Il pilastro della sicurezza, della privacy e della conformità del Google Cloud Well-Architected Framework fornisce consigli per aiutarti a progettare, eseguire il deployment e gestire i carichi di lavoro cloud che soddisfano i tuoi requisiti di sicurezza, privacy e conformità.
Questo documento è progettato per offrire approfondimenti preziosi e soddisfare le esigenze di una serie di professionisti e ingegneri della sicurezza. La tabella seguente descrive i destinatari previsti di questo documento:
| Pubblico | Cosa fornisce questo documento |
|---|---|
| Chief Information Security Officer (CISO), leader delle unità aziendali e responsabili IT | Un framework generale per stabilire e mantenere l'eccellenza della sicurezza nel cloud e per garantire una visione completa delle aree di sicurezza per prendere decisioni consapevoli sugli investimenti in sicurezza. |
| Architetti e ingegneri della sicurezza | Pratiche di sicurezza chiave per le fasi di progettazione e operativa per garantire che le soluzioni siano progettate per la sicurezza, l'efficienza e la scalabilità. |
| Team DevSecOps | Indicazioni per incorporare controlli di sicurezza generali per pianificare l'automazione che consente un'infrastruttura sicura e affidabile. |
| Responsabili della conformità e responsabili della gestione dei rischi | Suggerimenti sulla sicurezza chiave per seguire un approccio strutturato alla gestione dei rischi con misure di sicurezza che aiutano a soddisfare gli obblighi di conformità. |
Per assicurarti che i tuoi Google Cloud carichi di lavoro soddisfino i requisiti di sicurezza, privacy, e conformità, tutti gli stakeholder della tua organizzazione devono adottare un approccio collaborativo. Inoltre, devi riconoscere che la sicurezza del cloud è una responsabilità condivisa tra te e Google. Per ulteriori informazioni, consulta Responsabilità condivise e destino condiviso su Google Cloud.
I consigli di questo pilastro sono raggruppati in principi di sicurezza fondamentali. Ogni consiglio basato sui principi è mappato a una o più delle aree di interesse della sicurezza del cloud che potrebbero essere fondamentali per la tua organizzazione. Ogni consiglio evidenzia le indicazioni sull'uso e la configurazione di Google Cloud prodotti e funzionalità per contribuire a migliorare la security posture della tua organizzazione.
Principi fondamentali
I consigli di questo pilastro sono raggruppati nei seguenti principi fondamentali di sicurezza. Ogni principio di questo pilastro è importante. A seconda dei requisiti della tua organizzazione e del tuo carico di lavoro, potresti scegliere di dare la priorità a determinati principi.
- Implementa la sicurezza by design: integra le considerazioni sulla sicurezza del cloud e della rete a partire dalla fase di progettazione iniziale delle applicazioni e dell'infrastruttura. Google Cloud fornisce progetti di architettura e consigli per aiutarti ad applicare questo principio.
- Implementa Zero Trust: utilizza un approccio non fidarsi mai, verificare sempre, in cui l'accesso alle risorse viene concesso in base alla verifica continua dell'attendibilità. Google Cloud supporta questo principio tramite prodotti come Chrome Enterprise Premium e Identity-Aware Proxy (IAP).
- Implementa la sicurezza shift-left: implementa i controlli di sicurezza nelle prime fasi del ciclo di vita di sviluppo del software. Evita i difetti di sicurezza prima di apportare modifiche al sistema. Rileva e correggi i bug di sicurezza in modo rapido, veloce e affidabile dopo che le modifiche al sistema sono state eseguite. Google Cloud supporta questo principio tramite prodotti come Cloud Build, Autorizzazione binaria e Artifact Registry.
- Implementa la cyberdifesa preventiva: adotta un approccio proattivo alla sicurezza implementando misure fondamentali solide come la threat intelligence. Questo approccio ti aiuta a creare una base per un rilevamento e una risposta alle minacce più efficaci. Google Cloud's approccio ai controlli di sicurezza a più livelli è in linea con questo principio.
- Usa l'AI in modo sicuro e responsabile: Sviluppa ed esegui il deployment di sistemi di AI in modo responsabile e sicuro. I consigli per questo principio sono in linea con le indicazioni della prospettiva AI e ML del Well-Architected Framework e del Secure AI Framework (SAIF) di Google.
- Usa l'AI per la sicurezza: utilizza le funzionalità di AI per migliorare i sistemi e i processi di sicurezza esistenti tramite Gemini in Security e le funzionalità di sicurezza della piattaforma complessiva. Utilizza l'AI come strumento per aumentare l'automazione del lavoro di correzione e garantire l'igiene della sicurezza per rendere più sicuri gli altri sistemi.
- Soddisfa le esigenze normative, di conformità e di privacy: rispetta le normative specifiche del settore, gli standard di conformità e i requisiti di privacy. Google Cloud ti aiuta a soddisfare questi obblighi tramite prodotti come Assured Workloads, il servizio Criteri dell'organizzazione e il nostro Centro risorse per la conformità.
Mentalità di sicurezza organizzativa
Una mentalità organizzativa incentrata sulla sicurezza è fondamentale per l'adozione e il funzionamento del cloud. Questa mentalità deve essere profondamente radicata nella cultura della tua organizzazione e riflettersi nelle sue pratiche, che sono guidate dai principi di sicurezza fondamentali descritti in precedenza.
Una mentalità di sicurezza organizzativa sottolinea che devi pensare alla sicurezza durante la progettazione del sistema, presupporre Zero Trust e integrare le funzionalità di sicurezza durante il processo di sviluppo. In questa mentalità, devi anche pensare in modo proattivo alle misure di cyberdifesa, utilizzare l'AI in modo sicuro e per la sicurezza e considerare i requisiti normativi, di privacy e di conformità. Adottando questi principi, la tua organizzazione può coltivare una cultura della sicurezza che affronta in modo proattivo le minacce, protegge le risorse di valore e contribuisce a garantire un utilizzo responsabile della tecnologia.
Aree di interesse della sicurezza del cloud
Questa sezione descrive le aree su cui concentrarti quando pianifichi, implementi e gestisci la sicurezza per applicazioni, sistemi e dati. I consigli di ogni principio di questo pilastro sono pertinenti a una o più di queste aree di interesse. Nel resto di questo documento, i consigli specificano le aree di interesse della sicurezza corrispondenti per fornire maggiore chiarezza e contesto.
| Area di interesse | Attività e componenti | Prodotti, funzionalità e soluzioni Google Cloud correlate |
|---|---|---|
| Sicurezza dell'infrastruttura |
|
|
| Gestione di identità e accessi |
|
|
| Sicurezza dei dati |
|
|
| Sicurezza di AI e ML |
|
|
| Operazioni di sicurezza (SecOps) |
|
|
| Sicurezza delle applicazioni |
|
|
| Governance, rischio e conformità del cloud |
|
|
| Logging, controllo e monitoraggio |
|
Collaboratori
Autori:
- Wade Holmes | Global Solutions Director
- Hector Diaz | Cloud Security Architect
- Carlos Leonardo Rosario | Google Cloud Security Specialist
- John Bacon | Partner Solutions Architect
- Sachin Kalra | Global Security Solution Manager
Altri collaboratori:
- Anton Chuvakin | Security Advisor, Ufficio del CISO
- Daniel Lees | Cloud Security Architect
- Filipe Gracio, PhD | Customer Engineer, AI/ML Specialist
- Gary Harmson | Principal Architect
- Gino Pelliccia | Principal Architect
- Jose Andrade | Customer Engineer, SRE Specialist
- Kumar Dhanagopal | Cross-Product Solution Developer
- Laura Hyatt | Customer Engineer, FSI
- Marwan Al Shawi | Partner Customer Engineer
- Nicolas Pintaux | Customer Engineer, Application Modernization Specialist
- Noah McDonald | Cloud Security Consultant
- Osvaldo Costa | Networking Specialist Customer Engineer
- Radhika Kanakam | Program Lead, Google Cloud Well-Architected Framework
- Samantha He | Technical Writer
- Susan Wu | Outbound Product Manager