En este documento se describen las diferencias entre el modelo de responsabilidad compartida y el destino común en Google Cloud. En él se abordan los retos y los matices del modelo de responsabilidad compartida. En este documento se describe qué es el destino común y cómo colaboramos con nuestros clientes para abordar los retos de seguridad en la nube.
Es importante conocer el modelo de responsabilidad compartida para determinar la mejor forma de proteger tus datos y cargas de trabajo en Google Cloud. El modelo de responsabilidad compartida describe las tareas que tienes que llevar a cabo en lo que respecta a la seguridad en la nube y cómo varían estas tareas en función de los proveedores de servicios en la nube.
Sin embargo, comprender la responsabilidad compartida puede ser complicado. El modelo requiere un conocimiento profundo de cada servicio que utilices, las opciones de configuración que ofrece cada servicio y lo que hace Google Cloudpara proteger el servicio. Cada servicio tiene un perfil de configuración diferente, y puede ser difícil determinar la mejor configuración de seguridad. Google cree que el modelo de responsabilidad compartida no es suficiente para ayudar a los clientes de la nube a conseguir mejores resultados de seguridad. En lugar de la responsabilidad compartida, apostamos por el destino común.
El destino compartido implica que nosotros creamos y operamos una plataforma de nube de confianza para tus cargas de trabajo. Ofrecemos directrices sobre las prácticas recomendadas y código de infraestructura seguro y certificado que puedes usar para desplegar tus cargas de trabajo de forma segura. Lanzamos soluciones que combinan varios Google Cloud servicios para resolver problemas de seguridad complejos y ofrecemos opciones de seguros innovadoras para ayudarte a medir y mitigar los riesgos que debes aceptar. El destino común implica que interactuemos más estrechamente contigo mientras proteges tus recursos enGoogle Cloud.
Responsabilidad compartida
Usted es quien mejor conoce los requisitos de seguridad y normativos de su empresa, así como los requisitos para proteger sus datos y recursos confidenciales. Cuando ejecutes tus cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que tienes que configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:
- Tus obligaciones de cumplimiento normativo
- Los estándares de seguridad y el plan de gestión de riesgos de tu organización
- Requisitos de seguridad de tus clientes y proveedores
Definido por las cargas de trabajo
Tradicionalmente, las responsabilidades se definen en función del tipo de carga de trabajo que ejecutes y de los servicios en la nube que necesites. Los servicios en la nube se dividen en las siguientes categorías:
| Servicio en la nube | Descripción |
|---|---|
| Infraestructura como servicio (IaaS) | Los servicios de IaaS incluyen Compute Engine, Cloud Storage y servicios de redes, como Cloud VPN, Cloud Load Balancing y Cloud DNS.
IaaS proporciona servicios de computación, almacenamiento y redes bajo demanda con precios de pago por uso. Puedes usar IaaS si tienes previsto migrar una carga de trabajo local a la nube mediante la técnica de lift-and-shift o si quieres ejecutar tu aplicación en máquinas virtuales concretas, usando bases de datos o configuraciones de red específicas. En IaaS, la mayor parte de las responsabilidades de seguridad son tuyas, y las nuestras se centran en la infraestructura subyacente y la seguridad física. |
| Plataforma como servicio (PaaS) | Los servicios de PaaS incluyen App Engine, Google Kubernetes Engine (GKE) y BigQuery.
PaaS proporciona el entorno de ejecución en el que puedes desarrollar y ejecutar tus aplicaciones. Puedes usar PaaS si estás creando una aplicación (como un sitio web) y quieres centrarte en el desarrollo, no en la infraestructura subyacente. En PaaS, somos responsables de más controles que en IaaS. Normalmente, esto variará en función de los servicios y las funciones que utilices. Compartes con nosotros la responsabilidad de los controles a nivel de aplicación y la gestión de identidades y accesos. Sigues siendo responsable de la seguridad de tus datos y de la protección de los clientes. |
| Software como servicio (SaaS) | Las aplicaciones de SaaS incluyen Google Workspace, Google Security Operations y aplicaciones de SaaS de terceros disponibles en Google Cloud Marketplace.
El SaaS proporciona aplicaciones online a las que puedes suscribirte o pagar de alguna forma. Puedes usar aplicaciones SaaS cuando tu empresa no tenga la experiencia interna o los requisitos empresariales para crear la aplicación por sí misma, pero sí necesite procesar cargas de trabajo. En el SaaS, la mayor parte de las responsabilidades de seguridad son nuestras. Sigues siendo responsable de tus controles de acceso y de los datos que decidas almacenar en la aplicación. |
| Función como servicio (FaaS) o sin servidor | FaaS proporciona a los desarrolladores la plataforma para ejecutar código pequeño de un solo propósito (llamado funciones) que se ejecuta en respuesta a eventos concretos. Usarías FaaS cuando quieras que ocurran cosas concretas en función de un evento concreto. Por ejemplo, puedes crear una función que se ejecute cada vez que se suban datos a Cloud Storage para que se puedan clasificar. FaaS tiene una lista de responsabilidades compartidas similar a la de SaaS. Cloud Run Functions es una aplicación FaaS. |
En el siguiente diagrama se muestran los servicios en la nube y se define cómo se comparten las responsabilidades entre el proveedor de servicios en la nube y el cliente.
Como se muestra en el diagrama, el proveedor de la nube siempre es responsable de la red y la infraestructura subyacentes, mientras que los clientes siempre son responsables de sus políticas de acceso y sus datos.
Definido por el sector y el marco normativo
En varios sectores hay marcos normativos que definen los controles de seguridad que deben implementarse. Cuando traslades tus cargas de trabajo a la nube, debes tener en cuenta lo siguiente:
- Qué controles de seguridad son tu responsabilidad
- Qué controles de seguridad están disponibles como parte de la oferta en la nube
- Qué controles de seguridad predeterminados se heredan
Los controles de seguridad heredados (como nuestro cifrado predeterminado y los controles de infraestructura) son controles que puedes proporcionar como parte de las pruebas de tu postura de seguridad a auditores y organismos reguladores. Por ejemplo, la normativa de seguridad de datos de la industria de tarjetas de pago (PCI DSS) define las normas para los procesadores de pagos. Cuando trasladas tu empresa a la nube, estas normativas se comparten entre tú y tu CSP. Para saber cómo se comparten las responsabilidades del PCI DSS entre usted yGoogle Cloud, consulte Google Cloud: matriz de responsabilidades compartidas del PCI DSS.
Otro ejemplo es la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (HIPAA), que ha establecido estándares para el tratamiento de la información médica personal electrónica. Estas responsabilidades también se comparten entre el CSP y usted. Para obtener más información sobre cómo cumple Google Cloud sus responsabilidades en virtud de la HIPAA, consulta el artículo Cumplimiento de la HIPAA.
Otros sectores (por ejemplo, el financiero o el manufacturero) también tienen normativas que definen cómo se pueden recoger, procesar y almacenar los datos. Para obtener más información sobre la responsabilidad compartida en relación con estos aspectos y sobre cómoGoogle Cloud cumple sus responsabilidades, consulta el Centro de recursos para el cumplimiento.
Definido por la ubicación
En función de tu situación empresarial, puede que tengas que tener en cuenta tus responsabilidades según la ubicación de tus oficinas, tus clientes y tus datos. En distintos países y regiones se han creado normativas que informan sobre cómo puedes tratar y almacenar los datos de tus clientes. Por ejemplo, si tu empresa tiene clientes que residen en la Unión Europea, es posible que deba cumplir los requisitos que se describen en el Reglamento General de Protección de Datos (RGPD) y que esté obligada a conservar los datos de sus clientes en la propia UE. En ese caso, eres responsable de asegurarte de que los datos que recojas permanezcan en las Google Cloud regiones de la UE. Para obtener más información sobre cómo cumplimos nuestras obligaciones del RGPD, consulte RGPD y Google Cloud.
Para obtener información sobre los requisitos relacionados con tu región, consulta Ofertas de cumplimiento. Si tu situación es especialmente complicada, te recomendamos que hables con nuestro equipo de ventas o con uno de nuestros partners para que te ayuden a evaluar tus responsabilidades en materia de seguridad.
Retos de la responsabilidad compartida
Aunque la responsabilidad compartida ayuda a definir los roles de seguridad que tienen el proveedor de servicios en la nube o tú, depender de ella puede generar problemas. Veamos los siguientes casos:
- La mayoría de las brechas de seguridad en la nube son el resultado directo de una configuración incorrecta (que ocupa el tercer puesto en el informe Pandemic 11 de Cloud Security Alliance) y se espera que esta tendencia aumente. Los productos de la nube cambian constantemente y se lanzan nuevos productos con frecuencia. Mantenerse al día de los cambios constantes puede parecer abrumador. Los clientes necesitan que los proveedores de servicios en la nube les proporcionen prácticas recomendadas para estar al día de los cambios, empezando por las prácticas recomendadas predeterminadas y una configuración de seguridad básica.
- Aunque dividir los elementos por servicios en la nube es útil, muchas empresas tienen cargas de trabajo que requieren varios tipos de servicios en la nube. En este caso, debe tener en cuenta cómo interactúan los distintos controles de seguridad de estos servicios, incluido si se solapan entre servicios. Por ejemplo, puede que tengas una aplicación local que estés migrando a Compute Engine, uses Google Workspace para el correo corporativo y también ejecutes BigQuery para analizar datos y mejorar tus productos.
- Tu empresa y tus mercados cambian constantemente, ya sea porque se modifican las normativas, porque entras en nuevos mercados o porque adquieres otras empresas. Es posible que tus nuevos mercados tengan requisitos diferentes y que tu nueva adquisición aloje sus cargas de trabajo en otra nube. Para gestionar los cambios constantes, debes volver a evaluar tu perfil de riesgo continuamente y poder implementar nuevos controles rápidamente.
- La forma y el lugar en los que gestionas tus claves de cifrado de datos es una decisión importante que está relacionada con tus responsabilidades de proteger tus datos. La opción que elijas dependerá de tus requisitos normativos, de si utilizas un entorno de nube híbrida o un entorno local, y de la confidencialidad de los datos que trates y almacenes.
- La gestión de incidentes es un área importante que a menudo se pasa por alto y en la que no se definen fácilmente las responsabilidades del cliente y del proveedor de servicios en la nube. Muchos incidentes requieren una estrecha colaboración y asistencia del proveedor de la nube para investigarlos y mitigarlos. Otros incidentes pueden deberse a recursos en la nube mal configurados o a credenciales robadas, por lo que puede ser bastante difícil cumplir las prácticas recomendadas para proteger tus recursos y cuentas.
- Las amenazas persistentes avanzadas y las nuevas vulnerabilidades pueden afectar a tus cargas de trabajo de formas que quizás no tengas en cuenta al iniciar tu transformación a la nube. Es difícil mantenerse al día de los cambios en el panorama y saber quién es responsable de mitigar las amenazas, sobre todo si tu empresa no tiene un equipo de seguridad grande.
Destino común
Hemos desarrollado el destino común en Google Cloud para empezar a abordar los retos que no se contemplan en el modelo de responsabilidad compartida. El destino compartido se centra en cómo pueden interactuar mejor todas las partes para mejorar continuamente la seguridad. El modelo de destino común se basa en el de responsabilidad compartida, ya que considera que la relación entre el proveedor de la nube y el cliente es una colaboración continua para mejorar la seguridad.
El destino compartido consiste en que asumamos la responsabilidad de hacer que Google Cloud sea más seguro. El destino común incluye ayudarte a empezar con una zona de aterrizaje segura y ser claros, directos y transparentes en cuanto a los controles, la configuración y las prácticas recomendadas de seguridad asociadas. Esto incluye ayudarte a cuantificar y gestionar mejor tus riesgos con un ciberseguro mediante nuestro programa de Protección frente a Riesgos. Con el modelo de destino compartido, queremos pasar del marco de responsabilidad compartida estándar a un modelo mejor que te ayude a proteger tu empresa y a generar confianza en Google Cloud.
En las siguientes secciones se describen varios componentes del destino compartido.
Ayuda para empezar
Un componente clave de la responsabilidad compartida son los recursos que proporcionamos para ayudarte a empezar con una configuración segura en Google Cloud. Empezar con una configuración segura ayuda a reducir el problema de las configuraciones incorrectas, que es la causa principal de la mayoría de las brechas de seguridad.
Estos son algunos de los recursos que ofrecemos:
- Plan de fundamentos de Enterprise que aborda los principales problemas de seguridad y ofrece nuestras mejores recomendaciones.
Modelos seguros que te permiten desplegar y mantener soluciones seguras mediante la infraestructura como código (IaC). Los planos tienen habilitadas nuestras recomendaciones de seguridad de forma predeterminada. Muchos planos se crean por los equipos de seguridad de Google y se gestionan como productos. Esto significa que se actualizan periódicamente, se someten a un proceso de prueba riguroso y reciben atestaciones de grupos de pruebas externos. Los planos incluyen el plano de las bases de la empresa y el plano del almacén de datos seguro.
Google Cloud Prácticas recomendadas del framework Well-Architected que abordan las principales recomendaciones para integrar la seguridad en tus diseños. El framework Well-Architected incluye una sección de seguridad y una zona de la comunidad que puedes usar para conectar con expertos y compañeros.
Guías de navegación por zonas de destino que te explican paso a paso las decisiones más importantes que debes tomar para crear una base segura para tus cargas de trabajo, como la jerarquía de recursos, la incorporación de identidades, la seguridad y la gestión de claves, y la estructura de la red.
Programa de Protección frente a Riesgos
El modelo de destino compartido también incluye el programa de Protección frente a Riesgos (actualmente en versión preliminar), que te ayuda a aprovechar la potencia de Google Cloud como plataforma para gestionar los riesgos, en lugar de ver las cargas de trabajo en la nube como otra fuente de riesgos que debes gestionar. El programa Protección frente a Riesgos es una colaboración entre Google Cloud y dos empresas líderes de ciberseguros: Munich Re y Allianz Global & Corporate Speciality.
El programa de Protección frente a Riesgos incluye Cyber Insurance Hub, que proporciona estadísticas basadas en datos que puedes usar para comprender mejor tu estrategia de seguridad en la nube. Si buscas una cobertura de ciberseguro, puedes compartir estas estadísticas de Cyber Insurance Hub directamente con nuestros partners de seguros para obtener una cotización. Para obtener más información, consulta Google Cloud El programa de Protección frente a Riesgos ya está disponible en versión preliminar.
Ayuda con la implementación y la gobernanza
El destino compartido también te ayuda a controlar tu entorno de forma continua. Por ejemplo, centramos nuestros esfuerzos en productos como los siguientes:
- Assured Workloads, que te ayuda a cumplir tus obligaciones de cumplimiento.
- Security Command Center Premium, que usa la inteligencia frente a amenazas, la detección de amenazas, el análisis web y otros métodos avanzados para monitorizar y detectar amenazas. También ofrece una forma de resolver muchas de estas amenazas de forma rápida y automática.
- Políticas de organización y configuración de recursos que te permiten configurar políticas en toda tu jerarquía de carpetas y proyectos.
- Herramientas de Policy Intelligence que te proporcionan información valiosa sobre el acceso a las cuentas y los recursos.
- Confidential Computing, que te permite cifrar los datos en uso.
- Controles de soberanía de partners, que está disponible en determinados países y ayuda a cumplir los requisitos de residencia de datos.
Poner en práctica la responsabilidad compartida y el destino común
Durante el proceso de planificación, ten en cuenta las siguientes acciones para ayudarte a comprender e implementar los controles de seguridad adecuados:
- Crea una lista de los tipos de cargas de trabajo que alojarás enGoogle Cloudy si requieren servicios de IaaS, PaaS y SaaS. Puedes usar el diagrama de responsabilidad compartida como lista de comprobación para asegurarte de que conoces los controles de seguridad que debes tener en cuenta.
- Crea una lista de los requisitos normativos que debes cumplir y accede a los recursos del Centro de recursos para el cumplimiento que estén relacionados con esos requisitos.
- Consulta la lista de planos y arquitecturas disponibles en el Centro de Arquitectura para ver los controles de seguridad que necesitas para tus cargas de trabajo concretas. Los modelos proporcionan una lista de controles recomendados y el código de IaC que necesitas para desplegar esa arquitectura.
- Consulta la documentación de la zona de aterrizaje y las recomendaciones de la guía de bases empresariales para diseñar una jerarquía de recursos y una arquitectura de red que cumplan tus requisitos. Puedes usar los planos de cargas de trabajo con opiniones, como el almacén de datos seguro, para acelerar el proceso de desarrollo.
- Después de implementar tus cargas de trabajo, verifica que cumples tus responsabilidades de seguridad con servicios como el centro de seguros cibernéticos, Assured Workloads, las herramientas de información valiosa sobre políticas y Security Command Center Premium.
Para obtener más información, consulta el documento de la guía para directores de Seguridad de la Información (CISOs) sobre la transformación en la nube.
Siguientes pasos
- Consulta los principios de seguridad básicos.
- Mantente al día con los recursos de destino compartido.
- Familiarízate con los planos disponibles, incluido el plano de las bases de seguridad y ejemplos de cargas de trabajo, como el almacén de datos seguro.
- Más información sobre el destino común
- Consulta información sobre nuestra infraestructura segura subyacente en la descripción general del diseño de seguridad de la infraestructura de Google.
- Consulta cómo implementar las prácticas recomendadas del marco de ciberseguridad del NIST Google Cloud (PDF).