Implementa la seguridad de los datos

Last reviewed 2023-08-08 UTC

En este documento del Framework de arquitectura de Google Cloud, se proporcionan prácticas recomendadas para implementar la seguridad de los datos.

Como parte de tu arquitectura de implementación, debes considerar qué datos planeas procesar y almacenar en Google Cloud, y su sensibilidad. Diseña tus controles para ayudar a proteger los datos durante su ciclo de vida, identificar la propiedad y clasificación de los datos y ayudar a protegerlos del uso no autorizado.

Para ver un plano de seguridad que implementa un almacén de datos de BigQuery con las prácticas recomendadas de seguridad descritas en este documento, consulta Protege un almacén de datos de BigQuery que almacena datos confidenciales.

Clasifica tus datos de forma automática

Realiza la clasificación de datos lo antes posible en el ciclo de vida de la administración de datos, idealmente cuando se crean. Por lo general, los esfuerzos de clasificación de datos solo requieren unas pocas categorías, como las siguientes:

  • Públicos: datos aprobados para acceso público.
  • Internos: Datos no sensibles que no se publican al público.
  • Confidenciales: Datos sensibles disponibles para la distribución interna general.
  • Restringidos: Datos altamente sensibles o regulados que requieren distribución restringida.

Usa Sensitive Data Protection para descubrir y clasificar datos en tu entorno de Google Cloud. Sensitive Data Protection tiene compatibilidad integrada para analizar y clasificar datos sensibles en Cloud Storage, BigQuery y Datastore También tiene una API de transmisión para admitir fuentes de datos adicionales y cargas de trabajo personalizadas.

Sensitive Data Protection puede identificar datos sensibles mediante Infotipos integrados. Puede clasificar, enmascarar, asignar tokens y transformar elementos sensibles de forma automática (como datos de PII) para que puedas administrar el riesgo de recopilar, almacenar y usar datos. En otras palabras, puede integrarse a los procesos del ciclo de vida de los datos para garantizar que los datos en cada etapa estén protegidos.

Para obtener más información, consulta Desidentificación y reidentificación de PII en conjuntos de datos a gran escala con Sensitive Data Protection.

Gestiona la administración de datos mediante metadatos

La administración de datos es una combinación de procesos que garantizan que los datos sean seguros, privados y exactos, y que estén disponibles y se puedan usar. Aunque eres responsable de definir una estrategia de administración de datos para tu organización, Google Cloud proporciona herramientas y tecnologías para ayudarte a poner en práctica tu estrategia. Google Cloud también proporciona un framework para la administración de datos (PDF) en la nube.

Usa Data Catalog para encontrar, seleccionar y usar metadatos para describir tus recursos de datos en la nube. Puedes usar Data Catalog para buscar recursos de datos y, luego, etiquetar los elementos con metadatos. Para ayudar a acelerar tus esfuerzos de clasificación de datos, integra Data Catalog con Sensitive Data Protection a fin de identificar de forma automática los datos confidenciales. Después de etiquetar los datos, puedes usar Google Identity and Access Management (IAM) para restringir los datos que los usuarios pueden consultar o usar a través de las vistas de Data Catalog.

Usa Dataproc Metastore o Hive Metastore para administrar metadatos de cargas de trabajo. Data Catalog tiene un conector de Hive que permite que el servicio descubra metadatos dentro de un almacén de metadatos de Hive.

Usa Dataprep by Trifacta para definir y aplicar las reglas de calidad de los datos a través de una consola. Puedes usar Dataprep desde Cloud Data Fusion o Dataprep como servicio independiente.

Protege los datos según la fase de su ciclo de vida y su clasificación

Después de definir los datos en el contexto de su ciclo de vida y clasificarlos según su sensibilidad y riesgo, puedes asignar los controles de seguridad adecuados para protegerlos. Debes asegurarte de que tus controles entreguen protecciones adecuadas, cumplan con los requisitos normativos y reduzcan el riesgo. A medida que migras a la nube, revisa tu estrategia actual y dónde es posible que debas cambiar los procesos actuales.

En la siguiente tabla, se describen tres características de una estrategia de seguridad de datos en la nube.

Característica Descripción
Identificación Comprende la identidad de los usuarios, los recursos y las aplicaciones a medida que crean, modifican, almacenan, usan, comparten y borran datos.

Usa Cloud Identity y IAM para controlar el acceso a los datos. Si tus identidades requieren certificados, considera Certificate Authority Service.

Para obtener más información, consulta Administra la identidad y el acceso.
Límite y acceso Configura los controles de cómo se accede a los datos, quién puede hacerlo y en qué circunstancias. Los límites de acceso a los datos se pueden administrar en estos niveles:

Visibilidad Puedes auditar el uso y crear informes que demuestren cómo se controlan los datos y se accede a ellos. Google Cloud Logging y Transparencia de acceso proporcionan estadísticas sobre las actividades de tus propios administradores de la nube y el personal de Google. Para obtener más información, consulta Supervisa tus datos.

Encripta los datos

De forma predeterminada, Google Cloud encripta los datos de los clientes almacenados en reposo, sin que debas realizar ninguna acción. Además de la encriptación predeterminada, Google Cloud proporciona opciones para la encriptación de sobre y la administración de claves de encriptación. Por ejemplo, los discos persistentes de Compute Engine se encriptan de forma automática, pero puedes proporcionar o administrar tus propias claves.

Debes identificar las soluciones que se adapten mejor a tus requisitos de generación, almacenamiento y rotación de claves, ya sea que elijas las claves para tu almacenamiento, procesamiento o cargas de trabajo de macrodatos.

Google Cloud incluye las siguientes opciones para la encriptación y la administración de claves:

  • Claves de encriptación administradas por el cliente (CMEK). Puedes generar y administrar tus claves de encriptación con Cloud Key Management Service (Cloud KMS). Usa esta opción si tienes ciertos requisitos de administración de claves, como la necesidad de rotar las claves de encriptación con regularidad.
  • Claves de encriptación proporcionadas por el cliente (CSEK) Puedes crear y administrar tus propias claves de encriptación y, luego, proporcionarlas a Google Cloud cuando sea necesario. Usa esta opción si generas tus propias claves mediante el sistema de administración de claves local para usar tu propia clave (BYOK). Si proporcionas tus propias claves mediante CSEK, Google las replica y las pone a disposición de las cargas de trabajo. Sin embargo, la seguridad y la disponibilidad de CSEK son tu responsabilidad porque las claves proporcionadas por el cliente no se almacenan en plantillas de instancias ni en la infraestructura de Google. Si pierdes el acceso a las claves, Google no puede ayudarte a recuperar los datos encriptados. Piensa con cuidado qué claves deseas crear y administrar tú mismo. Puedes usar CSEK solo para la información más sensible. Otra opción es realizar encriptación del cliente en tus datos y, luego, almacenar los datos encriptados en Google Cloud, donde Google vuelve a encriptarlos.
  • Sistema de administración de claves de terceros con Cloud External Key Manager (Cloud EKM). Cloud EKM protege tus datos en reposo mediante claves de encriptación que se almacenan y administran en un sistema de administración de claves de terceros que controlas fuera de la infraestructura de Google. Cuando usas este método, tienes una garantía considerable de que cualquier persona fuera de tu organización no pueda acceder a tus datos. Cloud EKM te permite lograr un modelo de retención de claves seguras (HYOK) para la administración de claves. Para obtener información sobre la compatibilidad, consulta la lista de servicios habilitados de Cloud EKM.

Cloud KMS también te permite encriptar los datos con claves de encriptación respaldadas por software o módulos de seguridad de hardware (HSM) validados en función del nivel 3 del estándar FIPS 140-2. Si usas Cloud KMS, tus claves criptográficas se almacenan en la región en la que implementaste el recurso. Cloud HSM distribuye tus necesidades de administración de claves en todas las regiones, lo que proporciona redundancia y disponibilidad global de las claves.

Para obtener detalles sobre cómo funciona la encriptación de sobre, consulta Encriptación en reposo en Google Cloud.

Controla el acceso de los administradores de nube a tus datos

Puedes controlar el acceso del personal de ingeniería y Atención al cliente de Google a tu entorno en Google Cloud. La aprobación de acceso te permite aprobar de forma explícita antes de que los empleados de Google accedan a tus datos o recursos en Google Cloud. Este producto complementa la visibilidad proporcionada por la Transparencia de acceso, que genera registros cuando el personal de Google interactúa con tus datos. Estos registros incluyen la ubicación de la oficina y el motivo del acceso.

Si usas estos productos juntos, puedes denegar a Google la capacidad de desencriptar tus datos por cualquier motivo.

Configura la ubicación en la que los datos están almacenados y desde dónde los usuarios pueden acceder a ellos

Puedes controlar las ubicaciones de red desde las que los usuarios pueden acceder a los datos mediante los Controles del servicio de VPC. Este producto te permite limitar el acceso de los usuarios en una región específica. Puedes aplicar esta restricción incluso si el usuario está autorizado de acuerdo con tu política de IAM de Google. Mediante los Controles del servicio de VPC, creas un perímetro de servicio que define los límites virtuales desde los que se puede acceder a un servicio, lo que evita que los datos se transfieran fuera de esos límites.

Para obtener más información, consulta lo siguiente:

Administre Secrets con Secret Manager.

Secret Manager te permite almacenar todos tus secretos en un lugar centralizado. Los secrets son información de configuración, como contraseñas de bases de datos, claves de API o certificados TLS. Puedes rotar los secretos de forma automática y configurar las aplicaciones para que usen de forma automática la versión más reciente de un secret. Cada interacción con Secret Manager genera un registro de auditoría, por lo que ves cada acceso a cada secret.

Sensitive Data Protection también tiene una categoría de detectores que te ayudan a identificar las credenciales y los secretos en los datos que podrían protegerse con Secret Manager.

Supervisa tus datos

Para ver la actividad del administrador y los registros de uso de claves, usa Registros de auditoría de Cloud. Para ayudar a proteger tus datos, supervisa los registros con Cloud Monitoring a fin de garantizar el uso adecuado de tus claves.

Cloud Logging captura eventos de Google Cloud y te permite agregar fuentes adicionales si es necesario. Puedes segmentar tus registros por región, almacenarlos en buckets e integrar código personalizado para procesar registros. Si deseas ver un ejemplo, consulta Solución personalizada para el análisis de registros automatizado.

También puedes exportar registros a BigQuery para realizar análisis de seguridad y acceso a fin de identificar los cambios no autorizados y el acceso inapropiado a los datos de tu organización.

Security Command Center puede ayudarte a identificar y resolver problemas de acceso no seguro a datos organizacionales sensibles que se almacenan en la nube. A través de una única interfaz de administración, puedes analizar para detectar una amplia variedad de vulnerabilidades y riesgos de seguridad en tu infraestructura de nube. Por ejemplo, puedes supervisar para detectar el robo de datos, analizar los sistemas de almacenamiento en busca de datos confidenciales y detectar qué buckets de Cloud Storage están abiertos a Internet.

¿Qué sigue?

Obtén más información sobre la seguridad de los datos con los siguientes recursos: