Se usó la API de Cloud Translation para traducir esta página.

Seguridad

En esta página, se proporciona una descripción general que abarca los conceptos básicos, las capas y los roles operativos para mantener la seguridad dentro de Google Distributed Cloud (GDC) aislado. GDC está diseñado para entornos altamente seguros y desconectados, y para cumplir con los estrictos requisitos de soberanía de los datos.

Esta página está dirigida a públicos como los administradores de TI del grupo de operadores de infraestructura o los ingenieros de seguridad del grupo de operadores de aplicaciones que desean administrar la seguridad de su organización. Para obtener más información, consulta Audiences for GDC air-gapped documentation (Públicos para la documentación de GDC aislada del aire).

En esta página, se explican los atributos de seguridad clave en las siguientes categorías:

Cumplimiento
Operaciones de seguridad
Operaciones de confiabilidad
Criptografía
Administración de identidades y accesos (IAM)
Seguridad de red
Seguridad para aplicaciones
Seguridad del host y del nodo
Seguridad del hardware
Seguridad de las instalaciones

Estrategia de seguridad

GDC adopta un enfoque centrado en la seguridad con varias capas de protección para brindar el máximo control, cumplir con las reglamentaciones legales y proteger los datos confidenciales. Está diseñado para ejecutarse en hardware dedicado y seguro en un centro de datos local para proporcionar un aislamiento estricto del arrendatario.

Las capas de seguridad que proporciona GDC incluyen seguridad de hardware, seguridad de host y nodos, seguridad de aplicaciones, seguridad de redes, criptografía, Identity and Access Management (IAM), operaciones de seguridad y confiabilidad, cumplimiento y ofertas de seguridad.

GDC tiene un modelo de seguridad compartida para proteger la pila de aplicaciones completa. GDC proporciona infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). En todas las configuraciones de GDC, Google y el operador son responsables de proteger las capas de la infraestructura. El cliente es responsable de proteger la configuración del proyecto y la capa de aplicación, incluidos los contenedores de aplicaciones, las imágenes base y las dependencias.

Un histograma que ilustra las responsabilidades compartidas de la nube, el operador y el cliente para cada capa de seguridad.

Desde una perspectiva de seguridad, los siguientes grupos de público operan la GDC:

Grupo de operadores de infraestructura: Administra las operaciones diarias de la infraestructura del sistema y no tiene acceso a los datos del cliente. Este arquetipo es el administrador de nivel más alto del sistema y podría ser Google, un tercero contratado o el cliente, según la naturaleza de las restricciones de soberanía.
Grupo de administradores de la plataforma: Es un arquetipo de cliente que administra recursos y permisos para proyectos. Este es el nivel más alto de privilegio administrativo que se otorga al cliente y es el único nivel administrativo que puede otorgar acceso a los datos del cliente.
Grupo de operadores de aplicaciones: Desarrolla aplicaciones para implementar y ejecutar, y configura recursos y permisos detallados en GDC. Este arquetipo trabaja dentro de las políticas establecidas por el administrador de la plataforma (PA) para garantizar que sus sistemas se alineen con los requisitos de seguridad y cumplimiento del cliente.

Para obtener más información, consulta Públicos de la documentación.

Seguridad de las instalaciones

Puedes implementar GDC en centros de datos aislados designados por el cliente. La seguridad física específica de la ubicación variará según los requisitos individuales del cliente. Para cumplir con las reglamentaciones locales, es posible que los centros de datos necesiten una acreditación, por ejemplo, ISO 27001. El centro de datos debe contar con varias medidas de seguridad, como sistemas de defensa perimetral seguros para evitar el acceso no autorizado, cobertura integral de cámaras para supervisar toda la actividad, autenticación física para garantizar que solo el personal autorizado pueda acceder, personal de seguridad para patrullar las instalaciones las 24 horas, todos los días, y responder a cualquier incidente de seguridad, y políticas estrictas de acceso y seguridad para regular cómo el personal accede al centro de datos y lo usa. Estas medidas de seguridad son una importante capa inicial de protección para resguardar los datos almacenados en el centro de datos contra el acceso, el uso, la divulgación, la interrupción, la modificación o la destrucción no autorizados.

Seguridad del hardware

Google tiene un proceso riguroso para garantizar la seguridad de su hardware. Todo el hardware de GDC se compra y ensambla a partir de socios verificados y certificados para cumplir con los requisitos específicos del cliente en cuanto a soberanía y cadena de suministro. El hardware se prueba y aprueba para cumplir con los estrictos estándares internos de Google y las necesidades de la mayoría de los clientes que se preocupan por la seguridad. Todos los subcomponentes del hardware de GDC provienen de proveedores confiables, verificados y conocidos por su confiabilidad. La integración del hardware en los racks de GDC se realiza en centros regionales certificados, que son instalaciones que Google aprobó para manipular hardware sensible. Todo el personal que manipula el hardware de GDC se somete a una verificación de antecedentes, lo que garantiza que solo el personal autorizado tenga acceso al hardware. Además, un equipo exclusivo revisa la seguridad de la implementación real de componentes de hardware y firmware de alto riesgo seleccionados. En estas revisiones, se consideran amenazas como ataques a la cadena de suministro, ataques físicos y ataques de ejecución local en componentes de hardware y firmware, incluidas las amenazas persistentes. Estas revisiones generan conocimiento que influye directamente en nuestros requisitos de seguridad de hardware, incluidos el firmware seguro y las actualizaciones de firmware, la integridad del firmware, el inicio seguro, la administración y el servicio seguros. Google mantiene relaciones cercanas con todos los proveedores y equipos que usan el hardware para garantizar que se proporcionen funciones de seguridad de alto nivel. Esto significa que Google trabaja constantemente con sus socios para garantizar que el hardware sea lo más seguro posible. Google supera los límites al mejorar los requisitos de hardware y seguridad, realizar revisiones de seguridad interactivas y trabajar con los equipos de productos para implementar nuevas funciones de seguridad creadas específicamente para la GDC y profundamente integradas no solo con el hardware y el firmware reales, sino también con otras funciones del producto.

Seguridad del host y del nodo

GDC garantiza que solo nuestro sistema operativo (SO) Node seguro empaquetado de forma personalizada se pueda cargar en los sistemas de forma predeterminada. Las imágenes y configuraciones endurecidas reducen en gran medida las superficies de ataque. Los módulos criptográficos que protegen los datos en reposo y en tránsito están validados por FIPS 140-2/3, lo que significa que se sometieron a pruebas rigurosas de seguridad y fueron verificados por un laboratorio independiente y acreditado. GDC proporciona software antimalware para el sistema operativo que se ejecuta en los nodos de Bare Metal y una solución para analizar los sistemas de almacenamiento. Google actualiza los paquetes de estos escáneres, y se incluyen en las actualizaciones periódicas del sistema que el IO aplica con el proceso de actualización de GDC. Las alertas de detección se envían al IO. GDC también proporciona herramientas de supervisión de la integridad y detección de incumplimientos para proteger el sistema de cambios no intencionales. En general, estas medidas de seguridad ayudan a proteger el sistema de una variedad de ataques. Las medidas de seguridad dificultan que los atacantes accedan al sistema, aprovechen las vulnerabilidades y se instalen malware.

Usuario

GDC es una plataforma de nube administrada multiusuario similar aGoogle Cloud Platform. La arquitectura está diseñada para ofrecer un aislamiento sólido entre los arrendatarios, lo que proporciona una capa de protección sólida entre los usuarios de la nube y permite que los usuarios cumplan con los estrictos estándares de acreditación de cargas de trabajo. GDC proporciona dos niveles de aislamiento de usuarios. El primer nivel, llamado Organizaciones, proporciona un aislamiento físico sólido del procesamiento, y el segundo nivel, Proyectos, ofrece opciones de asignación de recursos más detalladas a través de la separación lógica.

Diagrama de un clúster de administrador raíz de GDC, con dos clústeres de organización y clústeres de usuarios.

No se comparten servidores de procesamiento físicos entre las organizaciones, y las capas del operador también mantienen la tenencia. Los IO no pueden acceder a las capas de PA. Del mismo modo, los AO tampoco pueden acceder a las capas de PA.

Son las capas del operador del dispositivo de almacenamiento de GDC.

Seguridad para aplicaciones

Para protegerse contra los ataques a la cadena de suministro de software, todo el software de GDC se desarrolla de acuerdo con los Niveles de cadena de suministro para artefactos de software (SLSA), un marco de trabajo de seguridad de la cadena de suministro que Google desarrolló en asociación con organizaciones como la CNCF y la Linux Foundation.

SLSA es una lista de verificación de estándares y controles para evitar la manipulación, mejorar la integridad y proteger los paquetes dentro de la cadena de suministro de software. Esta lista de verificación está diseñada para evitar exploits que atacan repositorios de código fuente, sistemas de compilación y paquetes de dependencias de terceros.

Todo el código fuente y las dependencias de GDC se almacenan en un sistema de control de versión de Google que está aislado y encriptado en centros de datos seguros de Google. Todo el código tiene un historial verificado y requiere que una segunda persona revise los cambios de código antes de que se acepten en el sistema de control de versión.

Las compilaciones se entregan con un sistema de organización de versiones de Google que aprovecha las herramientas de compilación y pruebas automatizadas de Google para una compilación, prueba y lanzamiento completamente automatizados de imágenes de contenedores y archivos binarios.Google Cloud Todas las compilaciones están aisladas, son herméticas y se definen según el principio de compilación como código. Además, ninguna persona tiene acceso unilateral en el proceso de entrega de software.

Todas las imágenes se analizan en busca de vulnerabilidades con varios analizadores de seguridad de aplicaciones y se validan en varios puntos con una combinación de firmas criptográficas y sumas de verificación SHA256. Cada versión contiene una lista de materiales de software (SBOM) que incluye detalles sobre los componentes de software, las dependencias y las bibliotecas, y los datos entregados.

Seguridad de red

En esta sección, se proporciona una descripción general de la seguridad de redes de GDC.

Red física

Si bien GDC está diseñado para usarse en entornos desconectados, en la práctica, es probable que los sistemas de GDC estén conectados a un entorno protegido más amplio que se conecta a través de la red privada interna de un cliente, sin dejar de estar desconectado de Internet público.

Todo el tráfico de red entre la red privada del cliente y los sistemas de GDC pasa por firewalls y sistemas de detección y prevención de intrusiones (IDS/IPS). El firewall proporciona la primera línea de defensa para controlar el acceso al sistema. El firewall y el IDS/IPS controlan el tráfico entrante y saliente según políticas de seguridad configurables, y usan el aprendizaje automático para analizar automáticamente el tráfico y bloquear las entradas no autorizadas. De forma predeterminada, el sistema IDS/IPS inspecciona toda la comunicación entrante y saliente de la infraestructura. Los PA también pueden usar el sistema IDS/IPS para inspeccionar su propio tráfico de cargas de trabajo. Tanto los firewalls como los IDS/IPS también se integran en la pila de Observabilidad de la organización para las cargas de trabajo de los clientes y en la pila de SIEM de IO para la infraestructura, lo que permite realizar análisis forenses y de seguridad adicionales.

Los firewalls aplican reglas de rechazo predeterminadas como la postura de seguridad inicial para evitar el acceso no intencional y las filtraciones de datos. El IO y la PA tienen métodos para definir más reglas de acceso según sea necesario. Dentro de GDC, hay dos redes físicamente separadas para aislar las funciones de administración y control de los datos de las cargas de trabajo de los clientes.

La red de administración fuera de banda (OOB) se usa únicamente para funciones administrativas, como cambios de configuración de los dispositivos de red, dispositivos de almacenamiento y otros componentes de hardware. Solo el IO tiene acceso a la red OOB, y solo en casos excepcionales. Las ACL de red se configuran de modo que solo los servidores que se encuentran en el clúster raíz de administrador al que se permite el acceso a los controles de E/S tengan acceso a esta red. La red del plano de datos conecta los servidores de carga de trabajo y los PA y los AO pueden acceder a ella.

Redes definidas por software

La red del plano de datos es una red superpuesta basada en el reenvío y el enrutamiento virtuales (VRF) para el aislamiento del tráfico de los inquilinos. Cada organización arrendataria tiene una red VRF externa e interna. Los servicios externos, por ejemplo, el balanceador de cargas externo y la NAT de salida, estarían en el dominio externo. Las cargas de trabajo del cliente residen en la VRF interna.

La red interna se usa para la comunicación dentro del arrendatario, como el tráfico de cargas de trabajo entre nodos y el almacenamiento de archivos y bloques dentro de la organización. La red externa se usa para comunicarse fuera de una organización. El tráfico de administración de inquilinos para acceder a las funciones de control de acceso o el tráfico de clientes para acceder a los proyectos deben pasar por la red externa. Cada carga de trabajo del cliente tiene balanceadores de cargas y puertas de enlace NAT para configurar el tráfico de entrada y salida.

Red virtual

Las redes virtuales de GDC son una capa de redes a nivel de la organización compilada sobre la red superpuesta. Está potenciado por el controlador de la interfaz de red de contenedores (CNI) administrado por GDC, el plano de datos de redes de Anthos.

La capa de redes virtuales en GDC proporciona un aislamiento flexible dentro de la organización, que se conoce como "proyecto". Esta capa proporciona las siguientes funciones de seguridad de red:

Política de red del proyecto: Para la protección del límite del proyecto.
Política de red de la organización: Para la protección del límite de la organización

Las políticas de red de la organización y del proyecto tienen una configuración de rechazo predeterminada como punto de partida para protegerse contra el acceso no deseado y la filtración de datos.

Protección contra la denegación del servicio

Todo el tráfico que ingresa a GDC pasa por el IDS/IPS y un conjunto de balanceadores de cargas. Los sistemas IDS/IPS detectan y descartan el tráfico no autorizado, y protegen los recursos de las inundaciones de sesiones. Los balanceadores de cargas pueden limitar el tráfico de forma adecuada para evitar la pérdida del servicio. Dado que toda la conectividad externa se controla a través de la red privada del cliente, este puede proporcionar la capa adicional de protección contra ataques de rechazo del servicio para ataques distribuidos.

La criptografía

En esta sección, se proporciona una descripción general de la criptografía de GDC.

PKI

GDC proporciona una infraestructura de clave pública (PKI) para la administración centralizada de la CA X.509 para los servicios de infraestructura. De forma predeterminada, GDC tiene CA raíz privadas por instalación y CA intermedias y de hoja distribuidas a partir de ellas. Además, GDC puede admitir la instalación de certificados emitidos por el cliente en los extremos orientados al cliente, lo que aumenta la flexibilidad en el uso de certificados. El GDC coordina de forma centralizada la distribución de almacenes de confianza, lo que facilita que las cargas de trabajo y los servicios del sistema autentiquen y encripten el tráfico de aplicaciones. En general, GDC proporciona una potente solución de PKI para proteger una variedad de servicios de infraestructura para una administración de confianza conveniente, pero estrictamente controlada.

Servicio de administración de claves

GDC proporciona un servicio de administración de claves (KMS) respaldado por módulos de seguridad de hardware (HSM). El KMS es un servicio propio. El material de la clave permanece dentro del KMS, que a su vez está respaldado por HSM. Las definiciones de recursos personalizados (CRD) contienen material de claves encriptado. Solo el KMS tiene acceso al material de clave sin procesar en la memoria. Hay un KMS por organización. De forma predeterminada, todos los datos en reposo se encriptan con claves respaldadas por HSM. Los clientes también pueden optar por administrar sus propias claves criptográficas. El KMS admite algoritmos aprobados por el FIPS y módulos validados por el FIPS. El KMS admite la importación y exportación de claves de forma segura para los casos de uso de custodia, eliminación o recuperación ante desastres. Estas funciones hacen que KMS sea una forma segura y confiable de administrar claves criptográficas.

GDC también ofrece claves de encriptación administradas por el cliente (CMEK). Las CMEK les brindan a los clientes control sobre las claves que protegen sus datos en reposo en GDC. Una de las principales motivaciones para adoptar las CMEK es el borrado criptográfico, un método de destrucción de datos de alta garantía para la corrección de filtraciones de datos y la baja de usuarios. Las claves se pueden borrar fuera de la banda de los datos que protegen. Todos los datos de tu organización están protegidos por un conjunto de CMEK que tus operadores de la plataforma pueden supervisar, auditar y borrar según sea necesario. Las claves CMEK son claves de encriptación que puedes administrar con las APIs de HSM. La CMEK se puede usar para encriptar los datos del almacenamiento en bloque, los discos de máquina virtual, el servicio de bases de datos y las cargas de trabajo de contenedores de usuarios.

Encriptación

En esta sección, se proporciona una descripción general de la encriptación de GDC.

Datos en reposo

Todos los datos de GDC almacenados en el almacenamiento de archivos, bloques y objetos se encriptan en reposo con varios niveles de encriptación. En los entornos de múltiples usuarios, los datos de cada usuario se encriptan con una clave específica del usuario antes de escribirse en el almacenamiento de archivos, bloques y objetos:

El almacenamiento en bloque (volúmenes de aplicación, discos de VM y almacenamiento de bases de datos) se encripta en tres niveles:
- Capa de software: Encriptación de Linux Unified Key Setup (LUKS) realizada dentro del hardware de procesamiento dedicado al arrendatario con claves respaldadas por HSM por volumen, administradas por el cliente.
- Capa de dispositivo: Encriptación a nivel de agregado de volumen (NVE/NAE) que se realiza dentro del dispositivo de almacenamiento con claves respaldadas por HSM y por inquilino, administradas por el cliente.
- Capa de disco: Unidades de disco con encriptación automática (SED) con claves respaldadas por HSM y por unidad, administradas por la E/S.
El almacenamiento de objetos se encripta en dos capas.
- Capa de bucket: Encriptación de datos de objetos coordinada dentro del hardware de procesamiento dedicado al arrendatario con claves respaldadas por HSM por bucket y administradas por el cliente.
- Capa de disco: SED con claves por unidad respaldadas por HSM, administradas por la E/S.
El almacenamiento en disco del servidor, que son los datos de configuración del sistema para un solo arrendatario, se encripta en una sola capa:
- Capa de disco: SED con claves respaldadas por HSM y por unidad, administradas por el cliente.

Datos en tránsito

Todo el tráfico de GDC se encripta de forma predeterminada con módulos criptográficos certificados por FIPS 140-2 y protocolos estándares de la industria, como TLS 1.2+, HTTPS y túneles IPSec. También se espera que los clientes usen algoritmos encriptados en la capa de aplicación, según el modelo de responsabilidad compartida, para garantizar que se cumplan los requisitos de encriptación para todas las aplicaciones implementadas sobre GDC.

Identity and Access Management (IAM)

El acceso al sistema se basa en el principio de privilegio mínimo. Los usuarios solo tienen acceso a los recursos que necesitan. Este proceso protege el sistema contra el acceso no autorizado y el uso inadecuado. Además, el sistema aplica la separación de tareas, como la ausencia de acceso unilateral. Ninguna persona tiene el control completo de un sistema o proceso. Este proceso ayuda a evitar fraudes y errores. GDC se puede integrar con el proveedor de identidad existente de los clientes. El sistema admite SAML 2.0 y OIDC para la federación de IdP. Esta compatibilidad permite que los usuarios se autentiquen en el sistema con su proveedor de identidad existente para administrar a los usuarios en una sola ubicación. Todos los usuarios y las cargas de trabajo se autentican antes de acceder al sistema. El RBAC y el ABAC se usan para autorizar todo el acceso al plano de control y a los datos. Los usuarios solo pueden acceder a los recursos y realizar acciones si están autenticados y autorizados. Todos los accesos se registran en el registro de auditoría, lo que permite a los administradores hacer un seguimiento de quién accedió a un recurso y cuándo. Este proceso ayuda a identificar el acceso no autorizado y el uso inadecuado.

Operaciones de seguridad

Las Operaciones de seguridad (SecOps) de GDC proporcionan garantía de la información para entidades con estrictos requisitos de seguridad, cumplimiento y soberanía para ofrecer la máxima confidencialidad, integridad y disponibilidad operativas de las cargas de trabajo aisladas reguladas de los clientes. Esta arquitectura de seguridad tiene como objetivo cumplir con los siguientes requisitos:

Correlacionar el registro de la plataforma de GDC para el análisis y la respuesta de seguridad
Identificar, informar y hacer un seguimiento de las vulnerabilidades de seguridad de manera oportuna
Protege todos los activos de OIC y GDC a través de la detección y respuesta de extremos (EDR).
Proporcionar herramientas, procesos y manuales para permitir que el centro de operaciones de SecOps supervise de forma continua la identificación, la contención, la erradicación y la recuperación de incidentes de seguridad cibernética.

Función	Descripción
Administración de información y eventos de seguridad	Splunk Enterprise es una plataforma de administración de información y eventos de seguridad (SIEM) que recopila, indexa y analiza datos de seguridad de diversas fuentes para ayudar a las organizaciones a detectar amenazas y responder a ellas.
Administración de vulnerabilidades	Tenable Security Center es una plataforma de administración de vulnerabilidades que ayuda a las organizaciones a identificar y corregir vulnerabilidades de seguridad.
Detección y respuesta de extremos	Trellix HX, Windows Defender y ClamAV. Plataformas de seguridad unificadas que brindan a las organizaciones una vista integral de su postura de seguridad para detectar amenazas y responder a ellas de manera más eficaz
Administración segura de casos	Es una solución de software que permite a las organizaciones administrar el ciclo de vida de los incidentes de seguridad.

Diagrama de las operaciones de seguridad de GDC que describe los componentes de software y los procesos de personas.

Las SecOps de GDC permiten que los IO realicen funciones de Operaciones de seguridad. El equipo de SecOps del GDC ofrece procesos centrados en las personas, como respuesta ante incidentes, administración de vulnerabilidades, ingeniería de seguridad y administración de riesgos de la cadena de suministro. GDC SecOps permite que un centro de operaciones de seguridad (SOC) logre lo siguiente:

Función	Descripción
Detección	Nuestra infraestructura de seguridad supervisa constantemente las posibles amenazas y vulnerabilidades. Cuando se detecta una amenaza o vulnerabilidad, el equipo de Operaciones de seguridad recibe un informe de inmediato.
Clasificación	El equipo de operaciones de seguridad clasifica cada incidente para determinar la gravedad de la amenaza y la respuesta adecuada.
Contención	El equipo de operaciones de seguridad toma medidas para contener la amenaza y evitar que se propague.
Investigación	El equipo de operaciones de seguridad investiga el incidente para determinar la causa raíz y detectar cualquier debilidad en nuestra postura de seguridad.
Respuesta	El equipo de operaciones de seguridad toma medidas para responder al incidente y mitigar los daños que se hayan causado.
Recuperación	El equipo de operaciones de seguridad toma medidas para recuperarse del incidente y restablecer nuestros sistemas y redes a su estado normal.

Administración de vulnerabilidades

GDC ejecuta varios procesos de identificación de vulnerabilidades en el entorno de preproducción antes de cualquier lanzamiento para mantenerse al tanto de las posibles vulnerabilidades y exposiciones comunes (CVE). GDC también proporciona análisis de vulnerabilidades en el entorno de producción para fines de supervisión y generación de informes de rutina. Todos los hallazgos en el entorno de producción se integran en los procesos de Operaciones de seguridad para realizar un seguimiento y mitigar las amenazas.

Respuesta ante incidentes de seguridad

Cuando se descubren vulnerabilidades en el código implementado en el GDC o se produce un incidente dentro del sistema, el IO y el equipo de seguridad del GDC ejecutan un conjunto de procesos de respuesta ante incidentes para mitigar los problemas, crear y aplicar parches de seguridad, y comunicarse con las partes afectadas. Este proceso de administración de incidentes es similar al proceso estándar de Google, pero con modificaciones para tener en cuenta la naturaleza desconectada de GDC.

Para cada CVE o incidente descubierto, se asigna un comandante de incidentes (IC) para ejecutar el proceso de respuesta. El IC es responsable de administrar el proceso, lo que incluye verificar y validar el incidente, asignar a la vulnerabilidad una puntuación del Sistema Común de Puntuación de Vulnerabilidades (CVSS), administrar el proceso de creación y preparación de un parche para su entrega, y crear las comunicaciones adecuadas.

Operaciones de confiabilidad

En esta sección, se proporciona una descripción general de las operaciones de confiabilidad de GDC.

Registra y supervisa

GDC incluye una plataforma de Observabilidad que proporciona funciones de supervisión, registro, seguimiento y generación de informes para la plataforma, los servicios y las cargas de trabajo de GDC.

El subsistema de registro transfiere y agrega registros de todas las plataformas y servicios principales de GDC, y de las cargas de trabajo de los clientes, a una base de datos de series temporales, y pone esos datos a disposición a través de una interfaz de usuario (IU) interactiva y de APIs.

Los eventos críticos del registro de auditoría incluyen las siguientes áreas:

Solicitudes de autenticación y autorización de usuarios
Generación y revocación de tokens de autenticación
Todos los accesos y cambios administrativos
Todas las acciones de la API del plano de control.
Todos los eventos de seguridad, incluidos IDS, IPS, firewall y antivirus.

Acceso de emergencia

La IO no tiene acceso a los datos del cliente. Sin embargo, en situaciones de emergencia, es posible que el IO necesite acceder a los datos del cliente. En esos casos, GDC tiene un conjunto de procedimientos de acceso de emergencia que un PA usa para otorgar acceso explícitamente al IO para solucionar problemas.

Todas las credenciales de breakglass se almacenan sin conexión en una caja fuerte o se encriptan con claves basadas en el HSM. El acceso a estas credenciales es un evento auditable que puede activar alertas.

Por ejemplo, en un caso en el que la configuración de IAM se dañó y evita el acceso del usuario, el IO usa una autenticación basada en certificados SSH a través de estaciones de trabajo seguras y requiere la aprobación de varias partes para establecer el acceso. Todas las acciones realizadas se registran y se pueden auditar. Las claves SSH cambian después de un incidente de acceso de emergencia.

Recuperación ante desastres

GDC incluye un sistema de copias de seguridad que permite a los PA crear y administrar políticas de copias de seguridad para clústeres, espacios de nombres o VMs. El sistema de copias de seguridad contiene los sistemas típicos para programar, ejecutar copias de seguridad, restablecer datos y generar informes.

Actualización del sistema

Dado que GDC es un entorno aislado, el operador de infraestructura procesa todas las actualizaciones de los sistemas del cliente. Google firma y publica actualizaciones binarias en una ubicación segura para que el IO las descargue. El IO valida los archivos binarios y los mueve al GDC para su distribución y su implementación.

Este sistema incluye todas las actualizaciones de software y firmware, incluidas las actualizaciones del software de GDC, el SO a nivel del nodo, las definiciones y firmas de antivirus y software malicioso, el dispositivo de almacenamiento y red, las actualizaciones de dispositivos y cualquier otra actualización binaria.

Administración de cambios: infraestructura como código

GDC usa la infraestructura como código (IaC) para automatizar el aprovisionamiento y la implementación de las configuraciones de GDC. La IAC separa las responsabilidades entre el equipo de operaciones de infraestructura. Por ejemplo, proponer un cambio de configuración en lugar de autorizarlo, para que todo el proceso sea más seguro. Con la IAC de GDC, todos los cambios de configuración se validan a través de procesos de aprobación y revisión de varias partes para garantizar que solo se implementen las configuraciones autorizadas. Estas revisiones crean un proceso transparente y auditable, mejoran la coherencia de los cambios y reducen la desviación de la configuración.

Procesos de cumplimiento

GDC está listo para el cumplimiento de regímenes comunes, como NIST 800-53 y SOC 2, y certificaciones de ayuda, como FIPS 140-2 y 3. GDC también pasa por varios procesos de certificación y cumple con los estándares de seguridad de nivel de Google. El cumplimiento es un proceso continuo. Para ayudar a los clientes y operadores en este recorrido, GDC proporciona supervisión y pruebas continuas. Como parte de las prácticas de seguridad para el proceso de supervisión continua, GDC hace un seguimiento de los cambios en el inventario, como software y hardware desconocidos, o la incorporación de software o hardware nuevos. El GDC realiza pruebas de penetración periódicas simulando ataques de actores maliciosos. GDC analiza periódicamente los sistemas en busca de software malicioso y alerta a GDC sobre cualquier infección. El proceso de prueba de recuperación ante desastres evalúa la capacidad de GDC para recuperarse de una situación que involucre un desastre. Estos procesos garantizan la seguridad de los datos y los sistemas de GDC.

Seguridad Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.