Per aiutare i clienti della Google Cloud Platform a prevenire configurazioni errate di sicurezza e automatizzare la conformità del cloud, il Google Cybersecurity Action Team ha lanciato la soluzione Risk and Compliance as Code (RCaC).
Lo stack di soluzioni RCaC – ha messo in evidenza Google Cloud – consente l’automazione dei controlli di conformità e sicurezza attraverso una combinazione di: prodotti Google Cloud, blueprint, integrazioni di partner, workshop e servizi per semplificare e accelerare il time to value.
Per quanto riguarda la prima voce, si tratta di prodotti esistenti come Assured Workloads, Security Command Center (SCC) e Risk Manager.
Assured Workloads aiuta a definire configurazioni e controlli secure as code nella architettura cloud dell’azienda, tramite API che sono anche espresse in alcuni dei blueprint. SCC permette di monitorare le configurazioni errate di sicurezza e le violazioni della conformità su base continua. Risk Manager offre gli strumenti per sfruttare le policy di cyber insurance e per ridurre i rischi nell’ambiente Google Cloud.
Poi, una serie di blueprint di base come Secure Foundations e quelli di Anthos Security, nonché specifici del carico di lavoro. I blueprint possono aiutare le aziende a configurare rapidamente gli ambienti cloud in modo sicuro e conforme.
Le integrazioni di partner (come Sysdig e altri) espandono la copertura oltre i controlli nativi di Google Cloud per aiutare le imprese a fornire una migliore conformità multi-cloud e una riduzione del rischio.
La conformità come codice di Google Cloud
Lo stack prevede anche una libreria di policy mappata su framework di conformità comuni come NIST 800-53, PCI DSS e ISO 27001, con controlli preventivi e investigativi che possono essere espressi come codice. Queste policy comunicano quali controlli possono essere codificati dai framework di conformità.
Whitepaper e workshop aiutano a mettere in atto una rapida modernizzazione della sicurezza dell’organizzazione, e una trasformazione DevSecOps.
Infine, servizi professionali e programmi di accelerazione guidati dai partner che permettono alle organizzazioni di sperimentare la soluzione.
Attraverso la soluzione RCaC – ha sottolineato Google Cloud –, i clienti della piattaforma possono introdurre l’automazione tramite IaC (Infrastructure as Code) e PaC (Policy as Code) sotto forma di blueprint.
Il livello successivo di maturità in questo campo è detection as code, che comporta il monitoraggio delle derive di sicurezza e conformità e l’applicazione di rimedi quando viene identificata un’infrastruttura non conforme.
Questo forma un ciclo di monitoraggio continuo che aiuta a prevenire le configurazioni errate. Gli strumenti cloud-native aiutano a far funzionare questo modello su scala.
Con RCaC, la speranza di Google Cloud è quella di fornire ai clienti della piattaforma i componenti necessari per esprimere i requisiti di sicurezza e conformità come codice, portando a una riduzione del rischio e dell’impatto delle configurazioni errate e a un ambiente di monitoraggio continuo basato sull’automazione e sul codice.
Parallelamente, incoraggiando un cambiamento nella cultura che riduca l’attrito tra gli sviluppatori e i team di sicurezza e conformità.
L’obiettivo con RCaC è anche quello di ridurre il carico di audit e le difficoltà che si incontrano nel modernizzare le infrastruttura, continuando allo stesso tempo a soddisfare gli obblighi di conformità.
