Linee guida per la protezione dei dati

Le seguenti linee guida per la piattaforma di sicurezza minima praticabile sono in linea con il pilastro della protezione dei dati.

Linee guida per il livello base

Implementa prima le seguenti linee guida per la protezione dei dati.

Elemento	Utilizzare l'accesso uniforme a livello di bucket
Descrizione	Il vincolo booleano `storage.uniformBucketLevelAccess` richiede che i bucket utilizzino un accesso uniforme a livello di bucket. L'accesso uniforme a livello di bucket consente di utilizzare solo le autorizzazioni Identity and Access Management (IAM) a livello di bucket per concedere l'accesso alle risorse Cloud Storage. L'utilizzo di due sistemi diversi e in conflitto per gestire le autorizzazioni sui bucket di archiviazione è complesso e una causa comune di perdite accidentali di dati. Questa impostazione disattiva il sistema legacy (elenchi di controllo dell'accesso o ACL) e rende il sistema moderno e centralizzato (IAM) l'unica fonte attendibile per tutte le autorizzazioni.
Informazioni correlate	Richiedi l'accesso uniforme a livello di bucket
ID elemento	MVSP-CO-1.42
Mappatura	Controlli NIST-800-53 correlati: AC-3 AC-17 AC-20 Controlli del profilo CRI correlati: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Controllo di Compliance Manager: Abilita l'accesso uniforme a livello di bucket sui bucket Cloud Storage

Elemento	Limitare gli indirizzi IP pubblici di Cloud SQL
Descrizione	Impedisci a Cloud SQL di avere un indirizzo IP pubblico e di essere esposto direttamente a internet impostando il vincolo del criterio dell'organizzazione `constraints/sql.restrictPublicIp`. In genere, i database non sono esposti direttamente a internet. Impedire l'utilizzo di indirizzi IP pubblici contribuisce a evitare che i tuoi database ottengano indirizzi IP pubblici, garantendo che siano privati e accessibili solo da applicazioni interne attendibili.
Informazioni correlate	Migliora la sicurezza dell'istanza disabilitando l'IP pubblico Criteri di connessione dell'organizzazione
ID elemento	MVSP-CO-1.45
Mappatura	Controlli NIST-800-53 correlati: SC-7 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Bloccare indirizzi IP pubblici per le istanze Cloud SQL

Dopo aver implementato le linee guida di base, implementa le seguenti linee guida per la protezione dei dati.

Elemento	Bloccare l'accesso pubblico ai bucket Cloud Storage
Descrizione	Il vincolo booleano `storage.publicAccessPrevention` impedisce l'accesso ai bucket di archiviazione da origini pubbliche senza autenticazione. Disattiva e blocca gli elenchi di controllo dell'accesso dell'accesso (ACL) e le autorizzazioni Identity and Access Management (IAM) che concedono l'accesso a `allUsers` e `allAuthenticatedUsers`. Questo vincolo funge da rete di sicurezza a livello di organizzazione che blocca attivamente qualsiasi impostazione che renderebbe un bucket accessibile pubblicamente.
Informazioni correlate	Prevenzione dell'accesso pubblico
ID elemento	MVSP-CO-1-43
Mappatura	Controlli NIST-800-53 correlati: AC-3 AC-17 AC-20 Controlli del profilo CRI correlati: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Controllo di Compliance Manager: Applica prevenzione dell'accesso pubblico

Elemento	Esaminare l'accesso al set di dati BigQuery
Descrizione	Assicurati che BigQuery non disponga di set di dati aperti all'accesso pubblico, a meno che non siano destinati a essere pubblici. I set di dati in BigQuery spesso contengono dati sensibili. Esaminare l'accesso al set di dati ti aiuta a evitare di esporre accidentalmente o involontariamente i dati a internet.
Informazioni correlate	Controllare l'accesso alle risorse con Identity and Access Management (IAM)
ID elemento	MVSP-CO-1.46
Mappatura	Controlli NIST-800-53 correlati: AC-3 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Limitare l'accesso pubblico ai set di dati BigQuery

Dopo aver implementato le linee guida intermedie, implementa le seguenti linee guida per la protezione dei dati.

Elemento	Creare una strategia di crittografia gestita
Descrizione	Crea una strategia di gestione della crittografia utilizzando Cloud Key Management Service (Cloud KMS) con Autokey, Cloud External Key Manager (Cloud EKM) o entrambi. Questa strategia consente alla tua organizzazione di utilizzare e gestire le proprie chiavi di crittografia per soddisfare i requisiti specifici. L'utilizzo delle tue chiavi di crittografia offre un controllo granulare e verificabile sull'accesso ai dati, inclusa la possibilità di bloccare immediatamente l'accesso ai dati disattivando la chiave.
Informazioni correlate	Panoramica di Cloud KMS
ID elemento	MVSP-CO-1.44
Mappatura	Controlli NIST-800-53 correlati: SC-12 Controlli del profilo CRI correlati: PR.DS-1.1