Información general sobre la residencia de datos

Información general

En esta página se explica cómo usar Cloud SQL para cumplir los requisitos de residencia de datos.

La residencia de datos hace referencia a la ubicación física de los datos y a las normativas locales que rigen cómo se almacenan, cifran y accede a esos datos. A medida que evolucionan las normativas de protección de datos y privacidad de los países, es cada vez más importante que sepas cómo cumplir los requisitos de residencia de datos locales y proteger los datos de tus usuarios.

En un entorno local tradicional, varios componentes se integran y gestionan la residencia de los datos. Por ejemplo, una empresa puede alojar una pasarela de tokenización como un agente de seguridad de acceso a la nube (CASB) para proteger los datos de las aplicaciones antes de que se transmitan al extranjero.

Google Cloud y sus servicios, incluido Cloud SQL, se integran para ayudarte a gestionar la residencia de datos controlando la ubicación de tus datos y el acceso a ellos, ya sea por parte de Google o de cualquier otra persona.

Residencia de datos en la computación en la nube

A continuación, se enumeran algunos problemas de residencia de datos que debes conocer:

  • Si los administradores de la nube de una empresa no conocen la ubicación física de los datos, tampoco conocen las normativas locales. Para poder investigar las políticas de residencia de datos de cada ubicación, los administradores deben saber dónde se encuentran los centros de datos.
  • Los administradores y proveedores de la nube de la empresa pueden usar acuerdos de nivel de servicio para establecer las ubicaciones permitidas. Sin embargo, ¿qué ocurre si tienes que almacenar tus datos en una región que no se ajusta a los términos del ANS?
  • Los usuarios deben asegurarse de que sus datos, así como todos los servicios y recursos que utilicen en sus proyectos en la nube, cumplan las normativas de residencia de datos del país anfitrión.
    • ¿Qué puedes hacer si quieres decidir dónde almacenar tus datos y tus claves de cifrado?
    • ¿Qué ocurre si quieres determinar las ubicaciones desde las que los usuarios pueden acceder a tus datos?

Los servicios deGoogle Cloud , incluido Cloud SQL, solucionan algunos de estos problemas permitiéndote hacer lo siguiente:

  • Define la ubicación de almacenamiento de tus datos. Puedes seleccionar la región al crear la instancia de Cloud SQL o editarla en una instancia que ya tengas.
  • Usa la función de réplica de lectura entre regiones de Cloud SQL para cumplir los estándares de residencia de datos de una región concreta.
  • Controlar las ubicaciones de red en las que los usuarios pueden acceder a los datos, así como el acceso de los administradores de la nube a estos datos.

Cloud SQL puede ayudarte a superar los retos de la residencia de datos en tres áreas:

Datos del almacén

La residencia de los datos implica almacenar información personal identificable (IPI) en una región concreta, donde esos datos se tratan de acuerdo con las normativas de esa región.

Para almacenar datos, debes cumplir los requisitos legales y normativos de un país, como las leyes de localización de datos. Por ejemplo, un país puede exigir que todos los datos relacionados con el Gobierno se almacenen en ese país. O bien, una empresa puede estar obligada por contrato a almacenar datos de algunos de sus clientes en otro país. Por lo tanto, una empresa debe cumplir los requisitos de residencia de datos del país en el que se almacenan los datos.

Con Google Cloud, puedes configurar dónde se almacenan tus datos, incluidas las copias de seguridad. Esto incluye la posibilidad de elegir las regiones en las que almacenas tus datos. Si decides configurar recursos en estas regiones para Cloud SQL, Google almacenará tus datos en reposo únicamente en estas regiones, de acuerdo con nuestros Términos del Servicio específicos. Puedes seleccionar la región al crear tu instancia o editar una instancia que ya tengas.

Para obtener más información sobre las ubicaciones de copia de seguridad, consulta Ubicaciones de copia de seguridad personalizadas.

Puedes usar restricciones de políticas de la organización para aplicar los requisitos de residencia de datos a nivel de organización, proyecto o carpeta. Estas restricciones te permiten definir las Google Cloud ubicaciones en las que los usuarios pueden crear recursos para los servicios admitidos. Para la residencia de datos, puede limitar la ubicación física de un nuevo recurso con la restricción de ubicaciones de recursos. También puedes ajustar las políticas de una restricción para especificar las multirregiones (como asia y europe) o las regiones (como us-east1 o europe-west1) en las que se pueden o no se pueden crear recursos.

Si se produce una interrupción en una Google Cloud región, puedes evitar que afecte a tu instancia usando la función réplica de lectura entre regiones de Cloud SQL. Al crear una réplica de lectura, debes elegir la región de la réplica. Asegúrate de elegir una región que cumpla las normativas de residencia de datos. Por lo tanto, se cumplen los estándares de residencia de datos en la región seleccionada.

Cuando creas la réplica, se crea una copia de tu instancia de base de datos principal que refleja los cambios de la principal casi en tiempo real. Si se produce un error, puedes promover la réplica de lectura a una instancia principal.

Controles de Servicio de VPC te ayuda a aplicar la residencia de datos permitiéndote restringir el uso de las APIs de Cloud SQL para importar y exportar datos mediante la API Admin de Cloud SQL o la API de Cloud Storage. Esta restricción ayuda a asegurar que los datos permanezcan en las ubicaciones de red que hayas seleccionado. Con Controles de Servicio de VPC, puedes crear un perímetro de servicio que defina los límites virtuales desde los que se puede acceder a un servicio, lo que impide que los datos se muevan fuera de esos límites. Puedes aplicar esta restricción aunque el usuario esté autorizado según tu Google Cloud política de gestión de identidades y accesos (IAM).

Cifrar datos

Google Cloud , incluido Cloud SQL, encriptan el contenido de los clientes en reposo y en tránsito mediante varios métodos de encriptado. El cifrado es automático y no requiere ninguna acción por parte del cliente.

Cloud SQL también te permite añadir otra capa de cifrado a los datos mediante claves de cifrado gestionadas por el cliente (CMEK). Las CMEKs están pensadas para organizaciones que tienen datos sensibles o regulados y que necesitan gestionar sus propias claves de cifrado. La función de CMEK te permite usar tus propias claves criptográficas en los datos en reposo de Cloud SQL. Después de añadir CMEK, cada vez que se haga una llamada a la API, Cloud SQL usará tus claves para acceder a los datos.

Si quieres almacenar tu CMEK en las regiones en las que despliegues tus servicios, puedes usar Cloud Key Management Service (Cloud KMS). La ubicación de la clave se define al crearla. También puedes usar Cloud HSM para almacenar esas claves en un módulo de seguridad de hardware (HSM) físico ubicado en la región que elijas.

Otra forma de elegir dónde quieres almacenar tu CMEK es usar un producto de terceros. Para almacenar y gestionar claves en un producto de gestión de claves de terceros que se haya desplegado fuera de la infraestructura de Google, puedes usar Cloud External Key Manager (Cloud EKM).

Acceder a los datos

Con Cloud SQL, puedes controlar qué usuarios pueden acceder a tus datos.

La autenticación de bases de datos de gestión de identidades y accesos (IAM) de Cloud SQL proporciona una única interfaz para ayudarte a monitorizar y gestionar mejor el acceso a las bases de datos de los usuarios y las cuentas de servicio. De esta forma, puede gestionar los datos de sus recursos en la nube de forma centralizada.

Si configuras la autenticación de la base de datos de gestión de identidades y accesos de Cloud SQL, puedes controlar el acceso de los usuarios a tus datos en Cloud SQL definiendo quién tiene acceso a qué. Configura tu instancia de base de datos y, a continuación, concede acceso a usuarios concretos añadiendo usuarios de gestión de identidades y accesos a la instancia. Estos usuarios pueden iniciar sesión en bases de datos de Cloud SQL mediante la autenticación de bases de datos de gestión de identidades y accesos de Cloud SQL.

Para habilitar o inhabilitar servicios para conjuntos de usuarios, puedes combinar restricciones de políticas de la organización mediante configuraciones de políticas de gestión de identidades y accesos. Esta función evita que tus empleados almacenen datos por error en la región Google Cloud incorrecta.

Para controlar el acceso del personal de Asistencia y de Ingeniería de Google, utiliza Aprobación de acceso. Con Aprobación de acceso, puedes requerir que los empleados de Google obtengan tu aprobación explícita antes de acceder a tus datos o configuraciones en Google Cloud (para ver las exclusiones, consulta Exclusiones de Aprobación de acceso).

La función Aprobación de acceso complementa la visibilidad que ofrece Transparencia de acceso, que genera registros de auditoría casi en tiempo real cuando los administradores de Google interactúan con tus datos. Los registros de auditoría incluyen la ubicación de la oficina del administrador y el motivo del acceso. También puede aplicar atributos específicos a los administradores que tengan acceso a sus datos o configuraciones, como su región geográfica y otros atributos relevantes para el cumplimiento.

Key Access Justifications se integra con Cloud KMS y Cloud EKM. Cada vez que se solicita una de tus claves para cifrar o descifrar datos, Justificaciones de Acceso a Claves proporciona una justificación detallada, junto con un mecanismo para que apruebes o rechaces el acceso a la clave mediante una política automatizada que hayas configurado.

Si usas los permisos de gestión de identidades y accesos (IAM), Aprobaciones de acceso, Transparencia de acceso y Justificaciones de acceso a claves con Cloud KMS y Cloud EKM, puedes denegar a Google la capacidad de descifrar tus datos. Por lo tanto, eres quien decide quién puede acceder a tus datos.

Siguientes pasos