todos os controles de SaaS quando você usar o Google. Espaço de trabalho. No entanto, os clientes precisam implementar todos os outros controles e configurações de segurança nos níveis de IaaS, PaaS e SaaS, conforme definido pelo valor de referência dos controles de segurança do FedRAMP.

Para aproveitar os controles de segurança fornecidos pelo Google Cloud, solicite uma cópia do pacote ATO do Google do JAB e inclua o pacote na organização. na papel de avaliação de segurança da agência. Além disso, inclua uma cópia da carta de atestado do Google de conformidade com o FedRAMP.

Recomendações de implementação do FedRAMP

Como mencionado, os clientes herdam alguns controles de segurança do provedor de serviços de nuvem, enquanto outros precisam ser configurados especificamente pelo cliente. Muitos dos controles de segurança que precisam ser configurados pelo cliente exigem que as agências e organizações criem políticas, regras e regulamentos definidos pela organização para obedecer ao controle. Nesta seção, você verá recomendações para ajudar os clientes na implementação dos controles de segurança NIST 800-53 na nuvem. Isso é feito por meio de políticas definidas pela organização, combinadas com ferramentas, serviços e práticas recomendadas do GCP.

Observação: os serviços listados nesta seção marcados com * não são cobertos pelo FedRAMP e os serviços marcados com + não são serviços nativos do Google Cloud.

Access Control

Para gerenciar o controle de acesso no Google Cloud, defina administradores da organização que gerenciarão contas do sistema de informações na nuvem. Coloque esses administradores em grupos de controle de acesso usando o Cloud Identity, o Admin Console ou algum outro provedor de identidade (por exemplo, Active Directory, LDAP etc.), garantindo que os provedores de identidade de terceiros sejam federados com o Google Cloud. Use o Cloud Identity and Access Management (IAM) para atribuir papéis e permissões a grupos administrativos, implementando o mínimo de privilégio e separação de tarefas.

Desenvolva uma política de controle de acesso para toda a organização para contas do sistema de informações na nuvem. Defina os parâmetros e procedimentos usados pela sua organização para criar, ativar, modificar, desativar e remover contas do sistema de informações.

Gerenciamento de contas, separação de tarefas, menor privilégio

Na política de controle de acesso, defina os parâmetros e procedimentos que serão usados para criar, ativar, modificar, desativar e remover contas do sistema de informações pela organização. Defina as condições em que as contas do sistema de informações serão usadas.

Além disso, identifique o período de inatividade em que os usuários terão que sair de um sistema, por exemplo, após x minutos, horas e dias. Use o Cloud Identity, o Admin Console ou as configurações do aplicativo para forçar os usuários a sair e/ou autenticar novamente após o período definido.

Defina quais ações devem ser realizadas quando as atribuições de papel privilegiadas não forem mais apropriadas para um usuário na sua organização. O *Policy Intelligence do Google tem um recurso de recomendação do IAM que ajuda as organizações a remover o acesso indesejado a recursos do GCP usando machine learning para fazer recomendações inteligentes de controle de acesso.

Defina as condições em que as contas de grupos são apropriadas. Use o Cloud Identity ou o Admin Console para criar grupos ou contas de serviço. Atribua papéis e permissões a grupos compartilhados e contas de serviço usando o Cloud Identity and Access Management (IAM). Use contas de serviço sempre que possível.

Especifique o uso típico de uma conta do sistema de informações da sua organização e use ferramentas como o Cloud Operations Suite, * Cloud Security Command Center. ou *Forseti Security para alertar o administrador do sistema de informações sobre uso típico.

Siga estas diretrizes para ajudar na implementação desses controles de segurança: AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23).

Aplicação do fluxo de informações, acesso remoto

Na política de controle de acesso para toda a organização, defina políticas de controle de fluxo de informações na organização. Identifique protocolos, protocolos e serviços proibidos ou restritos. Defina requisitos e restrições para interconexões com sistemas internos e externos. Use ferramentas como o Cloud VPC para criar firewalls, redes e sub-redes isoladas logicamente. Balanceadores de carga do Cloud, *Traffic Director e VPC Service Controls podem ser implementados para ajudar a controlar o fluxo. de informações.

Ao definir políticas de controle de fluxo de informações, identifique pontos de acesso de rede controlados para sua organização. Use ferramentas como o Cloud Identity-Aware Proxy para fornecer acesso baseado em contexto a recursos de nuvem para usuários remotos e locais. Use o Cloud VPN ou o Cloud Interconnect para fornecer acesso seguro e direto às VPCs do Cloud.

Defina políticas para toda a organização para executar comandos privilegiados e acessar dados seguros no acesso remoto. Use o Cloud IAM e o VPC Service Controls para restringir o acesso a dados confidenciais e cargas de trabalho.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07(01) e CM-07(02).

Tentativas de logotipos, notificação de uso do sistema, encerramento de sessão

Na política de controle de acesso, especifique por quanto tempo um usuário precisa ficar atrasado para acessar um prompt de logon quando três tentativas de login sem sucesso tiverem sido excedidas em um período de 15 minutos. Defina condições e acionadores para os quais as sessões de usuário serão encerradas ou desconectadas.

Use o Cloud Identity Premium Edition ou o Admin Console para gerenciar dispositivos móveis que se conectam à sua rede, incluindo o BYOD. Crie políticas de segurança para toda a organização que se apliquem a dispositivos móveis. Descreva os requisitos e procedimentos para limpar e limpar dispositivos móveis após tentativas malsucedidas de login malsucedidas.

Desenvolva notificações em toda a organização e/ou notificações de uso do sistema que forneçam políticas de privacidade, termos de uso e avisos de segurança aos usuários que acessam o sistema de informações. Defina as condições em que a(s) notificação(s) em toda a organização serão exibidas antes de conceder acesso aos usuários. O Cloud Pub/Sub é um sistema global de processamento de mensagens e eventos que pode ser usado para enviar notificações a aplicativos e usuários finais. *Pacote do Chrome Enterprise, incluindo *Navegador Chrome e *Chrome OS , também pode ser usado com o *API Push e *API Notifications aenviar notificações e atualizações dos usuários.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: AC-07, AC-07 (20), AC-08, AC-12, AC-12 (01).

Ações permitidas, dispositivos móveis e compartilhamento de informações

Na política de controle de acesso, defina as ações do usuário que podem ser executadas em um sistema de informações sem identificação e autenticação. Use o Cloud IAM para regular o acesso do usuário para visualizar, criar, excluir e modificar recursos específicos.

Além disso, desenvolva políticas para toda a organização para compartilhamento de informações. Determine as circunstâncias em que as informações podem ser compartilhadas e quando o critério do usuário é necessário para compartilhar informações. Use processos para ajudar os usuários a compartilhar informações e colaborar em toda a organização. O Google Workspace tem um ótimo conjunto de recursos para colaboração e envolvimento controlados entre equipes.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: AC-14, AC-19 (05), AC-21.

Reconhecimento e treinamento

Crie políticas de segurança e materiais de treinamento associados para disseminar os usuários e grupos de segurança em toda a organização pelo menos anualmente. O Google oferece opções de serviços profissionais para educar os usuários sobre a segurança na nuvem, incluindo, entre outros, um compromisso do Cloud Discover e Avaliação do Google Workspace.

Atualize as políticas de segurança e o treinamento pelo menos anualmente.

Siga estas diretrizes para ajudar na implementação do controle de segurança da AT-01.

Auditoria e responsabilidade

Criar políticas de auditoria em toda a organização e controles de responsabilidade que abordam procedimentos e requisitos de implementação para auditar equipes, eventos e ações vinculados a sistemas de informação na nuvem.

Na política de auditoria em toda a organização, descreva os eventos que precisam ser auditados nos sistemas de informações da sua organização e a frequência da auditoria. Exemplos de eventos registrados: eventos de logon da conta bem-sucedidos e mal-sucedidos, eventos de gerenciamento de conta, acesso a objetos, alteração de políticas, funções de privilégio, rastreamento de processos e eventos do sistema. Para aplicativos da Web, os exemplos incluem: atividade do administrador, verificações de autenticação, verificações de autorização, exclusões de dados, acesso a dados, alterações de dados e alterações de permissão. Defina outros eventos de interesse para sua organização.

A política de auditoria também precisa especificar indicações de atividade inadequada ou incomum para a organização. Essas atividades precisam ser monitoradas, registradas e sinalizadas com frequência (pelo menos uma vez por semana).

Use o pacote de pacote de operações do Cloud do Google para gerenciar a geração de registros, o monitoramento e os alertas de ambientes em nuvem, do GCP ou de outros ambientes na nuvem. Use o pacote de operações do Cloud para configurar e rastrear eventos de segurança na sua organização. Além disso, com o Cloud Monitoring, os usuários podem definir métricas personalizadas para monitorar eventos definidos pela organização em registros de auditoria.

Ative os sistemas de informações para alertar os administradores em caso de falhas no processamento da auditoria. Isso pode ser implementado usando ferramentas como Cloud Pub/Sub e Alerta do Cloud.

Defina padrões para os administradores de alertas dentro de um período definido (por exemplo, em 15 minutos), caso ocorra um problema operacional ou falha no sistema, quando os registros de auditoria atingirem um limite ou capacidade de volume definido. Determine uma granularidade de toda a organização de medição de tempo, em que os registros de auditoria precisam ter um registro de data e hora. Defina o nível de tolerância para registros com carimbo de data/hora na trilha de auditoria do sistema de informações (por exemplo, quase em tempo real, dentro de 20 minutos etc.).

Defina Cotas de recursos da VPC para estabelecer os limites de capacidade do armazenamento de registros de auditoria. Configure os Alertas de orçamento do Cloud para notificar os administradores quando uma porcentagem de um limite de recurso for atingida ou excedida.

Defina requisitos de armazenamento para toda a organização para dados e registros de auditoria, a fim de incluir requisitos de retenção e disponibilidade de registros de auditoria. Use o Google Cloud Storage para armazenar e arquivar registros de auditoria, e o BigQuery pode ser usado para realizar análises de registros adicionais.

Estas diretrizes definirão a base para implementar os seguintes controles de segurança: AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06 e AU-07 (01) , AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03) CA-07.

Avaliação e autorização de segurança

Desenvolver uma política de autorização e avaliação de segurança em toda a organização que defina os procedimentos e os requisitos de implementação das avaliações de segurança da organização, dos controles de segurança e dos controles de autorização.

Na política de avaliação e autorização de segurança, defina o nível de independência necessário para que as equipes de avaliação de segurança realizem avaliações imperativas dos sistemas de informações na nuvem. Os sistemas de informações que precisam ser avaliados por um avaliador independente precisam ser identificados.

As avaliações de segurança precisam abordar minuciosamente: monitoramento detalhado, verificação de vulnerabilidades, teste de usuário mal-intencionado, avaliação de ameaças internas, teste de desempenho/carregamento. A organização precisa definir requisitos e formas de avaliação de segurança adicionais.

A avaliação e a política de autorização de segurança precisam especificar as classificações e os requisitos do sistema de segurança, incluindo requisitos para sistemas de segurança não classificados e não nacionais.

Dentro das políticas de controle de fluxo de informações da sua organização, descreva os requisitos e as restrições de interconexões para sistemas internos e externos. Defina regras de firewall do Cloud VPC para permitir e negar tráfego para sistemas de informações e use controles de serviço da VPC para proteger dados confidenciais usando parâmetros de segurança.

Definir toda a organização políticas de auditoria e responsabilidade que impõem requisitos de monitoramento contínuo (CA-07).

Seguindo essas diretrizes, você definirá a base para a implementação dos seguintes controles de segurança: CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09.

Gerenciamento de configurações

Criar uma política de gerenciamento de configuração para toda a organização que defina os procedimentos e requisitos de implementação para controles, papéis, responsabilidades, escopo e conformidade de gerenciamento de toda a organização.

Padronize os requisitos de configuração para sistemas de informação e componentes do sistema. Fornecer requisitos operacionais e procedimentos para configurar sistemas de informações. Especifique explicitamente quantas versões anteriores de uma configuração do valor de referência os administradores do sistema precisam manter para receber suporte à reversão do sistema de informações. Usar O conjunto de ferramentas de gerenciamento de configuração do Google para controlar as configurações do sistema de TI como código e monitorar as alterações da configuração usando * Cloud Policy Intelligence , * Cloud Security Command Center ou *Forseti Security.

Especifique requisitos de configuração para cada tipo de sistema de informações na sua organização (por exemplo, nuvem, local, híbrido, não classificado, CUI, classificado etc). Além disso, defina requisitos de proteção à segurança para dispositivos da organização e BYOD para identificar a localização de locais geográficos seguros e inseguros. Use o Cloud Identity-Aware Proxy para aplicar controles de acesso com base em contexto a dados de propriedade da organização, incluindo controles de acesso por localização geográfica. Use o Cloud Identity Premium ou o Admin Console para aplicar configurações de segurança a dispositivos móveis que se conectam à rede corporativa.

Na política de gerenciamento de configuração, defina um elemento de controle de alteração da configuração para toda a organização, como um comitê de controle de mudança ou um painel. Documente a frequência com que o elemento de controle de mudança atenderá e em quais condições. Estabeleça um corpo formal para analisar e aprovar as alterações de configuração.

Identifique as autoridades de aprovação de gerenciamento de configuração para sua organização. Esses administradores analisarão as solicitações de alteração nos sistemas de informações. Defina o período em que as autoridades precisam aprovar ou reprovar solicitações de alteração. Forneça orientações para que os implementadores de alterações notifiquem as autoridades de aprovação assim que as informações do sistema de informações forem concluídas.

Defina restrições para o uso de software de código aberto em toda a organização para incluir a especificação de qual software é aprovado e não aprovado para uso. Use o Cloud Identity ou o Admin Console para aplicar aplicativos e softwares aprovados à sua organização. Com o Cloud Identity Premium, é possível ativar o logon único e a autenticação multifator para aplicativos de terceiros.

Use ferramentas como Alertas do Cloud para enviar notificações aos administradores de segurança quando as alterações de configuração forem registradas. Conceda acesso de administrador a ferramentas como * Cloud Security Command Center ou *Forseti Security para monitorar as alterações de configuração quase em tempo real. Usando * Cloud Policy Intelligence, o aprendizado de máquina é usado para estudar configurações definidas pela sua organização, aumentando a conscientização quando as configurações mudam da linha de base.

Aplique a menor funcionalidade à sua organização usando políticas de controle de fluxo de informações.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06 (01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM -07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10.

Planejamento de contingência

Desenvolva um plano de contingência para sua organização que defina os procedimentos e os requisitos de implementação para os controles de planejamento de continuidade em toda a organização. Identifique os principais funcionários de continuidade de negócios, papéis e responsabilidades em elementos organizacionais.

Destaque as operações essenciais do sistema de informações essenciais para os negócios na sua organização. Objetivos de tempo de recuperação (RTO, na sigla em inglês) e objetivos do ponto de recuperação (RPO, na sigla em inglês) para retomar operações essenciais depois que o plano de contingência for ativado.

Documente os sistemas de informações importantes e o software associado. Identifique outras informações relacionadas à segurança e forneça orientações e requisitos para armazenar cópias de backup de componentes e dados críticos do sistema. Implante os recursos globais, regionais e zonais do Google e locais em todo o mundo para alta disponibilidade. Use classes do Google Cloud Storage para opções multirregionais, regionais, de backup e de arquivamento. Implemente o escalonamento automático e o balanceamento de carga da rede global com o Cloud Load Balancer.

Seguindo essas diretrizes, você definirá a base para a implementação dos seguintes controles de segurança: CP-01, CP-02, CP-02 (03), CP-07, CP-08 e CP-09 (03).

Identificação e autenticação

Criar uma política de identificação e autenticação para a organização que especifique procedimentos de identificação e autenticação, escopos, papéis, responsabilidades, gerenciamento, entidades e conformidade. Especifique os controles de identificação e autenticação exigidos por sua organização. Use o Cloud Identity Premium ou o Admin Console para identificar dispositivos corporativos e pessoais que podem se conectar aos recursos da sua organização. Use o Cloud Identity Aware Proxy (IAP) para impor o acesso baseado no contexto aos recursos.

Inclua orientações sobre o conteúdo do autenticador para sua organização, condições de reutilização de autenticação, padrões para proteger autenticadores e padrões para alterar ou atualizar autenticadores. Além disso, capture requisitos para usar autenticadores armazenados em cache. Especificar limites de tempo para o uso de autenticadores em cache e definições em que os autenticadores em cache precisam expirar. Defina os requisitos de tempo de vida mínimo e máximo e os períodos de atualização que precisam ser aplicados pelos sistemas de informações na sua organização.

Use o Cloud Identity ou o Admin Console para aplicar políticas de senha para fins de confidencialidade, uso de caracteres, criação ou reutilização de novas senhas, ciclo de vida da senha, armazenamento e requisitos de transmissão.

descrever os requisitos de autenticação de hardware e/ou token de software para autenticação em toda a organização, incluindo, entre outros, os requisitos de PIV e de ICP. * As chaves de segurança Titan do Google podem ser usadas para impor outros requisitos de autenticação a administradores e funcionários privilegiados.

Na política de identificação e autenticação, descreva os componentes do sistema de informações de identidade federal, credencial e acesso (FICAM, na sigla em inglês) que são permitidos para aceitar terceiros na sua organização. O Identity Platform do Google é uma plataforma de gerenciamento de identidade e acesso do cliente (CIAM, na sigla em inglês) que ajuda as organizações a adicionar a funcionalidade de gerenciamento de identidade e acesso a aplicativos acessados por entidades externas.

Estas diretrizes definirão a base para implementar os seguintes controles de segurança: IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03).

Resposta a incidentes

Estabeleça uma política de resposta a incidentes para sua organização, incluindo procedimentos para facilitar e implementar controles de resposta a incidentes. Crie grupos de segurança para as equipes e autoridades de resposta a incidentes da sua organização. Use ferramentas como o Cloud Operations Suite ou o * Cloud Security Command Center para compartilhar eventos de incidente, registros e detalhes. * O gerenciamento de respostas a incidentes (IRM, na sigla em inglês) permite que o administrador investigue e resolva incidentes de segurança do sistema de informações de ponta a ponta.

Desenvolva um plano de teste de resposta a incidentes, procedimentos e listas de verificação, requisitos e comparativos de mercado para o sucesso. Especifique classes de incidentes que devem ser reconhecidos pela sua organização e descreva as ações associadas a serem tomadas em resposta a esses incidentes. Defina as ações específicas que precisam ser realizadas por profissionais autorizados no caso de um incidente, como medidas para gerenciar falhas, informações e ataques de segurança cibernética. Aproveite os recursos do Google Workspace para{101 }.verificar e colocar em quarentena o conteúdo de e-mail ,bloquear tentativas de phishing , edefinir restrições para anexos. Use o Cloud Data Loss Prevention para inspecionar, classificar e desidentificar dados confidenciais para ajudar a restringir a exposição.

Especifique requisitos para toda a organização para treinamento de resposta a incidentes, incluindo requisitos de treinamento para usuários gerais e papéis e responsabilidades privilegiadas. Aplicar requisitos de período para treinamento (por exemplo, no prazo de 30 dias após a participação, trimestral, anual etc.).

Seguir essas diretrizes definirá a base para implementar os seguintes controles de segurança: IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06 e IR-08 , IR-09, IR-09 (01), IR-09 (03), IR-09 (04).

Manutenção do sistema

Crie uma política de manutenção do sistema para sua organização, documentando os controles de manutenção, os papéis, as responsabilidades, o gerenciamento, os requisitos de coordenação e a conformidade do sistema. Defina os parâmetros da manutenção controlada, incluindo processos de aprovação para realizar manutenção e reparo fora do local, e períodos de execução em toda a organização para substituir os dispositivos com falha. Sua organização se beneficiará da Exclusão de dados no Google Cloud Platform e da limpeza de equipamentos e de segurança e inovação do data center do Google para manutenção e reparo fora do site.

Seguindo essas diretrizes, a base definirá a base para implementar os seguintes controles de segurança: MA-01, MA-02, MA-06.

Proteção de mídia

Como parte do FedRAMP ATO, o Google Cloud atende aos requisitos de proteção de mídia para infraestrutura física. Leia o Design de segurança de infraestrutura e a Visão geral de segurança do Google. Os clientes são então responsáveis por atender aos requisitos de segurança da infraestrutura virtual .

Desenvolva uma política de proteção de mídia para sua organização, documentando controles de mídia, políticas e procedimentos de proteção, requisitos de conformidade, papéis de gerenciamento e responsabilidades. Documente procedimentos para facilitar e implementar proteções de mídia em toda a organização. Crie grupos de segurança que definem a equipe e os papéis para gerenciar mídia e suas proteções.

Especifique os tipos de mídia e acessos aprovados para sua organização, incluindo restrições de mídia digital e não digital. Além disso, defina marcações de mídia e advertências de processamento de mídia que precisem ser implementados em toda a organização, incluindo requisitos de marcação de segurança dentro e fora das áreas de acesso controladas. Use o Google Data Catalog para gerenciar metadados de recursos da nuvem, simplificando a descoberta de dados. Controle a conformidade de recursos da nuvem em toda a organização, regulando a distribuição e descoberta de recursos da nuvem com * Catálogo particular do Google.

Identifique como a mídia gerenciada pela sua organização precisa ser limpa e descartada ou reutilizada. Além disso, descreva casos de uso e/ou circunstâncias em que a limpeza, descarte ou reutilização de mídia/dispositivos sejam obrigatórios ou aceitáveis. Defina os métodos e mecanismos de proteção de mídia considerados aceitáveis para sua organização.

Com o Google, você se beneficiará da exclusão de dados do Google Cloud Platform e da limpeza de equipamentos, e da segurança de data center do Google, inovação. Além disso, o Cloud KMS e o Cloud HSM fornecem proteção criptográfica compatível com o FIPS, enquanto * Chaves de segurança Titan do Google pode ser usado para aplicar outros requisitos de autenticação física a administradores e funcionários privilegiados.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03) e MP-07.

Proteção física e ambiental

Como parte do FedRAMP ATO, atendemos aos requisitos de proteção física e ambiental da infraestrutura física. Analise o Design de segurança de infraestrutura e a Visão geral de segurança do Google. Os clientes são então responsáveis por atender aos requisitos de segurança da infraestrutura virtual.

Estabeleça uma política de proteção física e ambiental para sua organização, descrevendo controles de proteção, entidades de proteção, padrões de conformidade, papéis, responsabilidades e requisitos de gerenciamento. Descreva como a proteção física e ambiental precisa ser implementada em toda a organização.

Crie grupos de segurança que definem a equipe e os papéis para o gerenciamento de proteções físicas e ambientais. Exija que o administrador acesse recursos computacionais confidenciais para usar * Chaves de segurança Titan ou alguma outra forma de MFA para verificar a integridade do acesso.

Na política de proteção física e ambiental, defina os requisitos de controle de acesso físico para sua organização. Identifique os pontos de entrada e saída dos sites do sistema de informações, proteções de controle de acesso para essas instalações e requisitos de inventário. Aproveite ferramentas como a *Plataforma Google Maps para exibir e rastrear visualmente recursos, pontos de entrada e saída para mapeamentos de localização. UsarGerente de recursos do Cloud e *Catálogo particular para controlar o acesso aos recursos na nuvem, tornando-os organizados e de fácil descoberta.

Use o Cloud Monitoring para configurar eventos, acessos e incidentes registráveis. Defina eventos de acesso físico em toda a organização que precisam ser registrados no Cloud Logging Use * Gerenciamento de respostas a incidentes para lidar com incidentes de segurança física que foram acionados e consolidar descobertas no * Cloud Security Command Center.

Use a política de proteção física e ambiental para considerar situações de emergência, como desligamento de emergências de sistemas de informação, energia de emergência, supressão de incêndio e resposta a emergências. Identifique pontos de contato para respostas de emergência, incluindo socorristas e pessoal de segurança física da sua organização. Descreva os requisitos e os locais para sites de trabalho alternativos. Especifique controles de segurança e equipe para locais de trabalho principais e alternativos. Implante os recursos globais, regionais e zonais do Google e locais em todo o mundo para alta disponibilidade. Use classes do Google Cloud Storage para opções multirregionais, regionais, de backup e de arquivamento. Implemente o escalonamento automático e o balanceamento de carga da rede global com o Cloud Load Balancer. Crie modelos de implantação declarativas para estabelecer um processo de implantação reproduzível baseado em modelo.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10 , PE-13 (02), PE-17.

Planejamento de segurança do sistema

Desenvolva uma política de planejamento de segurança para sua organização, descrevendo controles, papéis, responsabilidades, gerenciamentos, entidades do planejamento de segurança da organização e requisitos de conformidade. Descreva como o planejamento de segurança deve ser implementado em toda a organização.

Crie grupos para definir adequadamente a equipe de planejamento de segurança. Especificar grupos de segurança para avaliações de segurança, auditorias, manutenção de hardware e software, gerenciamento de patches e planejamento de continuidade para a organização. Use ferramentas como o Cloud Operations Suite, * * Cloud Security Command Center ou *Forseti Security. para monitorar a segurança, a conformidade e o controle de acesso em toda a organização.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: PL-01, PL-02, PL-02 (03).

Segurança de Pessoal

Crie uma política de segurança de pessoas que descreva quem é o pessoal, os papéis e as responsabilidades da equipe de segurança, como a segurança da equipe deve ser implementada e qual controle de segurança deve ser aplicado em toda a organização. Capture condições que exigiriam que os indivíduos passassem pela triagem de segurança organizacional, repetindo a tela e investigando. Defina os requisitos para as liberações de segurança na sua organização.

Inclua orientação para solucionar o encerramento e a transferência de funcionários. Defina as necessidades e os parâmetros para entrevistas de saída e os tópicos de segurança que devem ser discutidos durante essas entrevistas. Especifique quando as entidades de segurança/administrador na sua organização devem ser notificadas sobre rescisão, transferência ou reclassificação da equipe (por exemplo, em 24 horas). Especificar as ações que precisam ser concluídas por pessoal e pela organização no caso de uma transferência, reclassificação ou rescisão. Além disso, cubra os requisitos para impor sanções formativas do funcionário. Explicar quando as equipes de segurança/administradores devem ser notificadas sobre as sanções e os processos sanitários de funcionários.

Use o Cloud IAM para atribuir papéis e permissões à equipe. Adicione, remova, desative e ative perfis e perfis de equipe no Cloud Identity ou no Admin Console. Aplique requisitos de autenticação física extras para administradores e pessoal privilegiado usando * Chaves de segurança Titan.

Seguir essas diretrizes definirá a base para implementar os seguintes controles de segurança: PS-01, PS-03, PS-04, PS-05, PS-07 e PS-08.

Avaliação de riscos

Implemente uma política de avaliação de risco que descreva quem é o pessoal da avaliação de risco, quais controles de avaliação de risco precisam ser aplicados em toda a organização e os procedimentos para realizar avaliações de risco na organização. Defina como as avaliações de risco devem ser documentadas e informadas. Use ferramentas como *Forseti Security e * Cloud Security Command Center para notificar automaticamente a equipe de segurança sobre riscos de segurança e a postura de segurança da sua organização.

Aproveite o conjunto de ferramentas de avaliação de risco do Google, como o Cloud Security Scanner, o Container Analysis e o Cloud Armor e Proteção contra phishing e malware do Google Espaço de trabalho para verificar e relatar vulnerabilidades nos sistemas de informação de sua organização. Disponibilize essas ferramentas para o pessoal e o administrador da avaliação de risco a fim de identificar e eliminar vulnerabilidades.

Seguindo essas diretrizes, a base definirá a base para a implementação dos seguintes controles de segurança: RA-01, RA-03 e RA-05.

Aquisição de serviços e sistema

Desenvolva uma política de aquisição de serviços e sistemas que descreva os principais papéis e responsabilidades, gerenciamento de serviços e aquisição, conformidade e entidades. Descreva os procedimentos de aquisição de serviços e sistemas e as diretrizes de implementação para sua organização. Definir o ciclo de vida de desenvolvimento de sistemas da sua organização para sistemas de informação e segurança da informação. Descreva os papéis de segurança das informações e as responsabilidades, o pessoal e como a política de avaliação de risco da organização deve orientar e influenciar as atividades do ciclo de vida do desenvolvimento do sistema.

Destaque os procedimentos que devem ser executados na sua organização quando a documentação do sistema de informações não estiver disponível e/ou indefinida. Envolva os administradores do sistema de informações e/ou a equipe de serviços do sistema conforme necessário. Defina qualquer treinamento necessário para administradores e usuários que estejam implementando ou acessando sistemas de informações na sua organização.

Use ferramentas como * Cloud Security Command Center e *Forseti Security para rastrear as políticas de conformidade, descobertas e políticas de controle de segurança da organização. O Google descreve todos os padrões de segurança, regulamentações e certificações para ajudar os clientes a entender como cumprir os requisitos e as leis de conformidade no Google Cloud. Além disso, o Google oferece um pacote de produtos de segurança para ajudar os clientes a monitorar continuamente os sistemas de informação, comunicações e dados na nuvem e no local.

Especifique restrições de localização para os dados, serviços e processamento de informações da sua organização e em quais condições os dados podem ser armazenados em outro lugar. O Google oferece opções globais, regionais e zonais para armazenamento de dados, processamento e utilização de serviços no GCP.

Aproveitar a política de gerenciamento de configuração para regular o gerenciamento de configurações do desenvolvedor para controles de aquisição de sistemas e serviços e use a política de avaliação e autorização de segurança para aplicar os requisitos de teste e avaliação de segurança do desenvolvedor.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16.

Proteção do sistema e das comunicações

Crie uma política de proteção ao sistema e de comunicações que descreva os papéis e as responsabilidades dos principais funcionários, os requisitos de implementação para políticas de proteção de comunicação do sistema e os controles de proteção necessários para sua organização. Identifique os tipos de ataques de negação de serviço que sua organização reconhece e monitora e descreva os requisitos de proteção DoS para sua organização.

Use o Pacote de operações do Cloud para registrar, monitorar e alertar sobre ataques de segurança predefinidos contra sua organização. Implemente ferramentas como Cloud Load Balancing eCloud Armor para proteger seu perímetro de nuvem e aproveitar VPC do Cloud serviços, como firewalls e controles de segurança de rede, para proteger sua rede interna da nuvem.

identificar os requisitos de disponibilidade de recursos da sua organização; definir como os recursos da nuvem serão alocados na organização e quais restrições serão implementadas para restringir o uso excessivo; Use ferramentas como o Cloud Resource Manager para controlar o acesso aos recursos no nível da organização, da pasta, do projeto e do recurso individual. Defina cotas de recursos do Cloud para gerenciar as solicitações de API e a utilização de recursos no GCP.

Estabeleça requisitos de proteção de limites para seus sistemas de informação e comunicações do sistema. Defina os requisitos para o tráfego de comunicações internas e como o tráfego interno deve interagir com redes externas. Especifique requisitos para servidores proxy e outros componentes de autenticação e autenticação de rede.

Aproveite o * Cloud Traffic Director para gerenciar o tráfego de rede e o fluxo de comunicações da organização. Use o Cloud Identity-Aware Proxy para controlar o acesso a recursos na nuvem com base em autenticação, autorização e contexto, incluindo localização geográfica ou impressão digital do dispositivo. Implementar * Acesso privado do Google, *Cloud VPN ou *Cloud Interconnect para proteger o tráfego de rede e as comunicações entre recursos internos e externos. O Cloud VPC pode ser usado para definir e proteger as redes em nuvem da sua organização. estabelecer sub-redes para isolar ainda mais recursos de nuvem e perímetros de rede.

Além disso, o Google oferece redes globais definidas por software com opções multirregionais, regionais e zonais para alta disponibilidade e failover. Defina requisitos de falha para sua organização para garantir que seus sistemas de informações falhem em um estado conhecido. Capture os requisitos para preservar as informações de estado do sistema de informações. Use grupos de instâncias gerenciadas e modelos do Deployment Manager para reinstanciar recursos com falha ou não íntegros. Conceda aos administradores acesso ao * Cloud Security Command Center ou *Forseti Security para monitorar ativamente a confidencialidade, a integridade e a disponibilidade da sua organização. após a publicação.

Na política, descreva os requisitos da organização para gerenciar chaves criptográficas, incluindo requisitos para geração, distribuição, armazenamento, acesso e destruição de chaves. O Cloud KMS e o Cloud HSM podem ser usados para gerenciar, gerar, usar, alternar, armazenar e destruir a segurança em conformidade com o FIPS. chaves na nuvem.

O Google criptografa dados em repouso por padrão, mas é possível usar o Cloud KMS com o Compute Engine e o Google Cloud Storage para criptografar dados usando chaves criptográficas. Você também pode implantar VMs protegidas para aplicar controles de integridade no nível do kernel no Compute Engine.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12) e SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01).

Integridade do sistema e de informações

Implemente uma política de integridade de sistemas e informações que descreva os principais papéis e responsabilidades da equipe, procedimentos e requisitos de implementação de integridade, padrões de conformidade e controles de segurança da organização. Crie grupos de segurança para a equipe da sua organização que é responsável pela integridade do sistema e das informações. Destaque os requisitos de remediação para sua organização, incluindo diretrizes para monitorar, avaliar, autorizar, implementar, planejar, benchmarks e corrigir falhas de segurança na organização e nos sistemas de informações dela.

Aproveite o conjunto de ferramentas de segurança do Google, incluindo, sem limitação, o navegador Chrome e a nuvem Security Scanner , Análise de contêiner ,Proteções contra phishing e malware do Google Workspace , a Central de segurança do Google Workspace eCloud Armor para se proteger contra códigos maliciosos, ataques cibernéticos e vulnerabilidades comuns, spam em quarentena, definição de políticas de spam e malware, alertar administradores sobre vulnerabilidades e ter insights sobre toda a organização para gerenciamento central. Use ferramentas como o Cloud Operations Suite, * * Cloud Security Command Center ou *Forseti Security. para gerenciar, alertar e monitorar de maneira centralizada os controles e as descobertas de segurança da sua organização. Mais especificamente, o pacote de operações do Cloud é usado para registrar ações administrativas, acessos de dados e eventos do sistema iniciados por usuários e funcionários privilegiados em toda a organização. notificar a equipe administrativa sobre mensagens de erro e tratamento de erros no sistema de informações.

Defina eventos relevantes para a segurança em relação ao software, firmware e informações da sua organização (por exemplo, vulnerabilidades com zero dias, exclusão não autorizada de dados, instalação de novo hardware, software ou firmware etc). Explique as etapas que devem ser seguidas quando ocorrem esses tipos de alterações relevantes à segurança. Especifique os objetivos e/ou indicadores de ataque que os administradores precisam ter atenção especial, incluindo informações essenciais que precisam ser monitoradas nos sistemas de informação da organização. Defina papéis e responsabilidades de monitoramento do sistema e de informações, além da frequência de monitoramento e geração de relatórios (por exemplo, em tempo real, a cada 15 minutos, a cada hora, nos relatórios trimestrais etc).

Capture requisitos para analisar o tráfego de comunicações de sistemas de informação em toda a organização. Especifique os requisitos para descobrir anomalias, incluindo pontos do sistema para monitoramento. *Com os serviços de telemetria de rede do Google, é possível realizar um detalhamento do desempenho da rede e do monitoramento de segurança. O Google também tem parcerias fortes de terceiros que se integram ao GCP para verificação e proteção de endpoints e hosts na nuvem, como +Aqua Security e +Crowdstrike. VMs protegidas permitem proteger os dispositivos, verificar a autenticação e garantir processos de inicialização seguros.

Defina como sua organização deve verificar e proteger contra anomalias de segurança e violações de integridade. Use ferramentas como * Cloud Security Command Center , *Forseti Security ou *Inteligência de políticas do Cloud para monitorar e detectar alterações na configuração. Use os modelos de ferramentas de gerenciamento de configuração ou Deployment Manager para instanciar ou interromper alterações nos recursos da nuvem.

Além disso, na política do sistema e nas informações de integridade, especifique os requisitos para autorizar e aprovar serviços de rede na sua organização. descrever processos de aprovação e autorização para serviços de rede; O Cloud VPC é essencial para definir redes e sub-redes em nuvem usando firewalls para proteger os perímetros de rede. Com o VPC Service Controls, é possível impor perímetros de segurança de rede extras para dados confidenciais na nuvem.

Além disso, você herdará automaticamente a pilha de inicialização segura e a infraestrutura confiável de proteção do Google.

Seguindo essas diretrizes, você definirá a base para implementar os seguintes controles de segurança: SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04 e SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI- 05, SI-06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11 e SI -16.

Conclusão

A segurança e a conformidade na nuvem são um esforço conjunto em nome do cliente e do provedor de serviços de nuvem. O Google garante que a infraestrutura física e os serviços correspondentes estejam em conformidade com dezenas de padrões de terceiros, regulamentações e certificações, mas os clientes precisam garantir que todos os dados criada na nuvem estão em conformidade.

O Google Cloud dá suporte aos clientes nos esforços de conformidade, tornando o mesmo conjunto de produtos e recursos de segurança que o Google usa para proteger a infraestrutura, disponível para os clientes.

Exoneração de responsabilidade

Este guia é apenas informativo. As informações e recomendações fornecidas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável pela avaliação do próprio uso dos serviços, conforme apropriado, para conciliar as obrigações legais e de conformidade.