Este principio del pilar de seguridad del Google Cloud marco de trabajo Well-Architected te ayuda a identificar y cumplir los requisitos normativos, de cumplimiento y de privacidad de las implementaciones en la nube. Estos requisitos influyen en muchas de las decisiones que debes tomar sobre los controles de seguridad que se deben usar en tus cargas de trabajo deGoogle Cloud.
Descripción general de los principios
Cumplir las normativas, los requisitos y las necesidades de privacidad es un reto inevitable para todas las empresas. Los requisitos normativos de la nube dependen de varios factores, entre los que se incluyen los siguientes:
- Las leyes y los reglamentos que se aplican a las ubicaciones físicas de tu organización
- Las leyes y los reglamentos que se aplican a las ubicaciones físicas de sus clientes
- Los requisitos normativos de tu sector
Las normativas de privacidad definen cómo puedes obtener, tratar, almacenar y gestionar los datos de tus usuarios. Tus datos te pertenecen, incluidos los que recibes de tus usuarios. Por lo tanto, muchos controles de privacidad son responsabilidad suya, incluidos los controles de cookies, la gestión de sesiones y la obtención del permiso de los usuarios.
Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:
- Recomendaciones para abordar los riesgos organizativos
- Recomendaciones para cumplir las obligaciones normativas y de cumplimiento
- Recomendaciones para gestionar la soberanía de tus datos
- Recomendaciones para cumplir los requisitos de privacidad
Recomendaciones para abordar los riesgos de la organización
En esta sección se ofrecen recomendaciones para ayudarle a identificar y abordar los riesgos de su organización.
Identificar los riesgos para tu organización
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
Antes de crear e implementar recursos en Google Cloud, completa una evaluación de riesgos. En esta evaluación se deben determinar las funciones de seguridad que necesitas para cumplir los requisitos de seguridad internos y los requisitos normativos externos.
La evaluación de riesgos te proporciona un catálogo de riesgos específicos de la organización y te informa sobre la capacidad de tu organización para detectar y contrarrestar las amenazas de seguridad. Debes realizar un análisis de riesgos inmediatamente después de la implementación y siempre que haya cambios en las necesidades de tu empresa, los requisitos normativos o las amenazas a tu organización.
Como se menciona en el principio Implementar la seguridad desde el diseño, los riesgos de seguridad en un entorno de nube son diferentes de los riesgos locales. Esta diferencia se debe al modelo de responsabilidad compartida en la nube, que varía según el servicio (IaaS, PaaS o SaaS) y el uso que hagas. Utiliza un framework de evaluación de riesgos específico para la nube, como la matriz de controles en la nube (CCM). Usa la modelización de amenazas, como la modelización de amenazas de aplicaciones de OWASP, para identificar y abordar las vulnerabilidades. Si necesitas ayuda de expertos con las evaluaciones de riesgos, ponte en contacto con tu representante de la cuenta de Google o consulta el directorio de partners de Google Cloud.
Una vez que hayas catalogado los riesgos, debes decidir cómo hacerles frente, es decir, si quieres aceptarlos, evitarlos, transferirlos o mitigarlos. Para ver los controles de mitigación que puedes implementar, consulta la siguiente sección sobre cómo mitigar los riesgos.
Mitiga los riesgos
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
Cuando adoptas nuevos servicios de nube pública, puedes mitigar los riesgos mediante controles técnicos, protecciones contractuales y verificaciones o certificaciones de terceros.
Los controles técnicos son funciones y tecnologías que se usan para proteger tu entorno. Entre ellos, se incluyen controles de seguridad en la nube integrados, como cortafuegos y registros. Los controles técnicos también pueden incluir el uso de herramientas de terceros para reforzar o apoyar tu estrategia de seguridad. Hay dos categorías de controles técnicos:
- Puedes implementar los controles de seguridad de Google Cloudpara mitigar los riesgos que se aplican a tu entorno. Por ejemplo, puedes proteger la conexión entre tus redes on-premise y tus redes en la nube mediante Cloud VPN y Cloud Interconnect.
- En Google aplicamos unos férreos controles internos y un sólido proceso de auditoría para impedir el acceso de insiders a los datos de los clientes. Nuestros registros de auditoría te proporcionan registros casi en tiempo real del acceso de los administradores de Google a Google Cloud.
Las protecciones contractuales hacen referencia a los compromisos legales que asumimos en relación con losGoogle Cloud servicios. En Google nos comprometemos a mantener y ampliar nuestra cartera de cumplimiento. La Adenda sobre Tratamiento de Datos de Cloud (CDPA) describe nuestros compromisos en relación con el tratamiento y la seguridad de tus datos. La CDPA también describe los controles de acceso que limitan el acceso de los ingenieros de asistencia de Google a los entornos de los clientes, así como nuestro riguroso proceso de registro y aprobación. Le recomendamos que revise los controles contractuales de Google Cloudcon sus expertos legales y en normativa, y que verifique que cumplen sus requisitos. Si necesitas más información, ponte en contacto con tu representante técnico de cuenta.
Las verificaciones o atestaciones de terceros hacen referencia a la auditoría del proveedor de servicios en la nube por parte de un proveedor externo para asegurarse de que cumple los requisitos. Por ejemplo, para obtener información sobre las Google Cloud atestaciones relativas a las directrices de ISO/IEC 27017, consulta Cumplimiento de ISO/IEC 27017. Para ver las certificaciones y las cartas de certificación actuales, consulta el Google Cloud Centro de recursos para el cumplimiento.
Recomendaciones para cumplir las obligaciones normativas y de cumplimiento
Para alcanzar los objetivos de cumplimiento, normalmente hay que pasar por tres etapas: evaluación, corrección de carencias y monitorización continua. En esta sección se ofrecen recomendaciones que puedes usar en cada una de estas fases.
Evalúa tus necesidades de cumplimiento
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
La evaluación del cumplimiento empieza con una revisión exhaustiva de todas tus obligaciones legales y de cómo las está implementando tu empresa. Para ayudarte a evaluar los servicios de Google Cloud , usa el Centro de recursos para el cumplimiento. Este sitio proporciona información sobre lo siguiente:
- Servicio de asistencia para cumplir varias normativas
- Google Cloud certificaciones y atestaciones
Para entender mejor el ciclo de vida del cumplimiento en Google y cómo puedes cumplir tus requisitos, puedes ponerte en contacto con el equipo de Ventas para solicitar ayuda a un especialista en cumplimiento de Google. También puede ponerse en contacto con su gestor de cuentas para solicitar un taller sobre cumplimiento.Google Cloud
Para obtener más información sobre las herramientas y los recursos que puedes usar para gestionar la seguridad y el cumplimiento de las cargas de trabajo de Google Cloud , consulta el artículo Asegurar el cumplimiento en la nube.
Automatizar la implementación de los requisitos de cumplimiento
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
Para ayudarte a cumplir las normativas cambiantes, determina si puedes automatizar la forma en que implementas los requisitos de cumplimiento. Puedes usar tanto las funciones centradas en el cumplimiento que ofrece Google Cloud como los planos técnicos que usan configuraciones recomendadas para un régimen de cumplimiento concreto.
Assured Workloads se basa en los controles de Google Cloud para ayudarte a cumplir tus obligaciones de cumplimiento. Assured Workloads te permite hacer lo siguiente:
- Selecciona tu régimen de cumplimiento. A continuación, la herramienta establece automáticamente los controles de acceso del personal de referencia para el régimen seleccionado.
- Define la ubicación de tus datos mediante políticas de la organización para que tus datos en reposo y tus recursos permanezcan solo en esa región.
- Selecciona la opción de gestión de claves (como el periodo de rotación de claves) que mejor se adapte a tus requisitos de seguridad y cumplimiento.
- Selecciona los criterios de acceso para que el personal de Asistencia de Google cumpla determinados requisitos normativos, como el nivel moderado de FedRAMP. Por ejemplo, puede seleccionar si el personal de Asistencia de Google ha completado las comprobaciones de antecedentes pertinentes.
- Usar Google-owned and Google-managed encryption keys que cumplan el estándar FIPS 140-2 y admitan el cumplimiento del nivel moderado de FedRAMP. Para añadir una capa de control y separar las tareas, puedes usar claves de cifrado gestionadas por el cliente (CMEK). Para obtener más información sobre las claves, consulta el artículo Encriptar datos en reposo y en tránsito.
Además de Assured Workloads, puedes usar Google Cloudplanos Google Cloudque sean relevantes para tu régimen de cumplimiento. Puedes modificar estos planos para incorporar tus políticas de seguridad en los despliegues de tu infraestructura.
Para ayudarte a crear un entorno que cumpla tus requisitos de cumplimiento, los planos y las guías de soluciones de Google incluyen configuraciones recomendadas y proporcionan módulos de Terraform. En la siguiente tabla se enumeran los planos que abordan la seguridad y la alineación con los requisitos de cumplimiento.
| Requisito | Planos y guías de soluciones |
|---|---|
| FedRAMP | |
| HIPAA |
Monitorizar el cumplimiento
Esta recomendación está relacionada con las siguientes áreas de interés:
- Gobernanza, riesgos y cumplimiento en la nube
- Registro, monitorización y auditoría
La mayoría de las normativas te obligan a monitorizar actividades concretas, incluidas las relacionadas con el acceso. Para ayudarte con la monitorización, puedes usar lo siguiente:
- Transparencia de acceso: consulta registros casi en tiempo real cuando los administradores Google Cloud accedan a tu contenido.
- Registro de reglas de cortafuegos: registra las conexiones TCP y UDP dentro de una red de VPC para las reglas que crees. Estos registros pueden ser útiles para auditar el acceso a la red o para generar alertas tempranas si la red se usa de una forma no aprobada.
- Registros de flujo de VPCs: registra los flujos de tráfico de red que envían o reciben las instancias de VM.
- Security Command Center Premium: monitoriza el cumplimiento de varios estándares.
- OSSEC (u otra herramienta de código abierto): registra la actividad de las personas que tienen acceso de administrador a tu entorno.
- Justificaciones de Acceso a Claves: consulta los motivos de una solicitud de acceso a claves.
- Notificaciones de Security Command Center: recibe alertas cuando se produzcan problemas de incumplimiento. Por ejemplo, recibe alertas cuando los usuarios inhabiliten la verificación en dos pasos o cuando las cuentas de servicio tengan demasiados privilegios. También puedes configurar la corrección automática para notificaciones específicas.
Recomendaciones para gestionar la soberanía de tus datos
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
La soberanía de los datos te proporciona un mecanismo para impedir que Google acceda a tus datos. Solo aprueba el acceso a los comportamientos del proveedor que considere necesarios. Por ejemplo, puedes gestionar la soberanía de tus datos de las siguientes formas:
- Almacena y gestiona claves de cifrado fuera de la nube.
- Concede acceso a estas claves en función de justificaciones de acceso detalladas.
- Protege los datos en uso con la computación confidencial.
Gestionar tu soberanía operativa
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
La soberanía operativa te garantiza que el personal de Google no puede poner en riesgo tus cargas de trabajo. Por ejemplo, puedes gestionar la soberanía operativa de las siguientes formas:
- Restringe el despliegue de nuevos recursos a regiones específicas del proveedor.
- Limita el acceso del personal de Google en función de atributos predefinidos, como la nacionalidad o la ubicación geográfica.
Gestionar la soberanía del software
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
La soberanía del software te garantiza que puedes controlar la disponibilidad de tus cargas de trabajo y ejecutarlas desde donde quieras. Además, puedes tener este control sin depender de un solo proveedor de servicios en la nube. La soberanía del software incluye la capacidad de hacer frente a eventos que requieran cambiar rápidamente dónde se despliegan tus cargas de trabajo y qué nivel de conexión exterior se permite.
Por ejemplo, para ayudarte a gestionar la soberanía de tu software, Google Cloud admite despliegues híbridos y multinube. Además, GKE Enterprise te permite gestionar y desplegar tus aplicaciones tanto en entornos en la nube como on-premise. Si eliges implementaciones on-premise por motivos de soberanía de los datos, Google Distributed Cloud es una combinación de hardware y software que integra Google Cloud en tu centro de datos.
Recomendaciones para cumplir los requisitos de privacidad
Google Cloud incluye los siguientes controles para proteger la privacidad:
- Cifrado predeterminado de todos los datos en reposo, en tránsito y mientras se procesan.
- Protección contra el acceso interno.
- Compatibilidad con numerosas normativas de privacidad.
Las siguientes recomendaciones hacen referencia a controles adicionales que puedes implementar. Para obtener más información, consulta el Centro de recursos de privacidad.
Controlar la residencia de datos
Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.
La residencia de datos define dónde se almacenan tus datos en reposo. Los requisitos de residencia de datos varían en función de los objetivos de diseño del sistema, las normativas del sector, la legislación nacional, las implicaciones fiscales e incluso la cultura.
Para controlar la residencia de los datos, primero debes hacer lo siguiente:
- Conoce el tipo de datos y su ubicación.
- Determina qué riesgos corren tus datos y qué leyes y normativas se aplican.
- Controla dónde se almacenan tus datos o dónde van.
Para ayudarte a cumplir los requisitos de residencia de datos, Google Cloud te permite controlar dónde se almacenan tus datos, cómo se accede a ellos y cómo se procesan. Puedes usar políticas de ubicación de recursos para restringir dónde se crean los recursos y limitar dónde se replican datos entre regiones. Puedes usar la propiedad de ubicación de un recurso para identificar dónde se ha implementado el servicio y quién lo mantiene. Para obtener más información, consulta Servicios admitidos en las ubicaciones de recursos.
Clasificar los datos confidenciales
Esta recomendación está relacionada con la siguiente área de interés: seguridad de los datos.
Debes definir qué datos son confidenciales y luego asegurar que estos estén protegidos adecuadamente. Los datos confidenciales incluyen números de tarjetas de crédito, direcciones, números de teléfono y otra información personal identificable (IPI). Con Protección de Datos Sensibles, puedes configurar clasificaciones apropiadas. Luego, puedes etiquetar y tokenizar tus datos antes de guardarlos en Google Cloud. Además, Dataplex Universal Catalog ofrece un servicio de catálogo que proporciona una plataforma para almacenar, gestionar y acceder a tus metadatos. Para obtener más información y un ejemplo de clasificación y desidentificación de datos, consulta Desidentificación y reidentificación de IPI con Protección de Datos Sensibles.
Restringir el acceso a datos sensibles
Esta recomendación está relacionada con las siguientes áreas de interés:
- Seguridad de los datos
- Gestión de identidades y accesos
Coloca los datos sensibles en su propio perímetro de servicio mediante Controles de Servicio de VPC. Controles de Servicio de VPC te permite mitigar el riesgo de que se copien o transfieran datos sin autorización (filtración externa de datos) desde servicios gestionados por Google. Con Controles de Servicio de VPC, puedes configurar perímetros de seguridad alrededor de los recursos de tus servicios gestionados por Google para controlar el movimiento de datos a través del perímetro. Configura los controles de acceso de Gestión de Identidades y Accesos (IAM) de Google para esos datos. Configura la autenticación multifactor (MFA) para todos los usuarios que necesiten acceder a datos sensibles.