O pilar de segurança, privacidade e compliance no Google Cloud Well-Architected Framework fornece recomendações para ajudar você a projetar, implantar e operar cargas de trabalho na nuvem que atendam aos requisitos de segurança, privacidade e compliance.
Este documento foi criado para oferecer insights valiosos e atender às necessidades de vários profissionais e engenheiros de segurança. A tabela a seguir descreve os públicos-alvo deste documento:
| Público-alvo | O que este documento oferece |
|---|---|
| Diretores de segurança da informação (CISOs), líderes de unidades de negócios e gerentes de TI | Um framework geral para estabelecer e manter a excelência em segurança na nuvem e garantir uma visão abrangente das áreas de segurança para tomar decisões informadas sobre investimentos em segurança. |
| Arquitetos e engenheiros de segurança | Práticas de segurança importantes para as fases de design e operacional, que ajudam a garantir que as soluções sejam projetadas para segurança, eficiência e escalonabilidade. |
| Equipes de DevSecOps | Orientações para incorporar controles de segurança abrangentes para planejar a automação que permite uma infraestrutura segura e confiável. |
| Diretores de compliance e gerentes de risco | Recomendações de segurança importantes para seguir uma abordagem estruturada ao gerenciamento de riscos com proteções que ajudam a atender às obrigações de compliance. |
Para garantir que suas Google Cloud cargas de trabalho atendam aos requisitos de segurança, privacidade, e compliance, todos os stakeholders da sua organização precisam adotar uma abordagem colaborativa. Além disso, você precisa reconhecer que a segurança na nuvem é uma responsabilidade compartilhada entre você e o Google. Para mais informações, consulte Responsabilidades compartilhadas e destino compartilhado em Google Cloud.
As recomendações neste pilar são agrupadas em princípios de segurança básicos. Cada recomendação baseada em princípios é mapeada para uma ou mais das áreas de foco da segurança na nuvem que podem ser essenciais para sua organização. Cada recomendação destaca orientações sobre o uso e a configuração de Google Cloud produtos e recursos para ajudar a melhorar a postura de segurança da sua organização.
Princípios básicos
As recomendações neste pilar são agrupadas nos seguintes princípios básicos de segurança. Cada princípio neste pilar é importante. Dependendo dos requisitos da sua organização e carga de trabalho, você pode priorizar determinados princípios.
- Implementar a segurança por design: integre considerações de segurança de rede e na nuvem desde a fase inicial de design dos aplicativos e da infraestrutura. Google Cloud oferece projetos de arquitetura e recomendações para ajudar você a aplicar esse princípio.
- Implementar a confiança zero: use uma abordagem de nunca confie, sempre verifique, em que o acesso aos recursos é concedido com base na verificação contínua da confiança. Google Cloud oferece suporte a esse princípio por meio de produtos como o Chrome Enterprise Premium e o Identity-Aware Proxy (IAP).
- Implementar a segurança de deslocamento para a esquerda: Implemente controles de segurança no início do ciclo de vida de desenvolvimento de software. Evite defeitos de segurança antes que as mudanças no sistema sejam feitas. Detecte e corrija bugs de segurança de forma rápida e confiável após a confirmação das mudanças no sistema. Google Cloud oferece suporte a esse princípio por meio de produtos como o Cloud Build, a Autorização binária e o Artifact Registry.
- Implementar a defesa cibernética preventiva: adote uma abordagem proativa à segurança implementando medidas fundamentais robustas , como a inteligência contra ameaças. Essa abordagem ajuda a criar uma base para uma detecção e resposta a ameaças mais eficazes. A abordagem doGoogle Cloud's para controles de segurança em camadas está alinhada a esse princípio.
- Usar a IA de forma segura e responsável: desenvolva e implante sistemas de IA de maneira responsável e segura. As recomendações para esse princípio estão alinhadas às orientações na perspectiva de IA e ML do Well-Architected Framework e no framework de IA segura (SAIF) do Google.
- Usar a IA para segurança: use os recursos de IA para melhorar os sistemas e processos de segurança atuais com o Gemini in Security e os recursos gerais de segurança da plataforma. Use a IA como uma ferramenta para aumentar a automação do trabalho de correção e garantir a higiene de segurança para tornar outros sistemas mais seguros.
- Atender às necessidades regulatórias, de compliance e de privacidade: siga regulamentações específicas do setor, padrões de compliance e requisitos de privacidade. Google Cloud ajuda você a atender a essas obrigações por meio de produtos como o Assured Workloads, o Organization Policy Service e nossa Central de recursos de compliance.
Mentalidade de segurança organizacional
Uma mentalidade organizacional focada em segurança é essencial para a adoção e operação bem-sucedidas da nuvem. Essa mentalidade precisa estar profundamente enraizada na cultura da sua organização e refletida nas práticas dela, que são orientadas por princípios de segurança básicos, conforme descrito anteriormente.
Uma mentalidade de segurança organizacional enfatiza que você pensa em segurança durante o design do sistema, assume confiança zero e integra recursos de segurança em todo o processo de desenvolvimento. Nessa mentalidade, você também pensa proativamente em medidas de defesa cibernética, usa a IA de forma segura e para segurança e considera os requisitos regulatórios, de privacidade e de compliance. Ao adotar esses princípios, sua organização pode cultivar uma cultura de segurança em primeiro lugar que aborda ameaças de forma proativa, protege ativos valiosos e ajuda a garantir o uso responsável da tecnologia.
Áreas de foco da segurança na nuvem
Esta seção descreve as áreas em que você precisa se concentrar ao planejar, implementar e gerenciar a segurança dos aplicativos, sistemas e dados. As recomendações em cada princípio deste pilar são relevantes para uma ou mais dessas áreas de foco. No restante deste documento, as recomendações especificam as áreas de foco de segurança correspondentes para fornecer mais clareza e contexto.
| Área de foco | Atividades e componentes | Produtos, recursos e soluções relacionados Google Cloud |
|---|---|---|
| Segurança da infraestrutura |
|
|
| Gerenciamento de identidade e acesso |
|
|
| Segurança de dados |
|
|
| Segurança de IA e ML |
|
|
| Operações de segurança (SecOps) |
|
|
| Segurança para aplicativos |
|
|
| Governança, risco e compliance na nuvem |
|
|
| Geração de registros, auditoria e monitoramento |
|
Colaboradores
Autores:
- Wade Holmes | Diretor de soluções globais
- Hector Diaz | Arquiteto de segurança na nuvem
- Carlos Leonardo Rosario | Especialista em segurança do Google Cloud
- John Bacon | Arquiteto de soluções de parceiros
- Sachin Kalra | Gerente de soluções de segurança global
Outros colaboradores:
- Anton Chuvakin | Consultor de segurança, escritório do CISO
- Daniel Lees | Arquiteto de segurança na nuvem
- Filipe Gracio, PhD | Engenheiro de clientes, especialista em IA/ML
- Gary Harmson | Arquiteto principal
- Gino Pelliccia | Arquiteto principal
- Jose Andrade | Engenheiro de clientes, especialista em SRE
- Kumar Dhanagopal | Desenvolvedor de soluções para vários produtos
- Laura Hyatt | Engenheiro de clientes, FSI
- Marwan Al Shawi | Engenheiro de clientes do parceiro
- Nicolas Pintaux | Engenheiro de clientes, especialista em modernização de aplicativos
- Noah McDonald | Consultor de segurança na nuvem
- Osvaldo Costa | Engenheiro de clientes especialista em rede
- Radhika Kanakam | Líder de programas, Google Cloud Well-Architected Framework
- Samantha He | Redatora técnica
- Susan Wu | Gerente de produtos de saída