En este documento del framework de la arquitectura de Google Cloud, se proporcionan prácticas recomendadas para administrar las obligaciones de cumplimiento.
Los requisitos normativos de la nube dependen de una combinación de factores, incluidos los siguientes:
- Las leyes y normativas que aplican las ubicaciones físicas de tu organización
- Las leyes y normativas que se aplican a las ubicaciones físicas de tus clientes
- Los requisitos normativos de tu sector
Estos requisitos determinan muchas de las decisiones que debes tomar sobre qué controles de seguridad habilitar para las cargas de trabajo en Google Cloud.
Un recorrido de cumplimiento típico pasa por tres etapas: evaluación, solución de brechas y supervisión continua. En esta sección, se abordan las prácticas recomendadas que puedes usar durante cada etapa.
Evalúa tus necesidades de cumplimiento
La evaluación del cumplimiento comienza con una revisión exhaustiva de todas las obligaciones normativas y cómo tu empresa las implementa. Para ayudarte con la evaluación de los servicios de Google Cloud, usa el centro de recursos de cumplimiento. En este sitio, se proporcionan detalles sobre lo siguiente:
- Asistencia de servicio para varias normativas
- Certificaciones de Google Cloud
Puedes solicitar una entrevista con un especialista en cumplimiento de Google para comprender mejor el ciclo de vida del cumplimiento en Google y cómo se pueden cumplir tus requisitos.
Para obtener más información, consulta Garantiza el cumplimiento en la nube (PDF).
Implementa Assured Workloads
Assured Workloads es la herramienta de Google Cloud que se basa en los controles de Google Cloud para ayudarte a cumplir con las obligaciones de cumplimiento. Assured Workloads te permite hacer lo siguiente:
- Selecciona tu régimen de cumplimiento. Luego, la herramienta establece de forma automática los controles de acceso del personal de referencia.
- Establece la ubicación de tus datos con políticas de la organización para que tus datos en reposo y recursos solo permanezcan en esa región.
- Selecciona la opción de administración de claves (como el período de rotación de claves) que mejor se adapte a tus requisitos de cumplimiento y seguridad.
- Para ciertos requisitos normativos, como FedRAMP Moderate, selecciona los criterios de acceso del personal de Atención al cliente de Google (por ejemplo, si completaron las verificaciones de antecedentes adecuadas).
- Usa claves que sean propiedad de Google y que este administre, que cumplan con FIPS-140-2 y admitan el cumplimiento de FedRAMP Moderate. Para agregar una capa de control y separación de obligaciones adicionales, puedes usar claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre las claves, consulta Encripta tus datos.
Revise las plantillas y las prácticas recomendadas que se aplican a su régimen de cumplimiento.
Google publicó planos y guías de soluciones que describen las prácticas recomendadas y que proporcionan módulos de Terraform que te permiten aprovisionar y configurar un entorno que te ayude a lograr el cumplimiento. En la siguiente tabla, se enumera una selección de planos que abordan la seguridad y la alineación con los requisitos de cumplimiento.
Estándar | Descripción |
---|---|
PCI | |
FedRAMP | |
HIPAA |
Supervisa el cumplimiento
La mayoría de las regulaciones requieren que supervises actividades particulares, incluidos los controles de acceso. Para ayudarte con la supervisión, puedes usar lo siguiente:
- Transparencia de acceso, que proporciona registros casi en tiempo real cuando los administradores de Google Cloud acceden a tu contenido.
- Registro de reglas de firewall para registrar las conexiones TCP y UDP dentro de una red de VPC para cualquier regla que crees. Estos registros pueden ser útiles para auditar el acceso a la red o proporcionar una advertencia temprana de que la red se está usando de manera no aprobada.
- Los registros de flujo de VPC para registrar los flujos de tráfico de red que envían o reciben las instancias de VM.
- Security Command Center Premium para supervisar el cumplimiento con varios estándares.
- OSSEC (o cualquier otra herramienta de código abierto) para registrar la actividad de las personas que tienen acceso de administrador a tu entorno.
- Key Access Justifications para ver los motivos de una solicitud de acceso a las claves.
Automatiza el cumplimiento
Para ayudarte a cumplir con las normativas cambiantes, determina si existen maneras de automatizar las políticas de seguridad mediante la incorporación de estas en tu infraestructura como implementaciones de código. Por ejemplo, considera lo siguiente:
Usa planos de seguridad para compilar las políticas de seguridad en las implementaciones de infraestructura.
Configurar Security Command Center para alertar cuando se produzcan problemas de incumplimiento Por ejemplo, supervisa si hay problemas, como los usuarios que inhabilitan la verificación en dos pasos o las cuentas de servicio con privilegios excesivos. Para obtener más información, consulta Configura la búsqueda de notificaciones.
Configurar la solución automática de notificaciones específicas
Para obtener más información sobre la automatización de cumplimiento, consulta la solución de Administración de riesgos y cumplimiento como código (RCaC).
¿Qué sigue?
Obtén más información sobre el cumplimiento con los siguientes recursos:
- Implementa requisitos de soberanía y residencia de datos (siguiente documento de esta serie)
- Centro de recursos de cumplimiento
- Informe de seguridad de Google (PDF)
- Assured Workloads