O pilar de segurança, privacidade e compliance no Google Cloud Framework bem estruturado oferece recomendações para ajudar você a projetar, implantar e operar cargas de trabalho na nuvem que atendam aos seus requisitos de segurança, privacidade e compliance.
Este documento foi criado para oferecer insights valiosos e atender às necessidades de uma variedade de profissionais e engenheiros de segurança. A tabela a seguir descreve os públicos-alvo deste documento:
| Público-alvo | O que este documento oferece |
|---|---|
| Diretores de segurança da informação (CISOs), líderes de unidades de negócios e gerentes de TI | Um framework geral para estabelecer e manter a excelência da segurança na nuvem e garantir uma visão abrangente das áreas de segurança para tomar decisões informadas sobre investimentos em segurança. |
| Arquitetos e engenheiros de segurança | As principais práticas de segurança para as fases de projeto e operacional para ajudar a garantir que as soluções sejam projetadas visando segurança, eficiência e escalonabilidade. |
| Equipes de DevSecOps | Orientação para incorporar controles abrangentes de segurança e planejar uma automação que permita uma infraestrutura segura e confiável. |
| Oficiais de compliance e gerentes de risco | Principais recomendações de segurança para seguir uma abordagem estruturada ao gerenciamento de riscos com proteções que ajudam a cumprir obrigações de conformidade. |
Para garantir que as Google Cloud cargas de trabalho atendam aos requisitos de segurança, privacidade e compliance, todas as partes interessadas da organização precisam adotar uma abordagem colaborativa. Além disso, é preciso reconhecer que a segurança na nuvem é uma responsabilidade compartilhada entre você e o Google. Para mais informações, consulte Responsabilidades compartilhadas e destino compartilhado em Google Cloud.
As recomendações nesse pilar são agrupadas em princípios fundamentais de segurança. Cada recomendação com base em princípios é mapeada para uma ou mais das principais áreas de foco da segurança na nuvem da implantação que podem ser essenciais para sua organização. Cada recomendação destaca orientações sobre o uso e a configuração de Google Cloud produtos e recursos para ajudar a melhorar a postura de segurança da sua organização.
Princípios básicos
As recomendações neste pilar são agrupadas nos seguintes princípios básicos de segurança. Cada princípio deste pilar é importante. Dependendo dos requisitos da organização e da carga de trabalho, é possível priorizar determinados princípios.
- Implementação da segurança desde a concepção: integre as considerações de segurança da nuvem e de rede desde a fase inicial de design dos aplicativos e da infraestrutura. OGoogle Cloud fornece planos de arquitetura e recomendações para ajudar você a aplicar esse princípio.
- Implementar confiança zero: use uma abordagem de nunca confie, sempre verifique, em que o acesso aos recursos é concedido com base na verificação contínua de confiança. Google Cloud oferece suporte a esse princípio com produtos como o Chrome Enterprise Premium e o Identity-Aware Proxy (IAP).
- Implementar a segurança de deslocamento para a esquerda: implemente controles de segurança no início do ciclo de vida de desenvolvimento de software. Evite defeitos de segurança antes de fazer mudanças no sistema. Detecte e corrija bugs de segurança com antecedência, rapidez e confiabilidade após a confirmação das alterações do sistema.O Google Cloud tem suporte a esse princípio por meio de produtos como Cloud Build, autorização binária e Artifact Registry.
- Implementar defesa cibernética preventiva: adote uma abordagem proativa de segurança implementando medidas fundamentais robustas, como a inteligência contra ameaças. Essa abordagem ajuda a criar uma base para uma detecção e resposta a ameaças mais eficazes. A abordagem deGoogle Cloudpara controles de segurança em camadas está alinhada a esse princípio.
- Usar a IA de forma segura e responsável: desenvolva e implante sistemas de IA de forma responsável e segura. As recomendações para esse princípio estão alinhadas com as orientações na perspectiva de IA e ML do framework bem arquitetado e no framework de IA segura (SAIF, na sigla em inglês) do Google.
- Usar a IA para segurança: use os recursos de IA para melhorar seus sistemas e processos de segurança com o Gemini na segurança e os recursos gerais de segurança da plataforma. Use a IA como uma ferramenta para aumentar a automação do trabalho corretivo e garantir a higiene de segurança para tornar outros sistemas mais seguros.
- Atender às necessidades regulatórias, de compliance e de privacidade: cumpra regulamentações específicas do setor, padrões de compliance e requisitos de privacidade.O Google Cloud ajuda você a atender a essas obrigações com produtos como o Assured Workloads, o Organization Policy Service e nossa central de recursos de compliance.
Mentalidade de segurança organizacional
Uma mentalidade organizacional focada na segurança é essencial para a adoção e a operação bem-sucedidas da nuvem. Essa mentalidade precisa estar profundamente enraizada na cultura da sua organização e refletida nas práticas, que são guiadas pelos princípios de segurança fundamentais, conforme descrito anteriormente.
A mentalidade de segurança organizacional enfatiza que você pensa na segurança durante o design do sistema, assume a confiança zero e integra recursos de segurança em todo o processo de desenvolvimento. Com essa mentalidade, você também pensa de forma proativa sobre medidas de defesa cibernética, usa a IA com segurança e para a segurança e considera os requisitos regulatórios, de privacidade e de compliance. Ao adotar esses princípios, sua organização pode cultivar uma cultura de segurança que aborda proativamente as ameaças, protege os recursos valiosos e ajuda a garantir o uso responsável da tecnologia.
Áreas de foco de segurança na nuvem
Esta seção descreve as áreas em que você deve se concentrar ao planejar, implementar e gerenciar a segurança de seus aplicativos, sistemas e dados. As recomendações em cada princípio deste pilar são relevantes para uma ou mais dessas áreas de foco. No restante deste documento, as recomendações especificam as áreas de foco de segurança correspondentes para fornecer mais clareza e contexto.
| Área de foco | Atividades e componentes | Produtos, recursos e soluções Google Cloud relacionados |
|---|---|---|
| Segurança da infraestrutura |
|
|
| Gerenciamento de identidade e acesso |
|
|
| Segurança de dados |
|
|
| Segurança de IA e ML |
|
|
| Operações de segurança (SecOps) |
|
|
| Segurança para aplicativos |
|
|
| Governança, risco e compliance na nuvem |
|
|
| Geração de registros, auditoria e monitoramento |
|
Colaboradores
Autores:
- Wade Holmes | Diretor de soluções globais
- Hector Diaz | Arquiteto de segurança de nuvem
- Carlos Leonardo Rosario | Especialista em segurança do Google Cloud
- John Bacon | Arquiteto de soluções de parceiros
- Sachin Kalra | Gerente global de soluções de segurança
Outros colaboradores:
- Anton Chuvakin | Consultor de segurança, Escritório do CISO
- Daniel Lees | Arquiteto de segurança do Cloud
- Filipe Gracio, PhD | Engenheiro de clientes
- Gary Harmson | Arquiteto principal
- Gino Pelliccia | Arquiteto principal
- Jose Andrade | Engenheiro de clientes de infraestrutura corporativa
- Kumar Dhanagopal | Desenvolvedor de soluções para vários produtos
- Laura Hyatt | Arquiteta de nuvem corporativa
- Marwan Al Shawi | Engenheiro de clientes do parceiro
- Nicolas Pintaux | Engenheiro de clientes, especialista em modernização de aplicativos
- Noah McDonald | Consultor de segurança em nuvem
- Osvaldo Costa | Engenheiro de clientes especialista em rede
- Radhika Kanakam | Gerente de programa sênior, GTM do Cloud
- Samantha He | Redatora técnica
- Susan Wu | Gerente de produtos de saída