Esse princípio no pilar de segurança do Google Cloud Well-Architected Framework ajuda você a identificar e atender aos requisitos regulatórios, de compliance e de privacidade para implantações na nuvem. Esses requisitos influenciam muitas das decisões que você precisa tomar sobre os controles de segurança que devem ser usados para suas cargas de trabalho noGoogle Cloud.
Visão geral do princípio
Atender às necessidades regulatórias, de compliance e de privacidade é um desafio inevitável para todas as empresas. Os requisitos regulamentares para a nuvem dependem de vários fatores, incluindo:
- As leis e regulamentos que se aplicam ao local físico da sua organização
- As leis e regulamentos que se aplicam ao local físico dos seus clientes
- Requisitos regulamentares do setor
Os regulamentos de privacidade definem como você pode receber, processar, armazenar e gerenciar os dados dos usuários. Você é o proprietário dos seus dados, incluindo os que recebe dos seus usuários. Portanto, muitos controles de privacidade são de sua responsabilidade, incluindo controles para cookies, gerenciamento de sessões e permissão de usuários.
As recomendações para implementar esse princípio estão agrupadas nas seguintes seções:
- Recomendações para lidar com riscos organizacionais
- Recomendações para atender às obrigações regulatórias e de compliance
- Recomendações para gerenciar a soberania de dados
- Recomendações para atender aos requisitos de privacidade
Recomendações para lidar com riscos organizacionais
Esta seção oferece recomendações para ajudar você a identificar e resolver riscos para sua organização.
Identificar riscos para sua organização
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
Antes de criar e implantar recursos no Google Cloud, faça uma avaliação de risco. Essa avaliação precisa determinar os recursos de segurança necessários para atender aos requisitos de segurança internos e regulatórios externos.
Sua avaliação de riscos fornece um catálogo de riscos específicos da organização e informa sobre a capacidade dela de detectar e combater ameaças de segurança. Faça uma análise de risco imediatamente após a implantação e sempre que houver mudanças nas necessidades da sua empresa, nos requisitos regulamentares ou nas ameaças à sua organização.
Como mencionado no princípio Implementar segurança por design, os riscos de segurança em um ambiente de nuvem são diferentes dos riscos locais. Essa diferença se deve ao modelo de responsabilidade compartilhada na nuvem, que varia de acordo com o serviço (IaaS, PaaS ou SaaS) e seu uso. Use um framework de avaliação de risco específico da nuvem, como a matriz de controles do Cloud (CCM). Use a estimativa de ameaças, como a estimativa de ameaças do aplicativo OWASP, para identificar e corrigir vulnerabilidades. Para receber ajuda especializada com avaliações de risco, entre em contato com seu representante da conta do Google ou consulte o diretório de parceiros da Google Cloud.
Depois de catalogar seus riscos, você precisa determinar como resolvê-los, ou seja, se quer aceitá-los, evitá-los, transferi-los ou mitigá-los. Para ver controles de mitigação que você pode implementar, consulte a próxima seção sobre como reduzir seus riscos.
Reduza seus riscos
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
Ao adotar novos serviços de nuvem pública, é possível reduzir os riscos usando controles técnicos, proteções contratuais e verificações ou atestados de terceiros.
Os controles técnicos são recursos e tecnologias usados para proteger seu ambiente. Eles incluem controles de segurança na nuvem integrados, como firewalls e geração de registros. Os controles técnicos também podem incluir o uso de ferramentas de terceiros para reforçar ou apoiar sua estratégia de segurança. Há duas categorias de controles técnicos:
- Você pode implementar os controles de segurança do Google Cloudpara ajudar a reduzir os riscos que se aplicam ao seu ambiente. Por exemplo, é possível proteger a conexão entre suas redes locais e de nuvem usando o Cloud VPN e o Cloud Interconnect.
- O Google conta com recursos robustos de controle e auditoria internos para proteger os dados dos clientes contra acesso interno. Nossos registros de auditoria fornecem registros quase em tempo real do acesso do administrador do Google no Google Cloud.
As proteções contratuais se referem aos compromissos jurídicos assumidos por nós com relação aos serviços doGoogle Cloud . O Google tem o compromisso de manter e expandir nosso portfólio de compliance. O Aditivo sobre tratamento de dados do Cloud (CDPA) descreve nossos compromissos em relação ao tratamento e à segurança dos seus dados. O CDPA também descreve os controles de acesso que limitam o acesso dos engenheiros de suporte do Google aos ambientes dos clientes e descreve nosso rigoroso processo de registro e aprovação. Recomendamos que você revise os controles contratuais do Google Cloudcom seus especialistas jurídicos e regulamentares e verifique se eles atendem aos seus requisitos. Se você precisar de mais informações, entre em contato com seu representante técnico da conta.
Verificações ou atestados de terceiros se referem a uma auditoria de terceiros no provedor de nuvem para garantir que ele atenda aos requisitos de conformidade. Por exemplo, para saber mais sobre as declarações de Google Cloud em relação às diretrizes da ISO/IEC 27017, consulte ISO/IEC 27017: conformidade. Para conferir as certificações e os atestados Google Cloud atuais, acesse a Central de recursos de compliance.
Recomendações para atender às obrigações regulatórias e de compliance
Uma jornada típica de compliance tem três estágios: avaliação, remediação de lacunas e monitoramento contínuo. Esta seção oferece recomendações que podem ser usadas em cada uma dessas etapas.
Avaliar suas necessidades de conformidade
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
A avaliação de conformidade começa com uma análise completa de todas as suas obrigações regulamentares e como sua empresa as está implementando. Para ajudar na sua avaliação dos serviços do Google Cloud , use a Central de recursos de compliance. Este site fornece informações sobre o seguinte:
- Suporte de serviço para vários regulamentos
- Google Cloud certificações e atestados
Para entender melhor o ciclo de vida da conformidade no Google e como seus requisitos podem ser atendidos, entre em contato com a equipe de vendas e peça ajuda a um especialista em conformidade do Google. Ou entre em contato com seu gerente de contas doGoogle Cloud para solicitar um workshop de compliance.
Para mais informações sobre ferramentas e recursos que podem ser usados para gerenciar a segurança e a conformidade das cargas de trabalho do Google Cloud , consulte Garantir a conformidade na nuvem.
Automatizar a implementação de requisitos de compliance
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
Para ajudar você a manter a conformidade com as regulamentações em constante mudança, determine se é possível automatizar a implementação dos requisitos de compliance. É possível usar os dois recursos focados em conformidade que o Google Cloud oferece e os blueprints que usam configurações recomendadas para um regime de compliance específico.
O Assured Workloads é criado com base nos controles do Google Cloud para ajudar você a cumprir as obrigações de compliance. Você pode fazer o seguinte com o Assured Workloads:
- Selecione seu regime de conformidade. Em seguida, a ferramenta define automaticamente os controles de acesso da equipe de referência para o regime selecionado.
- Defina o local dos dados usando políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
- Selecione a opção de gerenciamento de chaves (como o período de rotação de chaves) que melhor atende às necessidades de segurança e conformidade.
- Selecione os critérios de acesso da equipe de suporte do Google para atender a determinados requisitos regulamentares, como o FedRAMP de nível médio. Por exemplo, é possível selecionar se a equipe de suporte do Google passou por investigações de histórico para contratação apropriadas.
- Use Google-owned and Google-managed encryption keys que estejam em conformidade com o FIPS-140-2 e sejam compatíveis com a conformidade do FedRAMP de nível médio. Para ter uma camada adicional de controle e separação de tarefas, use as chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações sobre chaves, consulte Criptografar dados em repouso e em trânsito.
Além do Assured Workloads, você pode usar Google Cloud modelos relevantes para seu regime de compliance. É possível modificar esses blueprints para incorporar suas políticas de segurança às implantações de infraestrutura.
Para ajudar você a criar um ambiente que atenda aos requisitos de compliance, os blueprints e guias de soluções do Google incluem configurações recomendadas e fornecem módulos do Terraform. A tabela a seguir lista blueprints que abordam a segurança e o alinhamento com os requisitos de conformidade.
| Requisito | Modelos e guias de solução |
|---|---|
| FedRAMP | |
| HIPAA |
Monitorar a conformidade
Esta recomendação é relevante para as seguintes áreas de foco:
- Governança, risco e compliance na nuvem
- Registro, monitoramento e auditoria
A maioria das regulamentações exige que você monitore determinadas atividades, incluindo as relacionadas ao acesso. Para ajudar no monitoramento, você pode usar o seguinte:
- Transparência no acesso: veja registros quase em tempo real quando os administradores do Google Cloud acessam seu conteúdo.
- Geração de registros de regras de firewall: grave conexões TCP e UDP dentro de uma rede VPC para qualquer regra que você criar. Esses registros podem ser úteis para auditar o acesso à rede ou para fornecer aviso antecipado de que a rede está sendo usada de maneira não aprovada.
- Registros de fluxo de VPC: registram os fluxos de tráfego de rede enviados ou recebidos por instâncias de VM.
- Security Command Center Premium: Monitore a conformidade com vários padrões.
- OSSEC (ou outra ferramenta de código aberto): registre a atividade de indivíduos que têm acesso de administrador ao ambiente.
- Justificativas de acesso à chave: confira os motivos de uma solicitação de acesso à chave.
- Notificações do Security Command Center: receba alertas quando ocorrerem problemas de não conformidade. Por exemplo, receba alertas quando os usuários desativarem a verificação em duas etapas ou quando contas de serviço tiverem privilégios em excesso. Também é possível configurar a correção automática para notificações específicas.
Recomendações para gerenciar a soberania de dados
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
A soberania de dados oferece um mecanismo para impedir que o Google acesse seus dados. Você aprova o acesso somente para comportamentos do provedor que você acredita serem necessários. Por exemplo, você pode gerenciar a soberania de dados das seguintes maneiras:
- Armazene e gerencie as chaves de criptografia fora da nuvem.
- Conceda acesso a essas chaves com base em justificativas de acesso detalhadas.
- Proteja os dados em uso usando a computação confidencial.
Gerenciar a soberania operacional
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
A soberania operacional oferece garantias de que a equipe do Google não pode comprometer suas cargas de trabalho. Por exemplo, você pode gerenciar a soberania operacional das seguintes maneiras:
- Restrinja a implantação de novos recursos em regiões específicas do provedor.
- Limitar o acesso da equipe do Google com base em atributos predefinidos, como cidadania ou localização geográfica.
Gerenciar a soberania de software
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
A soberania de software oferece garantias de que você pode controlar a disponibilidade de suas cargas de trabalho e executá-las onde quiser. Além disso, é possível ter esse controle sem depender ou ficar preso a um único provedor de nuvem. A soberania de software inclui a capacidade de sobreviver a eventos que exigem alteração rápida no local de implantação das cargas de trabalho e em que nível de conexão externa é permitido.
Por exemplo, para ajudar você a gerenciar a soberania do software,o Google Cloud oferece suporte a implantações híbridas e de várias nuvens. Além disso, com o GKE Enterprise, é possível gerenciar e implantar seus aplicativos em ambientes em nuvem e locais. Se você escolher implantações locais por motivos de soberania de dados, o Google Distributed Cloud será uma combinação de hardware e software que levará o Google Cloud para seu data center.
Recomendações para atender aos requisitos de privacidade
OGoogle Cloud inclui os seguintes controles que promovem a privacidade:
- Criptografia padrão de todos os dados quando estão em repouso, em trânsito e durante o processamento.
- Protege contra acesso de pessoas com informações privilegiadas.
- Compatibilidade com diversas regulamentações de privacidade.
As recomendações a seguir abordam outros controles que você pode implementar. Para mais informações, consulte a Central de recursos de privacidade.
Controlar a residência de dados
Esta recomendação é relevante para a seguinte área de foco: governança, risco e compliance na nuvem.
Essa seção descreve onde seus dados são armazenados em repouso. Os requisitos de residência de dados variam de acordo com os objetivos de design do sistema, questões regulatórias do setor, legislação nacional, implicações fiscais e até mesmo a cultura.
O controle da residência de dados começa com:
- Entender o tipo dos dados e a localização deles.
- Determinar quais riscos existem para seus dados e quais leis e regulamentações se aplicam.
- Controlar onde seus dados são armazenados ou para onde vão.
Para ajudar você a obedecer aos requisitos de residência de dados, o Google Cloud permite controlar onde seus dados são armazenados, como são acessados e como são tratados. É possível usar políticas de local de recursos para restringir onde os recursos são criados e limitar onde os dados são replicados entre regiões. É possível usar a propriedade de local de um recurso para identificar onde o serviço é implantado e quem o mantém. Para mais informações, consulte Serviços com suporte com locais de recursos.
Classificar seus dados confidenciais
Essa recomendação é relevante para a seguinte área de foco: segurança de dados.
Defina quais dados são confidenciais e, em seguida, garanta que eles sejam protegidos adequadamente. Os dados confidenciais podem incluir números de cartões de crédito, endereços, números de telefone e outras informações de identificação pessoal (PII). Com a Proteção de dados confidenciais, é possível configurar classificações apropriadas. Em seguida, você pode marcar e tokenizar seus dados antes de armazená-los no Google Cloud. Além disso, o Dataplex Universal Catalog oferece um serviço de catálogo que fornece uma plataforma para armazenar, gerenciar e acessar seus metadados. Para mais informações e um exemplo de classificação e desidentificação de dados, consulte Desidentificação e reidentificação de PII usando a proteção de dados sensíveis.
Bloquear o acesso a dados confidenciais
Esta recomendação é relevante para as seguintes áreas de foco:
- Segurança de dados
- Gerenciamento de identidade e acesso
Coloque dados sensíveis no próprio perímetro de serviço usando o VPC Service Controls. O VPC Service Controls melhora sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados (exfiltração de dados) de serviços gerenciados pelo Google. Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a movimentação de dados por todo o perímetro. Defina os controles de acesso do Google Identity and Access Management (IAM) para esses dados. Configure a autenticação multifator (MFA) para todos os usuários que precisam acessar dados sensíveis.