Cos'è un GovCloud? Domande e risposte con Glenn Brunette, Principal Architect
Quando Salesforce ha portato il CRM nel cloud, abbiamo rivoluzionato il modo in cui i nostri clienti si relazionano con i propri clienti, dotandoli della tecnologia necessaria per fornire i propri servizi in modo semplice e su larga scala. Ma per le agenzie governative federali, statali e locali, le sfide dell'implementazione su scala interfunzionale, insieme alla necessità di proteggere dei dati dei nostri cittadini e della nostra nazione, hanno spesso limitato la possibilità di trarre pieno vantaggio da questi progressi.
Sappiamo tutti quali sono gli effetti di un ufficio governativo che utilizza tecnologie obsolete, non attrezzate per soddisfare le esigenze dei cittadini moderni o produrre le esperienze che ci si aspetta da una pubblica amministrazione al passo coi tempi. Un'infrastruttura di questo tipo spesso sovraccarica la forza lavoro, aumenta la frustrazione dei cittadini e rende difficile adattare questo settore al nostro panorama sociale, politico e tecnologico in continua evoluzione. Ecco perché per questa sfida Salesforce offre una soluzione sicura, in grado di dimostrare la conformità a numerosi quadri di conformità del settore pubblico: Government Cloud Plus.
Che abbiate o meno familiarità con Government Cloud Plus, potreste chiedervi: "Che cos'è esattamente un GovCloud?". Ne ho parlato con Glenn Brunette, Vice President e Lead Architect, Government Cloud di Salesforce, che mi ha spiegato cosa rende Salesforce Government Cloud Plus così unico (e sicuro). Entriamo nel merito.
Dunque, Glenn, vogliamo saperlo tutti: cos'è un GovCloud?
Nella sua forma più semplice, un GovCloud è semplicemente un ambiente Internet dedicato a uno o più clienti o appaltatori governativi. Le istanze Government Cloud Plus di Salesforce sono esattamente questo, anche se, in realtà, il processo comporta più del semplice onboarding dei clienti GovCloud in uno "spazio" dedicato. Soprattutto, dobbiamo essere conformi a un'ampia gamma di requisiti specifici per la gestione dei dati e dei carichi di lavoro governativi. Per questo motivo, Salesforce crea ambienti GovCloud dedicati ai propri clienti del settore pubblico, arricchiti con funzionalità che soddisfano questi standard.
Ma se Salesforce si impegna a garantire una solida conformità per ogni cliente, cosa rende unico un GovCloud?
È vero: il nostro valore principale è la fiducia e ci atteniamo a tutte le normative vigenti. Pur non essendo identici, i prodotti Government Cloud Plus di Salesforce presentano molte caratteristiche comuni rispetto al resto della suite di prodotti Customer 360. Queste differenze includono controlli di conformità più rigorosi, perimetri di autorizzazione ristretti, provider di servizi di terze parti autorizzati, connettività diretta con i clienti, crittografia approvata dal governo e accesso amministrativo restrittivo.
Potresti dircelo con parole più semplici?
Naturalmente! Per una maggiore sicurezza, gli ambienti GovCloud sono dotati di uno o più controlli di conformità rafforzati (di solito definiti “linee di base della conformità del settore pubblico”). Negli Stati Uniti, le singole agenzie governative si basano sul Risk Management Framework (RMF) del National Institute of Standards and Technology (NIST), che identifica i requisiti di conformità specifici raccolti in una linea di base.
Tali linee di base possono includere la FedRAMP High Impact Baseline o la Department of Defense Impact Level 4 Baseline. Salesforce ha creato la propria Compliance Baseline, che comprende numerosi framework per creare una strategia di conformità unificata.
Il perimetro di autorizzazione ristretto si riferisce a una barriera (pensatela come una recinzione di sicurezza intorno alla vostra casa) che circonda tutti i componenti e i servizi inclusi nell'ambiente GovCloud. La recinzione indica cosa si trova nel GovCloud (la vostra casa, in questo caso) e come interagisce con altri sistemi e servizi al di fuori del perimetro. Di fatto, i GovCloud sono tenuti a limitare le comunicazioni in entrata e in uscita e le varie modifiche devono essere preventivamente vagliate e approvate da funzionari governativi. Una sorta di controllo di sicurezza all'ingresso.
A causa di questo perimetro ristretto di autorizzazione, si applicano considerazioni speciali quando un GovCloud vuole utilizzare o interagire con un provider di servizi cloud di terze parti, indipendentemente dai dati condivisi attraverso la connessione. Questi provider di servizi sono tenuti a seguire la stessa serie di autorizzazioni di conformità del GovCloud (e a tutti gli stessi livelli). Ad esempio, i nostri GovCloud non sono in grado di integrarsi con altri provider di servizi cloud non conformi ai requisiti FedRAMP High.
Ma non è tutto: spesso non è consentito l'accesso diretto dei clienti da Internet. Pertanto, i prodotti inseriti in un ambiente GovCloud devono essere in grado di interagire con i clienti attraverso connessioni di rete dedicate, stabilite direttamente tra Salesforce e la pubblica amministrazione.
E dato il forte affidamento sulla crittografia per l'autenticazione e la protezione dei dati in transito e a riposo, i requisiti governativi impongono che solo gli algoritmi, le lunghezze delle chiavi, le modalità di cifratura ed elementi simili approvati possano essere utilizzati dai GovCloud e dai loro clienti. Inoltre, cosa ancora più importante, il governo certifica in modo indipendente i dispositivi o le librerie crittografiche da utilizzare.
Ognuno di questi livelli di sicurezza è inoltre protetto da un processo simile a quello che molti conoscono come principio del privilegio minimo. Poiché gli ambienti GovCloud memorizzano, elaborano e trasmettono dati governativi, Government Cloud Plus impone limitazioni di accesso a chi può ottenere l'accesso fisico e/o logico ai sistemi all'interno del perimetro di autorizzazione. Le limitazioni variano in base all'ambiente GovCloud e l'accesso agli ambienti con dati più sensibili richiede livelli più rigorosi di screening del personale.
Considerando tutti questi controlli, GovClouds sarà sempre diverso?
Oggi la risposta è "sì". Alcuni requisiti imposti alle nostre offerte Salesforce Government Cloud semplicemente non sono necessari, consigliati o in grado di essere implementati su tutta la nostra dotazione. Detto questo, stiamo lavorando duramente per integrare capacità e controlli più robusti in tutte le nostre linee di base di produzione, quando possibile.
Wow, un sacco di cose... ma i GovClou sono piuttosto affascinanti, no? Grazie ai nostri controlli di sicurezza e conformità, i clienti governativi possono essere certi che i propri dati sono protetti, mentre le tecnologie Salesforce forniscono gli strumenti per concentrarsi su ciò che sanno fare meglio, ottimizzando l'esperienza dei clienti nelle agenzie statali, locali e federali di tutto il Paese.
Con Salesforce Government Cloud Plus i nostri clienti hanno accesso a CRM, servizi, piattaforme, analisi, applicazioni per il settore pubblico e altre soluzioni leader del settore, che aiutano i clienti e gli appaltatori governativi a raggiungere il successo della mission e la trasformazione digitale in tutto il settore. Per maggiori informazioni sulle offerte di Salesforce Government Cloud, contattate un esperto di soluzioni governative: 1-844-807-8829.
Glenn Brunette è Vice President and Lead Architect, Government Cloud presso Salesforce. In questo ruolo, è responsabile dello sviluppo della strategia di architettura, dell'esecuzione dei programmi di architettura e della promozione di una maggiore parità tra il parco cloud commerciale e quello governativo di Salesforce. Con oltre trent'anni di esperienza nel settore, Glenn ha ricoperto il ruolo di Public Sector GRC Lead presso Salesforce, Distinguished Architect e Cybersecurity Lead presso Oracle, Distinguished Engineer e Chief Security Architect presso Sun Microsystems. Glenn ha ottenuto due brevetti di cybersecurity, ha co-pubblicato numerosi libri e articoli e ha conseguito un master e una laurea in Computer Science presso la St. Joseph's University.