Protezione e conformità dei dati

Il modello di sicurezza, l'infrastruttura su scala mondiale e l'esclusiva capacità di innovazione di Google Cloud ti aiuteranno a garantire la protezione e la conformità della tua organizzazione. Nell'ambito del nostro impegno per la trasparenza e la privacy, forniamo una visione dall'interno delle prassi di sicurezza, della gestione dei rischi e della conformità di Google Cloud.

Crittografia dei dati inattivi

Crittografia dei dati archiviati su un disco o supporto di backup a livello sia di dispositivo di archiviazione che di sistema di archiviazione: Google Cloud è il primo grande cloud provider che lo fa per impostazione predefinita.

Integrità di deployment

Capacità di garantire che il codice e le configurazioni di cui si esegue il deployment nell'ambiente di produzione di Google Cloud vengano esaminati e autorizzati in modo appropriato.

Accesso privilegiato

Gestione dell'accesso da parte di personale Google Cloud per la visualizzazione o la modifica dei dati dei clienti archiviati in Google Cloud.

Conformità

Controllo periodico dei servizi Google Cloud per garantire il mantenimento della conformità a linee guida, framework e requisiti normativi.

Dettagli

Ultima modifica: 21 maggio 2020

Crittografia dei dati inattivi

La crittografia dei dati inattivi si riferisce alla crittografia delle informazioni archiviate su un disco o supporto di backup. Google Cloud è tra i principali cloud provider a offrire la crittografia dei dati inattivi per impostazione predefinita, attraverso un approccio a più livelli che include la crittografia a livello sia di dispositivo di archiviazione che di sistema di archiviazione.

Perché è importante

La crittografia dei dati inattivi protegge le informazioni archiviate in un cloud pubblico dalla divulgazione a persone e sistemi non autorizzati. Mentre molti cloud provider offrono la crittografia a livello di dispositivo di archiviazione, che protegge i dati in caso di compromissione fisica, Google Cloud fornisce anche la crittografia a livello di sistema di archiviazione. Ciò consente di eseguire attività operative come il backup dei dati senza che i team di ingegneri o di assistenza di Google Cloud possano accedere ai contenuti.

In che modo Google Cloud esegue l'implementazione

Google utilizza diversi livelli di crittografia per proteggere i dati inattivi dei clienti nei prodotti Google Cloud.

I dati da archiviare sono suddivisi in blocchi, ognuno dei quali viene criptato con una chiave di crittografia dei dati univoca. Le chiavi di crittografia dei dati vengono archiviate insieme ai dati e vengono criptate (sottoposte a wrapping) con chiavi di crittografia della chiave archiviate e utilizzate esclusivamente nel Key Management Service centrale di Google. Il Key Management Service di Google è un servizio ridondante e distribuito a livello globale. I dati archiviati in Google Cloud vengono criptati a livello di archiviazione con gli algoritmi AES256 o AES128.

Per implementare in modo coerente la crittografia in quasi tutti i prodotti Google Cloud, Google utilizza Tink, una libreria crittografica comune. Dato che la libreria comune è ampiamente accessibile, è necessario solo un team ridotto di crittografi per implementare e gestire adeguatamente questo codice rigidamente controllato e revisionato.

Per ulteriori informazioni, leggi il white paper Encryption at rest in Google Cloud.

Suite di prodotti

Cloud Storage

Fatto

Le nostre procedure di crittografia vengono sottoposte ad audit condotti da revisori esterni almeno una volta l'anno. Per maggiori dettagli sulla crittografia dei dati inattivi per Google Cloud, consulta il nostro rapporto di audit SOC 2.

Accesso privilegiato

Una gestione adeguata dell'accesso privilegiato all'interno di un'organizzazione può aiutare a prevenire la divulgazione accidentale di dati sensibili e ridurre al minimo il rischio che un utente non autorizzato acceda a questi dati.

Perché è importante

Quando archivi i dati in un cloud pubblico, è importante non solo implementare una corretta gestione degli accessi per il tuo personale, ma anche comprendere in che modo il cloud provider garantisce l'accesso ai dati da parte dei suoi dipendenti solo per scopi aziendali legittimi. Il cloud provider dovrebbe accedere a questi dati solo su incarico del cliente, per garantire il funzionamento del servizio o per adempiere a un obbligo di legge.

In che modo Google Cloud esegue l'implementazione

Oltre alla crittografia, Google Cloud utilizza una combinazione di identità sicure per account di servizio e privati, sistemi ACL e un controllo interno simile ad Autorizzazione binaria per garantire che l'accesso ai dati dei clienti sia valido. Per l'accesso ai dati archiviati nei servizi integrati di Access Transparency, sono previsti controlli tecnici aggiuntivi per garantire che venga creato un log della motivazione aziendale per ciascun accesso. Questi accessi sono monitorati e sottoposti ad audit regolarmente.

Scopri di più su come ridurre al minimo i rischi provenienti da personale interno in questa presentazione video.

Suite di prodotti
Fatto

In alcuni casi, il personale Google accede ai dati dei clienti principalmente a seguito di eventi avviati dai clienti stessi, ad esempio contattare l'assistenza o segnalare comportamenti illeciti su documenti Google Workspace pubblici. Nel caso dei servizi che usano Access Transparency ti informiamo quando il personale Google Cloud interviene sui dati dei tuoi clienti.

Integrità di deployment

L'integrità di deployment si riferisce alla capacità di Google Cloud di garantire che il codice e le configurazioni sottoposti a deployment nell'ambiente di produzione che interagiscono con i dati dei clienti vengano esaminati e autorizzati in modo appropriato. Autorizzazione binaria per Borg, o BinAuthz, è un controllo interno dell'applicazione dei requisiti in fase di deployment che garantisce che il software di produzione e la configurazione di cui è stato eseguito il deployment in Google Cloud vengano esaminati e autorizzati in modo appropriato, in particolare se tale codice è in grado di accedere ai dati utente.

Perché è importante

BinAuthz garantisce che i deployment del codice e delle configurazioni rispettino determinati standard minimi. Può essere utilizzato anche in una modalità di controllo senza applicazione forzata per segnalare il mancato rispetto di specifici requisiti. L'adozione di BinAuthz consente a Google Cloud di ridurre i rischi provenienti da personale interno, prevenire possibili attacchi e supportare l'uniformità dei propri sistemi di produzione. Mentre la gestione dell'accesso privilegiato serve a garantire che tutti gli accessi ai dati da parte di privati siano autorizzati, l'integrità di deployment garantisce che sia autorizzato l'accesso ai dati da programma. Grazie a questa verifica, ogni accesso ai dati dei clienti a livello di programma e ogni modifica all'ambiente di produzione genera un audit trail.

In che modo Google Cloud esegue l'implementazione

La nostra infrastruttura è progettata per sistemi altamente scalabili che utilizzano un sistema di gestione dei cluster chiamato Borg. Eseguiamo centinaia di migliaia di job di numerose applicazioni, tra diversi cluster, ciascuno anche con decine di migliaia di macchine. Di conseguenza, il nostro ambiente di produzione è abbastanza omogeneo e consente controlli e audit più facili sui touchpoint per l'accesso ai dati utente. BinAuthz fornisce un servizio di applicazione forzata in fase di deployment per prevenire l'avvio di job non autorizzati e un audit trail del codice e della configurazione utilizzati nei job abilitati da BinAuthz.

Scopri di più nel white paper sull'Autorizzazione binaria per Borg
Suite di prodotti
Fatto

Ogni servizio Google Cloud in anteprima o in disponibilità generale richiede che Autorizzazione binaria per Borg sia abilitata sui job con accesso ai dati dei clienti.

Offerte relative alla conformità

Il passaggio al cloud implica la protezione dei carichi di lavoro sensibili, nonché il raggiungimento e il mantenimento della conformità con requisiti, linee guida e framework normativi complessi. Differenti aree geografiche e settori hanno requisiti diversi. Questi requisiti possono, ad esempio, essere imposti da un'autorità di regolamentazione o creati da organizzazioni attendibili che definiscono standard. Google Cloud supporta i clienti a livello globale in molti settori e comprende l'importanza di soddisfare le esigenze di conformità per garantire che i clienti siano in grado di svolgere la propria attività. Google Cloud viene sottoposto periodicamente a verifiche indipendenti dei controlli relativi a sicurezza, privacy e conformità, così da ottenere certificazioni, attestati di conformità o rapporti di audit a fronte di vari standard internazionali. Abbiamo anche creato una serie di documenti e mappature di risorse a fronte di framework e normative di riferimento per i casi in cui gli attestati o le certificazioni formali potrebbero non essere richiesti o applicati.

Guarda tutte le offerte relative alla conformità
Perché è importante

Comprendiamo la necessità di una verifica indipendente dei controlli relativi a sicurezza, privacy e conformità dei nostri prodotti e siamo consapevoli che le certificazioni, gli attestati di conformità o i rapporti di audit a fronte di vari standard internazionali ci aiutano a conquistare la tua fiducia. Ciò significa che un revisore indipendente ha esaminato le misure di controllo vigenti nei nostri data center, nell'infrastruttura e nelle procedure operative. Queste certificazioni includono gli standard di sicurezza indipendenti più ampiamente riconosciuti e accettati a livello internazionale, tra cui ISO/IEC 27001 per i controlli di sicurezza, ISO/IEC 27017 per la sicurezza nel cloud e ISO/IEC 27018 per la privacy del cloud, nonché AICPA SOC 1, 2 e 3. Inoltre ci aiutano a soddisfare la domanda di standard di settore come CSA STAR e PCI DSS e molti altri standard a livello di area geografica. Continuiamo a espandere il nostro elenco di offerte relative alla conformità a livello globale per assistere i nostri clienti con i loro obblighi di conformità.

In che modo Google Cloud esegue l'implementazione

I nostri servizi vengono sottoposti periodicamente a verifiche indipendenti dei controlli relativi a sicurezza, privacy e conformità, così da ottenere certificazioni, attestati di conformità o rapporti di audit a fronte di vari standard internazionali. Ogni anno valutiamo i servizi che si avvicinano alla disponibilità generale (GA) per includerli nei nostri principali cicli di audit.

Per maggiori dettagli su come ottemperiamo a una specifica offerta di conformità, visita la pagina Gestione dei rapporti di conformità e visualizza i rapporti di audit di terze parti per alcuni dei nostri principali framework di conformità.

Suite di prodotti
Fatto

Tutte le offerte relative alla conformità che richiedono una certificazione o un'attestazione formale vengono convalidate da revisori di terze parti indipendenti.

Visualizza i nostri rapporti di audit di terze parti