Entornos de datos seguros en Google Cloud

En este documento, se proporciona una arquitectura de alto nivel para proteger conjuntos de datos masivos que contienen datos sensibles, incluida la información de identificación personal (PII), en Google Cloud. La arquitectura está diseñada para ayudar a proteger los datos sensibles contra la exposición accidental y la filtración maliciosa. Está dirigido a los oficiales de cumplimiento de datos y a los ingenieros de seguridad en la nube que conocen los conceptos básicos de las redes en la nube y la identidad. La arquitectura destaca el uso de perímetros de red que anulan de forma explícita la configuración permisiva de Identity and Access Management (IAM) para evitar el acceso público no autorizado, incluso cuando los recursos están mal configurados.

En la sección Implementación de este documento, se proporciona un ejemplo de código de Terraform para implementar este perímetro por tu cuenta y simular un bloqueo de acceso público.

Arquitectura

En el siguiente diagrama de arquitectura, se ilustra una estrategia de protección de datos sólida y de varias capas en Google Cloud. Muestra de manera eficaz cómo los datos pasan de un estado no estructurado a un entorno seguro y controlado.

En el diagrama anterior, se muestra cómo cada servicio de Google proporciona seguridad para los datos, desde la carga inicial hasta el acceso a los datos:

1. Un usuario con los permisos de IAM adecuados sube datos al servicio de almacenamiento de datos de BigQuery o Cloud Storage. Los servicios de almacenamiento están configurados para usar claves de encriptación administradas por el cliente (CMEK) y Autokey de Cloud KMS.
2. El servicio encripta los datos con una CMEK que se recupera de Autokey de Cloud KMS.
3. Sensitive Data Protection inspecciona, clasifica y desidentifica continuamente los datos sensibles en el repositorio. Para desidentificar datos sensibles, Sensitive Data Protection los enmascara con plantillas y opciones que configuras.
4. Los servicios de almacenamiento se encuentran dentro de un perímetro de Controles del servicio de VPC, lo que bloquea el acceso a los datos desde fuera del perímetro. Para otorgar permiso de acceso a usuarios y sistemas designados (entidades de IAM), debes usar una plantilla de nivel de acceso de Access Context Manager. Luego, las principales designadas pueden acceder a los datos que se encuentran dentro del perímetro.
5. Los Controles del servicio de VPC deniegan el acceso a cualquier persona que no se especifique en la plantilla del nivel de acceso.

Productos usados

• Controles del servicio de VPC: Es una función de redes administrada que minimiza los riesgos de robo de datos para tus recursos de Google Cloud .
• Sensitive Data Protection: Es un servicio completamente administrado diseñado para ayudarte a descubrir, clasificar y proteger tus recursos de datos valiosos, incluida la información de identificación personal (PII).
• Cloud Key Management Service (Cloud KMS): Es un servicio que te permite crear, importar y administrar claves criptográficas, y realizar operaciones criptográficas en un único servicio en la nube centralizado.
• Access Context Manager: Es un servicio que te permite definir políticas de control de acceso detalladas basadas en atributos para tus proyectos y recursos en Google Cloud.
• BigQuery: Un almacén de datos empresarial que te ayuda a administrar y analizar tus datos con funciones integradas como el análisis geoespacial de aprendizaje automático y la inteligencia empresarial.
• Cloud Storage: Un depósito de objetos de bajo costo y sin límites para varios tipos de datos. Se puede acceder a los datos desde y hacia Google Cloud, y estos se replican en las ubicaciones para aumentar la redundancia.

Casos de uso

Esta arquitectura proporciona un marco de seguridad sólido para controlar los datos sensibles en Google Cloud. Se enfoca en la protección de datos, el control de acceso y la prevención del robo de datos. La arquitectura ayuda a establecer un entorno seguro para los datos sensibles, ya que combina una encriptación sólida con controles automatizados de desidentificación de datos y de perímetro de red. Esta implementación ayuda a garantizar que los datos se encripten con claves controladas por el cliente (CMEK), que la información sensible se detecte y se enmascare automáticamente, y que el acceso se limite estrictamente y se administre de forma contextual. Estas medidas ayudan a mitigar de manera significativa los riesgos de robo de datos.

A continuación, se muestran ejemplos de casos de uso para la arquitectura que se describe en este documento:

• Sectores regulados (finanzas, atención médica, sector público): Los sectores muy regulados requieren marcos de seguridad que ayuden a lograr el cumplimiento y la seguridad de los datos. Para lograr el cumplimiento y proteger los datos sensibles de los clientes, es fundamental garantizar que los datos estén protegidos en reposo, que se descubran los datos sensibles y que se implementen controles de acceso. Recomendamos que las industrias reguladas implementen este diseño para ayudar a lograr el cumplimiento de los datos.
• Sectores no regulados: Los sectores que no están sujetos a reglamentaciones de datos pueden beneficiarse de la implementación de un marco de seguridad sólido. Es importante evitar que se expongan los datos sensibles, almacenarlos de forma segura y tener políticas que controlen el acceso a ellos. La arquitectura que se describe en este documento puede ayudar a una industria no regulada a alcanzar el mismo nivel de seguridad que una industria muy regulada. Recomendamos que las industrias no reguladas implementen este diseño como práctica recomendada.

Consideraciones del diseño

• Para analizar los incumplimientos de registros y evitar bloqueos accidentales de cargas de trabajo de producción, siempre implementa primero los Controles del servicio de VPC en el modo de ejecución de prueba.
• Para garantizar que las redes corporativas y los dispositivos administrativos de confianza puedan interactuar con los recursos protegidos, define políticas y niveles de Access Context Manager precisos.

• Para identificar de forma rápida y rentable dónde podrían residir los datos sensibles, ejecuta Sensitive Data Protection con el muestreo habilitado en conjuntos de datos grandes. Para obtener más información, consulta los siguientes recursos:

  • Inspecciona BigQuery en busca de datos sensibles con muestras
  • Inspecciona Cloud Storage con muestras

  Para garantizar una protección integral en esos conjuntos de datos, ejecuta un análisis exhaustivo después de inspeccionar los datos con el muestreo. Para obtener más información, consulta Descripción general del descubrimiento de datos sensibles.

• Para garantizar el cumplimiento automático de la encriptación, antes de crear recursos, habilita Autokey de Cloud KMS a nivel de la carpeta o el proyecto.

Implementación

Para implementar una muestra de esta arquitectura, usa la muestra de código de seguridad de datos disponible en GitHub.

¿Qué sigue?

• Para obtener experiencia con Autokey de Cloud KMS, consulta el codelab Cómo encriptar recursos fácilmente con Autokey de Cloud KMS.
• Obtén información para usar los Controles del servicio de VPC con Access Context Manager.
• Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.

Colaboradores

Autores:

• Manish Gaur | Arquitecto de seguridad
• James Meyer | Arquitecto de seguridad

Otros colaboradores:

• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
• Susan Wu | Gerente de Productos Salientes
• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Biodun Awojobi | Jefe de Ingeniería de Atención al Cliente, Seguridad y Cumplimiento