Linee guida dell'organizzazione

Le seguenti linee guida per la piattaforma di sicurezza minima praticabile sono in linea con il pilastro della sicurezza dell'organizzazione.

Linee guida per il livello intermedio

Dopo aver implementato le linee guida di base, implementa le seguenti linee guida per l'organizzazione.

Elemento	Limitare le entità autorizzate
Descrizione	Assicurati che nell'ambiente Google Cloud siano consentite solo le identità della tua organizzazione. Utilizza il vincolo di policy dell'organizzazione Condivisione con limitazioni del dominio (`iam.allowedPolicyMemberDomains`) o `iam.managed.allowedPolicyMembers` per definire uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri IAM (Identity and Access Management). Questi vincoli aiutano a impedire ai dipendenti di concedere l'accesso ad account esterni al di fuori del controllo della tua organizzazione che non rispettano i criteri di sicurezza per l'autenticazione a più fattori (MFA) o la gestione delle password. Questo controllo è fondamentale per impedire l'accesso non autorizzato, garantendo che possano essere utilizzate solo identità aziendali gestite e attendibili.
Informazioni correlate	Limitazione delle identità per dominio
ID elemento	MVSP-CO-1.21
Mappatura	Controlli NIST-800-53 correlati: AC-3 AC-17 AC-20 Controlli del profilo CRI correlati: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Controllo di Compliance Manager: Forza la condivisione limitata dei domini

Dopo aver implementato le linee guida intermedie, implementa le seguenti linee guida dell'organizzazione.

Elemento	Limitare le località delle risorse
Descrizione	Il vincolo di limitazione della località delle risorse (`gcp.resourceLocations`) garantisce che per l'archiviazione dei dati vengano utilizzate solo le regioni Google Cloud approvate. Il valore è specifico per i tuoi sistemi e corrisponde all'elenco approvato di regioni per la residenza dei dati della tua organizzazione. Questo vincolo consente alla tua organizzazione di imporre che le risorse e i dati vengano creati e salvati solo in regioni geografiche specifiche approvate.
Informazioni correlate	Limitazione delle località delle risorse
ID elemento	MVSP-CO-1.22
Mappatura	Controlli NIST-800-53 correlati: AC-3 AC-17 AC-20 Controlli del profilo CRI correlati: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1

Elemento	Limita utilizzo del servizio risorse
Descrizione	Il vincolo `gcp.restrictServiceUsage` garantisce che solo i servizi approvati Google Cloud vengano utilizzati nei luoghi giusti. Ad esempio, una cartella di produzione o molto sensibile ha un piccolo elenco di Google Cloud servizi approvati per l'archiviazione dei dati. Una cartella sandbox potrebbe avere un elenco più ampio di servizi e controlli di sicurezza dei dati di accompagnamento per contribuire a prevenire l'esfiltrazione di dati. Il valore è specifico per i tuoi sistemi e corrisponde all'elenco approvato di servizi e dipendenze per cartelle e progetti specifici. Questo vincolo consente alla tua organizzazione di creare una lista consentita di servizi approvati, il che aiuta a impedire ai dipendenti di utilizzare servizi non verificati.
Informazioni correlate	Limitare l'utilizzo delle risorse
ID elemento	MVSP-CO-1.23
Mappatura	Controlli NIST-800-53 correlati: AC-3 AC-17 AC-20 Controlli del profilo CRI correlati: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Controllo di Compliance Manager: Limita utilizzo servizi delle risorse