Questo principio del pilastro della sicurezza del Google Cloud framework Well-Architected ti aiuta a identificare e soddisfare i requisiti normativi, di conformità e di privacy per i deployment cloud. Questi requisiti influenzano molte delle decisioni che devi prendere in merito ai controlli di sicurezza da utilizzare per i tuoi carichi di lavoro inGoogle Cloud.
Panoramica del principio
Soddisfare le esigenze normative, di conformità e di privacy è una sfida inevitabile per tutte le attività. I requisiti normativi del cloud dipendono da diversi fattori, tra cui:
- Le leggi e i regolamenti che si applicano alle sedi fisiche della tua organizzazione
- Le leggi e i regolamenti che si applicano alle sedi fisiche dei tuoi clienti
- Requisiti normativi del tuo settore
I regolamenti sulla privacy definiscono le modalità di ottenimento, elaborazione, archiviazione e gestione dei dati degli utenti. I dati sono di tua proprietà, inclusi quelli che ricevi dai tuoi utenti. Pertanto, molti controlli per la privacy sono di tua responsabilità, inclusi quelli per i cookie, la gestione delle sessioni e l'ottenimento dell'autorizzazione dell'utente.
I consigli per implementare questo principio sono raggruppati nelle seguenti sezioni:
- Suggerimenti per affrontare i rischi organizzativi
- Suggerimenti per soddisfare gli obblighi normativi e di conformità
- Consigli per gestire la sovranità dei dati
- Suggerimenti per soddisfare i requisiti di privacy
Consigli per affrontare i rischi organizzativi
Questa sezione fornisce consigli per aiutarti a identificare e affrontare i rischi per la tua organizzazione.
Identificare i rischi per la tua organizzazione
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Prima di creare e implementare risorse su Google Cloud, completa una valutazione del rischio. Questa valutazione deve determinare le funzionalità di sicurezza necessarie per soddisfare i requisiti di sicurezza interni e i requisiti normativi esterni.
La valutazione del rischio fornisce un catalogo di rischi specifici per l'organizzazione e ti informa sulla capacità della tua organizzazione di rilevare e contrastare le minacce alla sicurezza. Devi eseguire un'analisi dei rischi immediatamente dopo l'implementazione e ogni volta che si verificano cambiamenti nelle esigenze aziendali, nei requisiti normativi o nelle minacce alla tua organizzazione.
Come indicato nel principio Implementare la sicurezza by design, i rischi per la sicurezza in un ambiente cloud sono diversi da quelli on-premise. Questa differenza è dovuta al modello di responsabilità condivisa nel cloud, che varia in base al servizio (IaaS, PaaS o SaaS) e al tuo utilizzo. Utilizza un framework di valutazione del rischio specifico per il cloud, come Cloud Controls Matrix (CCM). Utilizza la modellazione delle minacce, ad esempio la modellazione delle minacce delle applicazioni OWASP, per identificare e risolvere le vulnerabilità. Per assistenza esperta con le valutazioni del rischio, contatta il tuo rappresentante dell'account Google o consulta la Google Clouddirectory dei partner.
Dopo aver catalogato i rischi, devi stabilire come affrontarli, ovvero se accettarli, evitarli, trasferirli o mitigarli. Per i controlli di mitigazione che puoi implementare, consulta la sezione successiva sulla mitigazione dei rischi.
Mitigare i rischi
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Quando adotti nuovi servizi cloud pubblico, puoi mitigare i rischi utilizzando controlli tecnici, protezioni contrattuali e verifiche o attestazioni di terze parti.
I controlli tecnici sono funzionalità e tecnologie che utilizzi per proteggere il tuo ambiente. Questi includono controlli di sicurezza cloud integrati come firewall e logging. I controlli tecnici possono includere anche l'utilizzo di strumenti di terze parti per rafforzare o supportare la tua strategia di sicurezza. Esistono due categorie di controlli tecnici:
- Puoi implementare i controlli di sicurezza di Google Cloudper aiutarti a mitigare i rischi che si applicano al tuo ambiente. Ad esempio, puoi proteggere la connessione tra le tue reti on-premise e le tue reti cloud utilizzando Cloud VPN e Cloud Interconnect.
- Google dispone di solidi controlli e audit interni per proteggere i dati dei clienti dall'accesso di personale interno. I nostri audit log forniscono log quasi in tempo reale dell'accesso degli amministratori Google su Google Cloud.
Le protezioni contrattuali si riferiscono agli impegni legali assunti da noi in merito ai Google Cloud servizi. Google si impegna a mantenere ed espandere il proprio portfolio di conformità. L'Addendum per il trattamento dei dati Cloud (ATDC) descrive il nostro impegno in merito al trattamento e alla sicurezza dei tuoi dati. Il CDPA descrive anche i controlli di accesso che limitano l'accesso degli ingegneri dell'assistenza Google agli ambienti dei clienti e il nostro rigoroso processo di registrazione e approvazione. Ti consigliamo di esaminare i controlli contrattuali di Google Cloudcon i tuoi esperti legali e normativi e verificare che soddisfino i tuoi requisiti. Se hai bisogno di ulteriori informazioni, contatta il tuo rappresentante tecnico dell'account.
Le verifiche o attestazioni di terze parti si riferiscono al controllo del provider cloud da parte di un fornitore di terze parti per garantire che il provider soddisfi i requisiti di conformità. Ad esempio, per saperne di più sulle Google Cloud attestazioni relative alle linee guida ISO/IEC 27017, consulta la sezione ISO/IEC 27017 - Conformità. Per visualizzare le certificazioni e le lettere di attestazione attuali, consulta il Centro risorse per la conformità. Google Cloud
Consigli per soddisfare gli obblighi normativi e di conformità
Un tipico percorso di conformità prevede tre fasi: la valutazione, la correzione delle lacune e il monitoraggio continuo. Questa sezione fornisce consigli che puoi utilizzare durante ciascuna di queste fasi.
Valuta le tue esigenze di conformità
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La valutazione della conformità inizia con un esame approfondito di tutti gli obblighi normativi e di come la tua attività li sta implementando. Per aiutarti nella valutazione dei servizi Google Cloud , utilizza il Centro risorse per la conformità. Questo sito fornisce informazioni su:
- Supporto del servizio per varie normative
- Certificazioni e attestatiGoogle Cloud
Per comprendere meglio il ciclo di vita della conformità in Google e come soddisfare i tuoi requisiti, puoi contattare il team di vendita per richiedere l'aiuto di uno specialista della conformità Google. In alternativa, puoi contattare il tuo Google Cloud account manager per richiedere un workshop sulla conformità.
Per ulteriori informazioni sugli strumenti e sulle risorse che puoi utilizzare per gestire la sicurezza e la conformità per i workload Google Cloud , consulta Garantire la conformità nel cloud.
Automatizzare l'implementazione dei requisiti di conformità
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Per aiutarti a rispettare le normative in continua evoluzione, determina se puoi automatizzare l'implementazione dei requisiti di conformità. Puoi utilizzare sia le funzionalità incentrate sulla conformità fornite da Google Cloud sia i blueprint che utilizzano configurazioni consigliate per un particolare regime di conformità.
Assured Workloads si basa sui controlli all'interno di Google Cloud per aiutarti a soddisfare i tuoi obblighi di conformità. Assured Workloads ti consente di:
- Seleziona il regime di conformità. Lo strumento imposta automaticamente i controlli di accesso del personale di base per il regime selezionato.
- Imposta la posizione dei dati utilizzando i criteri dell'organizzazione in modo che i dati at-rest e le risorse rimangano solo in quella regione.
- Seleziona l'opzione di gestione delle chiavi (ad esempio il periodo di rotazione della chiave) che soddisfa al meglio i tuoi requisiti di sicurezza e conformità.
- Seleziona i criteri di accesso per il personale di assistenza Google per soddisfare determinati requisiti normativi, come FedRAMP Moderate. Ad esempio, puoi selezionare se il personale dell'Assistenza Google ha completato i controlli dei precedenti appropriati.
- Utilizza Google-owned and Google-managed encryption keys conformi allo standard FIPS-140-2 e che supportano la conformità a FedRAMP Moderate. Per un ulteriore livello di controllo e per la separazione dei compiti, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Per saperne di più sulle chiavi, vedi Criptare i dati at-rest e in transito.
Oltre ad Assured Workloads, puoi utilizzare Google Cloud blueprint pertinenti al tuo regime di conformità. Puoi modificare questi progetti base per incorporare i criteri di sicurezza nei deployment dell'infrastruttura.
Per aiutarti a creare un ambiente che supporti i tuoi requisiti di conformità, i progetti e le guide alle soluzioni di Google includono configurazioni consigliate e forniscono moduli Terraform. La tabella seguente elenca i progetti base che riguardano la sicurezza e l'allineamento ai requisiti di conformità.
| Requisito | Progetti e guide alle soluzioni |
|---|---|
| FedRAMP | |
| HIPAA |
Monitorare la conformità
Questo consiglio è pertinente alle seguenti aree di interesse:
- Governance, rischio e conformità del cloud
- Logging, monitoraggio e controllo
La maggior parte delle normative richiede il monitoraggio di particolari attività, tra cui quelle relative all'accesso. Per facilitare il monitoraggio, puoi utilizzare quanto segue:
- Access Transparency: visualizza log quasi in tempo reale quando gli amministratori accedono ai tuoi contenuti. Google Cloud
- Registrazione dei log delle regole firewall: registra le connessioni TCP e UDP all'interno di una rete VPC per tutte le regole che crei. Questi log possono essere utili per controllare l'accesso alla rete o per avvisare preventivamente che la rete viene utilizzata in un modo non approvato.
- Log di flusso VPC: Registra i flussi di traffico di rete inviati o ricevuti dalle istanze VM.
- Security Command Center Premium: Monitora la conformità a vari standard.
- OSSEC (o un altro strumento open source): registra l'attività delle persone che hanno accesso amministrativo al tuo ambiente.
- Key Access Justifications: Visualizza i motivi di una richiesta di accesso alle chiavi.
- Notifiche di Security Command Center: Ricevi avvisi quando si verificano problemi di non conformità. Ad esempio, ricevi avvisi quando gli utenti disattivano la verifica in due passaggi o quando gli account di servizio dispongono di privilegi eccessivi. Puoi anche configurare la correzione automatica per notifiche specifiche.
Suggerimenti per gestire la sovranità dei dati
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità dei dati ti fornisce un meccanismo per impedire a Google di accedere ai tuoi dati. Approvi l'accesso solo per i comportamenti del fornitore che ritieni necessari. Ad esempio, puoi gestire la sovranità dei dati nei seguenti modi:
- Archivia e gestisci le chiavi di crittografia al di fuori del cloud.
- Concedi l'accesso a queste chiavi in base a giustificazioni di accesso dettagliate.
- Proteggi i dati in uso utilizzando Confidential Computing.
Gestire la sovranità operativa
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità operativa garantisce che il personale di Google non possa compromettere i carichi di lavoro. Ad esempio, puoi gestire la sovranità operativa nei seguenti modi:
- Limitare il deployment delle nuove risorse a regioni specifiche del provider.
- Limitare l'accesso del personale Google in base ad attributi predefiniti come cittadinanza o posizione geografica.
Gestisci la sovranità software
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
La sovranità del software ti fornisce la certezza che puoi controllare la disponibilità dei tuoi carichi di lavoro ed eseguirli ovunque tu voglia. Inoltre, puoi avere questo controllo senza dipendere da un unico cloud provider o esserne vincolato. La sovranità del software include la capacità di sopravvivere a eventi che richiedono di cambiare rapidamente il luogo in cui sono distribuiti i carichi di lavoro e il livello di connessione esterna consentito.
Ad esempio, per aiutarti a gestire la sovranità del software, Google Cloud supporta i deployment ibridi e multi-cloud. Inoltre, GKE Enterprise ti consente di gestire ed eseguire il deployment delle applicazioni in ambienti cloud e on-premise. Se scegli implementazioni on-premise per motivi di sovranità dei dati, Google Distributed Cloud è una combinazione di hardware e software che porta Google Cloud nel tuo data center.
Consigli per soddisfare i requisiti di privacy
Google Cloud include i seguenti controlli che promuovono la privacy:
- Crittografia predefinita di tutti i dati quando sono inattivi, quando sono in transito e durante l'elaborazione.
- Protezioni contro l'accesso interno.
- Supporto di numerose normative sulla privacy.
I seguenti consigli riguardano controlli aggiuntivi che puoi implementare. Per ulteriori informazioni, consulta il Centro risorse per la privacy.
Controllare la residenza dei dati
Questo consiglio è pertinente alla seguente area di interesse: governance, rischio e conformità del cloud.
Per residenza dei dati si intende il luogo in cui sono archiviati i dati at-rest. I requisiti di residenza dei dati variano in base agli obiettivi di progettazione del sistema, ai problemi normativi del settore, alle leggi nazionali, alle implicazioni fiscali e persino alla cultura.
Il controllo della residenza dei dati inizia con quanto segue:
- Comprendi il tipo di dati e la relativa posizione.
- Determina quali rischi esistono per i tuoi dati e quali leggi e normative si applicano.
- Controllare dove vengono archiviati i dati o dove vengono inviati.
Per aiutarti a rispettare i requisiti di residenza dei dati, Google Cloud ti consente di controllare dove vengono archiviati i dati, come vi si accede e come vengono trattati. Puoi utilizzare i criteri sulla località delle risorse per limitare i luoghi di creazione delle risorse e quelli di replica dei dati tra le regioni. Puoi utilizzare la proprietà location di una risorsa per identificare dove viene eseguito il deployment del servizio e chi lo gestisce. Per saperne di più, consulta Servizi supportati dalle località delle risorse.
Classificare i dati riservati
Questo consiglio è pertinente alla seguente area di interesse: Sicurezza dei dati.
Devi definire quali dati sono riservati e poi assicurarti che i dati riservati siano adeguatamente protetti. I dati riservati possono includere numeri di carta di credito, indirizzi, numeri di telefono e altre informazioni che consentono l'identificazione personale (PII). Utilizzando Sensitive Data Protection, puoi configurare classificazioni appropriate. In seguito è possibile etichettare e tokenizzare i dati prima di archiviarli in Google Cloud. Inoltre, Dataplex Universal Catalog offre un servizio di catalogo che fornisce una piattaforma per archiviare, gestire e accedere ai metadati. Per ulteriori informazioni e un esempio di classificazione e anonimizzazione dei dati, consulta Anonimizzazione e reidentificazione delle PII utilizzando Sensitive Data Protection.
Bloccare l'accesso ai dati sensibili
Questo consiglio è pertinente alle seguenti aree di interesse:
- Sicurezza dei dati
- Gestione di identità e accessi
Posiziona i dati sensibili nel proprio perimetro di servizio utilizzando i Controlli di servizio VPC. I Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di copia o trasferimento non autorizzato di dati (esfiltrazione di dati) dai servizi gestiti da Google. Con i Controlli di servizio VPC, configuri perimetri di sicurezza attorno alle risorse dei servizi gestiti da Google per controllare il movimento dei dati all'interno del perimetro. Imposta i controlli dell'accesso di Google Identity and Access Management (IAM) per questi dati. Configura l'autenticazione a più fattori (MFA) per tutti gli utenti che devono accedere a dati sensibili.