Che cos'è la conformità al cloud?
La conformità al cloud è la serie di procedure, controlli e misure organizzative che è necessario mettere in atto per garantire che le risorse basate sul cloud soddisfino i requisiti delle normative sulla protezione dei dati. standarde i framework rilevanti per l'organizzazione.
I requisiti normativi stessi sono generalmente gli stessi sia che si ospitino i dati in locale che nel cloud. Tuttavia, questi due ambienti sono completamente diversi l'uno dall'altro e quindi anche i passaggi da eseguire per soddisfare tali requisiti sono completamente diversi. Ciò è dovuto alla natura dinamica e più complessa del cloud, che richiede un approccio nuovo e diverso alla governance dei dati.
Oltre a questo,'È importante tenere presente che la conformità al cloud è una disciplina nettamente diversa dalla sicurezza informatica. La conformità è un esercizio di spunta, mentre la cibersicurezza è l'attuazione di Controlli tecnici specifici per l'organizzazione, i dati archiviati ed elaborati e le tecnologie utilizzate.
Inoltre, la conformità ha spesso una portata molto più ampia. Ad esempio, la cibersicurezza è solo una componente del Regolamento generale sulla protezione dei dati (GDPR), che comprende una serie di altre disposizioni, come i diritti degli interessati e le limitazioni su ciò che fai con i loro dati e per quanto tempo puoi conservarli.
In considerazione dell'ampia gamma di leggi e standard di protezione dei dati che si applicano al giorno d'oggi'Con le organizzazioni basate sui dati e le nuove sfide di protezione dei dati che il passaggio al cloud presenta, l'importanza della conformità al cloud è diventata più grande che mai.
Chi è responsabile della conformità al cloud?
Quando si ospitano i carichi di lavoro nel data center on-premise, si è responsabili di quasi tutti gli aspetti della sicurezza e della conformità. Ma nel cloud,'La storia è completamente diversa, in quanto si cede parte di questa responsabilità al fornitore di servizi cloud.
In altre parole, la conformità al cloud è una responsabilità condivisa. Ma chi è esattamente responsabile di cosa?
Per aiutare i clienti a comprendere la demarcazione tra le responsabilità, ciascuno dei principali provider di servizi cloud (CSP) fornisce una serie di linee guida, note come Modello di responsabilità condivisa. Questi sono in linea di massima molto simili, dove il:
CSP'Le sue responsabilità includono la sicurezza dei propri data center, dell'infrastruttura IT, degli hypervisor e dei sistemi operativi host, insieme al compito di garantire la disponibilità e l'affidabilità dei servizi forniti ai clienti.
Cliente'Le sue responsabilità includonola configurazione dei servizi cloud che utilizza, insieme alla sicurezza e alla conformità dei sistemi operativi guest e delle applicazioni ospitate sul fornitore'A questo punto, l'utente deve essere in
Cloud Governance
Governance del cloud e la conformità al cloud sono aspetti integranti della gestione efficace delle risorse cloud. La governance del cloud comprende la definizione di criteri, procedure e controlli per allineare l'uso dei servizi cloud con un'organizzazione', garantire la conformità normativa e aderire alle migliori pratiche. Implica lo sviluppo e l'implementazione di linee guida per l'utilizzo delle risorse cloud, enfatizzando il monitoraggio e l'auditing per garantire l'aderenza continua agli standard stabiliti.
D'altra parte, la conformità del cloud si concentra in modo specifico sul rispetto dei requisiti legali, normativi e specifici del settore all'interno dell'ambiente cloud. Implica l'affrontare aree come la sicurezza dei dati, la privacy, gli obblighi normativi e la conformità agli accordi sul livello di servizio (SLA) con i fornitori di servizi cloud.
La relazione tra governance del cloud e conformità risiede nel loro allineamento, poiché i framework di governance spesso includono criteri che rispondono direttamente alle esigenze di conformità e i meccanismi di governance applicano questi criteri per garantire l'aderenza a standard e normative esterne. Sia gli sforzi di governance che quelli di conformità contribuiscono a una gestione efficace dei rischi nell'ambiente cloud, enfatizzando l'identificazione e la mitigazione di potenziali problemi.
Normative
Di seguito vengono illustrati i più importanti regolamenti e framework di conformità al cloud, tra cui:
Regolamento generale sulla protezione dei dati (GDPR)
Una legge sulla privacy dei dati progettata per proteggere i dati personali dei cittadini dello Spazio economico europeo (SEE). Il GDPR copre chiunque sia residente all'interno dei confini territoriali dell'UE, insieme a Norvegia, Islanda e Liechtenstein, al momento della raccolta dei dati.
Sebbene il GDPR sia una normativa europea, ha ancora una portata territoriale globale. Ciò è dovuto al fatto che si applica a qualunque organizzazione che serve i residenti del SEE o elabora i loro dati come parte di routine delle sue operazioni commerciali.
I requisiti di sicurezza informatica del GDPR sono definiti in modo molto vago e si limitano a indicare che è necessario fornire ai dati personali livelli di protezione adeguati in linea con il rischio per tali dati e il costo di implementazione. Ciò evidenzia l'importanza della responsabilità e dell'affidabilità per la sicurezza delle implementazioni basate sul cloud, attraverso politiche, misure e procedure chiare per la governance dei dati che aiutano a dimostrare la conformità.
E don'Non dimenticare che il GDPR copre molto di più della semplice sicurezza informatica. Ad esempio, tu'A questo punto, l'utente deve prendere in considerazione:
Minimizzazione dei dati: L'utente deve raccogliere solo i dati personali che'In realtà, è necessario per raggiungere il tuo scopo.
Limitazione dell'archiviazione: Dovresti conservarlo per non più tempo del necessario.
Residenza dei dati: Dovresti elaborarli e archiviarli solo all'interno del SEE, a meno che l'interessato non abbia acconsentito o il trasferimento dei dati in un paese terzo soddisfi requisiti GDPR molto specifici.
Diritto di accesso: L'utente è tenuto a soddisfare le richieste degli interessati di ottenere una copia dei dati personali in suo possesso.
Diritto di cancellazione: In determinate circostanze, l'utente deve anche eliminare i dati personali di qualsiasi individuo che lo richieda.
Da quando ha lasciato l'UE, il Regno Unito ha adottato la propria implementazione del GDPR, che è praticamente la stessa della sua controparte dell'UE.
Legge sulla resilienza operativa digitale (DORA)
L'atto sulla resilienza operativa digitale (DORA) mira a proteggere l'Europa'settore finanziario da interruzioni e attacchi informatici, creando un quadro uniforme di gestione dei rischi ICT. Si stima che l'atto interessano oltre 22.000 entità finanziarie e fornitori di servizi ICT, tra cui banche, assicurazioni e servizi cloud.
Gli obiettivi principali di DORA sono:
creare un quadro completo per la gestione dei rischi relativi alle TIC
effettuare valutazioni periodiche dei rischi
garantire che tutti i principali incidenti relativi alle TIC siano prontamente segnalati alle autorità
DORA: Everything You Need to Know
In this whitepaper, discover the ins and outs of this new set of regulations that applies to over 22,000 organizations in the European Union (EU).
Download Whitepaper
Legge federale sulla gestione della sicurezza delle informazioni (LIFI)
FISMA è U.S. quadro legislativo che le agenzie federali, insieme alle aziende private che servono il settore pubblico, devono adottare per proteggere le informazioni governative sotto la loro cura. E' costruito sulle fondamenta di FIPS 199, FIPS 200e NIST SP 800-53, in cui è possibile utilizzare:
FIPS 199 per classificare le informazioni e i sistemi informativi in base al potenziale impatto (basso, moderato o alto) in caso di perdita di riservatezza, integrità o disponibilità.
FIPS 200 per determinare gli obiettivi di sicurezza dell'organizzazione in base alla valutazione FIPS 199.
I risultati delle valutazioni FIPS 199 e FIPS 200 per selezionare i controlli di sicurezza di base NIST SP 800-53 appropriati che si applicano all'organizzazione.
Sebbene applicabile solo alle agenzie federali e ai loro appaltatori, la conformità FISMA è vantaggiosa per qualsiasi altra organizzazione, in quanto può aprire nuove porte agli affari con gli enti governativi.
Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria (HIPAA)
Conosciuto come il Regola di sicurezza HIPAA, questo insieme di standard di conformità nazionali ha lo scopo di proteggere le informazioni sanitarie sensibili dei pazienti negli Stati Uniti. La norma fa parte degli obiettivi più ampi dell'HIPAA, come semplificare l'amministrazione sanitaria e garantire una copertura assicurativa sanitaria ininterrotta per i dipendenti che perdono o cambiano lavoro.
L'HIPAA copre qualsiasi organizzazione che gestisce direttamente le informazioni sanitarie personali, come i fornitori di assistenza sanitaria, le compagnie di assicurazione sanitaria e i servizi di fatturazione associati.
Legge Sarbanes-Oxley (SOX)
SOX è una legge federale volta a proteggere gli azionisti, i dipendenti e i membri del pubblico da pratiche contabili e finanziarie negligenti o fraudolente.
La legge si concentra principalmente sulla regolamentazione della rendicontazione finanziaria, sulle procedure di audit interno e su altre pratiche commerciali presso le società pubbliche. Tuttavia, include anche requisiti di conformità in relazione alla tecnologia dell'informazione. Ad esempio, è necessario monitorare i log e mantenere un audit trail completo dell'attività dell'utente che coinvolge dati sensibili. Inoltre, include una gamma limitata di sicurezza dei dati, disponibilità e altri controlli di accesso.
Norme e quadri normativi
Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS)
Uno standard contrattuale che si applica a qualsiasi organizzazione che accetta o elabora pagamenti con carta. Lo standard PCI DSS è progettato per garantire la sicurezza dei dati sensibili dei titolari di carta. È amministrato dal PCI Standards Council, un organismo che riunisce le principali parti interessate del settore dei pagamenti.
Il quadro comprende una serie di requisiti tecnici e operativi, comprese le disposizioni per Firewall, codificae controllo di accesso.
Per aiutare gli esercenti e i fornitori di servizi a comprendere questi requisiti nel contesto del cloud, il PCI Standards Council ha pubblicato una relazione online guida sull'impatto del cloud computing sulla conformità PCI DSS. Ciò include un esempio di matrice di responsabilità condivisa, che funge da punto di partenza per comprendere il modo in cui gli obblighi di conformità possono essere condivisi tra il cliente e il fornitore di servizi cloud.
Istituto nazionale degli standard e della tecnologia (NIST SP 800-53)
Questa libreria di controlli tecnici e operativi ha lo scopo di proteggere l'integrità, la riservatezza e la sicurezza dei sistemi informativi. È obbligatorio per gli Stati Uniti. enti governativi e appaltatori con accesso ai sistemi federali, che fungono da componente fondamentale del FISMA. Inoltre, è alla base dell'intera cascata di diversi framework che supportano la conformità FISMA.
In termini semplici, NIST SP 800-53 è suddiviso in diverse categorie di controlli di base, che vengono selezionati in base al rischio per i dati.
Programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP)
Questa versione semplificata del FISMA è specificamente adattata all'uso governativo dei fornitori di servizi cloud (CSP).
È guidato dal modello di responsabilità condivisa del cloud, in base al quale separa i requisiti in due set di controlli, uno per il CSP e l'altro per l'agenzia federale o l'appaltatore che utilizza i suoi servizi. Ciò semplifica la conformità FISMA e aiuta a evitare inutili duplicazioni degli obiettivi di sicurezza.
Per garantire la piena conformità, l'agenzia federale o l'appaltatore deve utilizzare un CSP con autorizzazione FedRAMP e soddisfare i propri obblighi FedRAMP.
Controlli di sistema e organizzazione 2 (SOC 2)
SOC 2 è un framework di conformità volontario che aiuta le organizzazioni di servizi a garantire ai clienti di disporre di misure appropriate per proteggere i dati sensibili sotto il loro controllo. L'attestazione SOC 2 è una necessità per molti servizi in outsourcing negli Stati Uniti, dove i clienti spesso la richiedono come parte di accordi contrattuali.
È necessario superare un audit indipendente annuale del comportamento di sicurezza per mantenere la conformità SOC 2. La valutazione si basa su cinque grandi categorie di controlli:sicurezza, disponibilità, Integrità del processo, riservatezzae privacy.
Controlli di sicurezza critici del Center for Internet Security (controlli CIS)
Un insieme volontario di controlli di sicurezza essenziali che le organizzazioni dovrebbero implementare in via prioritaria. Controlli CIS sono progettati come punto di partenza per sistemi di tempra. Questo perché si concentrano sulle misure che hanno l'impatto più efficace e più immediato. Sono particolarmente utili per i reparti IT con risorse e competenze di sicurezza limitate.
Riepilogo delle principali normative e standard in materia di protezione dei dati
| Regulation or Framework | Applies to | Scope | Territorial Scope | Compliance Responsibility |
|---|---|---|---|---|
| GDPR | Any organization that processes data about EEA citizens | Data security and availability, handling of personal data, and rights of data subjects | Anywhere in the world | Mandatory |
| FISMA | Federal agencies and their contractors, along with any CSPs they use | Security and privacy of data on federal systems | United States | Mandatory |
| HIPAA Privacy Rule | Healthcare providers, health insurance companies, and associated billing services | Security and privacy of healthcare information | United States | Mandatory except where state law takes precedence |
| SOX | Publicly traded companies | Largely financial and business practices, but also covers IT controls | United States | Mandatory for public companies although some requirements also apply to private companies and non-profit organizations |
| PCI DSS | Any organization that accepts or processes card payments | Data security | Anywhere in the world | Contractual |
| NIST SP 800-53 | Federal agencies and their contractors, along with any CSPs they use | Security and privacy of federal data | United States | Mandatory |
| FedRAMP | Federal agencies and their contractors, along with any CSPs they use | Security and privacy of federal data processed or stored in the cloud | United States | Mandatory |
| SOC 2 | Mainly SaaS vendors, companies that provide analytics and business intelligence services, financial institutions, and other organizations that store sensitive customer information | Data security, availability, processing integrity, confidentiality, and privacy | Globally recognized but mainly adopted in United States | Voluntary |
| CIS Controls | Organizations of any size and in any industry sector | Data security | Globally recognized | Voluntary |
Conformità al cloud da parte di CSP
Programmi di conformità
All'inizio dell'iniziativa di conformità del cloud, è necessario'A questo punto, l'utente deve assicurarsi che il CSP sia in grado di soddisfare la propria parte dell'accordo di responsabilità condivisa. Dato l'enorme numero di normative e standard che possono interessare la tua organizzazione, questo processo di verifica può sembrare un'impresa formidabile.
Tuttavia, ciascuno dei tre grandi fornitori - AWS, Microsoft Azuree Piattaforma Google Cloud – Fornisce un portale di conformità online per aiutare i clienti a verificare che le loro piattaforme dispongano della certificazione, dell'attestazione o dell'allineamento appropriati richiesti.
Inoltre, ti consentono di rivedere facilmente le loro offerte di conformità raggruppandole in diverse categorie, come settori industriali e regioni territoriali.
Strumenti di conformità
Ogni fornitore offre anche una serie di altri servizi interni per supportare e aiutare a dimostrare la conformità. Questi includono:
Artefatto AWS: Un portale self-service che fornisce l'accesso on-demand al fornitore'La documentazione e gli accordi di conformità sono stati completati. Ciò fornisce ai clienti un modo rapido ed efficiente per valutare la conformità dei servizi AWS che utilizzano e ottenere prove dei controlli appropriati dei fornitori che potrebbero dover fornire ai revisori o alle autorità di regolamentazione.
AWS Audit Manager: Una soluzione che verifica continuamente i controlli'A questo punto, l'utente deve essere in grado di fornire un servizio di conformità a un'ampia gamma di normative e standard diversi.
Progetti di Azure: Un servizio modello di risorsa per la creazione e la gestione di ambienti conformi a standard e requisiti predefiniti. I progetti sono essenzialmente set di elementi in pacchetto per la distribuzione di ambienti completamente gestiti nella piattaforma Azure.
Criteri di Azure: Un servizio centralizzato di gestione dei criteri tramite il quale è possibile creare e gestire set di regole che garantiscono che i servizi siano configurati con le proprietà predefinite delle risorse Consenti e Nega. Può anche avvisare l'utente ogni volta che le risorse si discostano dalle regole dei criteri e correggere automaticamente le violazioni della conformità.
Carichi di lavoro garantiti da Google: Uno strumento che supporta la conformità applicando automaticamente i controlli ai carichi di lavoro in modo che soddisfino i requisiti dei quadri normativi specificati. Ad esempio, ti consentirà di ospitare i dati solo in aree cloud entro i limiti del territorio consentiti dal programma di conformità che hai'A questo punto, l'utente deve essere in Configura inoltre i servizi di crittografia appropriati come richiesto dalla legge e applica i controlli di accesso in linea con i requisiti di sovranità dei dati.
Aree cloud
Oltre al GDPR, molte altre normative sulla protezione dei dati in tutto il mondo includono requisiti di residenza dei dati che regolano il luogo in cui è possibile archiviare ed elaborare le informazioni personali degli interessati.
Quindi tu'È necessario assicurarsi che il CSP offra una presenza di data center nei paesi consentiti dalla legge. Se scegli di ospitare i tuoi carichi di lavoro su una delle tre grandi piattaforme dei fornitori di cloud, questo dovrebbe essere relativamente semplice, poiché ora hanno un totale combinato di oltre 130 regioni di data center in tutto il mondo.
Best practice essenziali per la conformità al cloud
Lasciare'Esamina alcune best practice essenziali per garantire la sicurezza, la conformità e la gestione efficiente del tuo ambiente cloud. Le pratiche sono suddivise in tre aree principali:
1. Sicurezza dei dati
Garantire la riservatezza, l'integrità e la disponibilità dei dati archiviati nel cloud.
Classificazione e governance dei dati:
Implementa schemi di classificazione dei dati per classificare i dati in base alla sensibilità e ai requisiti normativi.
Sviluppa e applica policy di governance dei dati che determinano le modalità di gestione, archiviazione e accesso ai dati.
Crittografia e gestione delle chiavi:
Crittografa i dati inattivi e in transito utilizzando standard di crittografia avanzati (ad esempio, AES-256) per proteggere le informazioni sensibili.
Gestisci le chiavi di crittografia in modo sicuro, assicurandoti che solo il personale autorizzato abbia accesso e utilizza solide pratiche di gestione delle chiavi.
Controllo degli accessi e gestione delle identità:
Applica le policy di accesso con privilegi minimi, assicurandoti che gli utenti dispongano solo dell'accesso minimo necessario per svolgere i loro ruoli.
Utilizza l'autenticazione a più fattori (MFA) per aggiungere un ulteriore livello di sicurezza per l'accesso ai servizi cloud.
2. Gestione della configurazione
Processo di mantenimento di sistemi, server e software in uno stato coerente e desiderato.
Uso sicuro delle API:
Assicurati che le API che si interfacciano con i servizi cloud siano progettate in modo sicuro, con autenticazione e crittografia avanzate per i dati in transito.
Rivedi e aggiorna regolarmente le policy di accesso alle API per riflettere le modifiche apportate ai ruoli o ai servizi degli utenti.
Gestione delle patch:
Implementa un processo di gestione delle patch efficace per garantire che tutti i componenti del software e dell'infrastruttura siano aggiornati con le patch di sicurezza più recenti.
Configurazione e segmentazione della rete:
Configura le impostazioni di rete cloud per applicare i criteri di sicurezza, inclusi firewall, sistemi di rilevamento delle intrusioni e altre difese perimetrali.
Utilizza la segmentazione della rete per isolare dati e sistemi sensibili, riducendo il potenziale impatto di una violazione.
3. Strategia & Monitoraggio
Pratiche e procedure generali per la gestione e la supervisione della sicurezza e della conformità del cloud.
Conformità e consapevolezza normativa:
Tieniti informato sulle normative pertinenti e sui requisiti di conformità specifici per il tuo settore e le aree geografiche in cui operi, come GDPR, HIPAA o PCI-DSS.
Comprendi il modello di responsabilità condivisa nel cloud computing, delineando chiaramente le responsabilità di sicurezza tra la tua organizzazione e il provider di servizi cloud (CSP).
Valutazioni e audit di sicurezza:
Conduci valutazioni periodiche della sicurezza, tra cui scansioni delle vulnerabilità e test di penetrazione, per identificare e mitigare potenziali lacune nella sicurezza.
Esegui audit di conformità per garantire il rispetto continuo delle politiche interne e delle normative esterne. Mantieni audit trail e registri per la responsabilità e l'analisi forense.
Formazione e sensibilizzazione dei dipendenti:
Fornire formazione regolare sulle best practice di sicurezza, sui requisiti di conformità e sulle minacce emergenti a tutti i dipendenti.
Promuovere una cultura della consapevolezza della sicurezza, sottolineando l'importanza del ruolo di ogni individuo nel mantenimento della conformità e della protezione dei dati.
Risposta all'incidente:
Sviluppare e mantenere un piano di risposta agli incidenti documentato che delinei le procedure per il rilevamento, il contenimento, l'eliminazione e il ripristino dagli incidenti di sicurezza.
Testare regolarmente il piano di risposta agli incidenti per garantirne l'efficacia.
Specifiche del provider cloud:
Sebbene molte best practice siano comuni tra i fornitori di cloud (AWS, Azure, GCP), alcune possono presentare lievi variazioni nell'implementazione o utilizzare funzionalità di sicurezza uniche.
Acquisisci familiarità con il tuo provider cloud specifico'documentazione e le procedure consigliate per la sicurezza.
Cosa cercare in una soluzione di conformità cloud
La conformità al cloud non è una sfida facile, data la complessità degli ambienti basati sul cloud e l'enorme numero di normative e standard diversi che possono potenzialmente determinare il proprio set individuale di controlli.
La buona notizia è che molti dei requisiti sono fondamentalmente gli stessi, con una forte sovrapposizione tra i diversi framework. Ciononostante, tenere traccia sia delle responsabilità che si sovrappongono che di quelle che sono uniche per quadri specifici è un'impresa manuale formidabile e dispendiosa in termini di tempo.
Quindi, come si supera questa sfida? Come evitare di duplicare gli sforzi di conformità? Come si esegue il mapping della composizione tecnica del cloud al comportamento di conformità? E come si semplificano le attività di conformità in un'implementazione multicloud complessa?
Quella'A questo punto, l'utente deve essere in grado di fornire un aiuto a questo punto.
Essi'RE Progettato per monitorare e confrontare continuamente le implementazioni cloud rispetto a un'ampia gamma di framework di conformità. Ad esempio, dovrebbero essere in grado di verificare se sono in atto controlli di sicurezza di rete appropriati per proteggere i dati dei titolari di carte di pagamento, in linea con il requisito 1 dello standard PCI DSS. Devono anche valutare il livello di sicurezza delle distribuzioni complesse basate sul cloud, come i carichi di lavoro containerizzati, se necessario per soddisfare i requisiti più recenti dei framework tecnici come i controlli CIS. Tuttavia, questi sono solo due delle centinaia di controlli integrati che fanno parte di una piattaforma di conformità continua altamente sviluppata.
Tuttavia, il benchmarking non è'L'unica funzionalità da cercare in una soluzione di conformità cloud.
Inoltre, dovrebbe offrire un modo per creare framework personalizzati in modo da poter rispettare i propri requisiti interni o quelli di altre organizzazioni nella catena di fornitura del software.
Dovrebbe anche integrarsi con le piattaforme di messaggistica e ticketing per indirizzare automaticamente i problemi ai team giusti. Inoltre, dovrebbe fornire funzionalità di correzione automatizzate in modo da poter correggere in modo rapido ed efficiente gli errori di configurazione comuni e persistenti.
Infine, dovrebbe fornire una gamma completa di report di valutazione, da informazioni dettagliate e granulari a panoramiche esecutive di alto livello. In questo modo, tutti i membri dell'organizzazione avranno a disposizione le informazioni necessarie per tenere traccia del comportamento di conformità.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
