Este documento fornece uma arquitetura de alto nível para proteger conjuntos de dados massivos que contêm dados sensíveis, incluindo informações de identificação pessoal (PII), no Google Cloud. A arquitetura foi projetada para ajudar a proteger dados sensíveis contra exposição acidental e exfiltração maliciosa. Ele é destinado a encarregados de conformidade com a legislação de proteção de dados e engenheiros de segurança na nuvem que conhecem os conceitos básicos de rede e identidade na nuvem. A arquitetura destaca o uso de perímetros de rede que substituem explicitamente as configurações permissivas do Identity and Access Management (IAM) para evitar o acesso público não autorizado, mesmo quando os recursos estão mal configurados.
A seção Implantação deste documento fornece um exemplo de código do Terraform para autoimplantação desse perímetro e simulação de um bloqueio de acesso público.
Arquitetura
O diagrama de arquitetura a seguir ilustra uma estratégia robusta e multicamadas de proteção de dados no Google Cloud. Ele mostra como os dados passam de um estado não estruturado para um ambiente seguro e controlado.
O diagrama anterior mostra como cada serviço do Google oferece segurança para os dados, desde o upload inicial até o acesso aos dados:
- Um usuário com as permissões adequadas do IAM faz upload de dados para o serviço de armazenamento de dados do BigQuery ou do Cloud Storage. Os serviços de armazenamento são configurados para usar chaves de criptografia gerenciadas pelo cliente (CMEK) e a chave automática do Cloud KMS.
- O serviço criptografa os dados usando uma CMEK buscada no Autokey do Cloud KMS.
- A Proteção de Dados Sensíveis inspeciona, classifica e desidentifica continuamente os dados sensíveis no repositório. Para desidentificar dados sensíveis, a Proteção de Dados Sensíveis mascara os dados usando modelos e opções que você configura.
- Os serviços de armazenamento estão dentro de um perímetro do VPC Service Controls, que bloqueia o acesso aos dados de fora do perímetro. Para conceder permissão de acesso a usuários e sistemas designados (principais do IAM), use um modelo de nível de acesso do Access Context Manager. Os principais designados podem acessar os dados dentro do perímetro.
- O VPC Service Controls nega o acesso a qualquer pessoa que não esteja especificada no modelo de nível de acesso.
Produtos usados
- VPC Service Controls: uma funcionalidade de rede gerenciada que minimiza os riscos de exfiltração de dados para seus recursos do Google Cloud .
- Proteção de Dados Sensíveis: um serviço totalmente gerenciado projetado para ajudar você a descobrir, classificar e proteger seus recursos de dados valiosos, incluindo informações de identificação pessoal (PII).
- Cloud Key Management Service (Cloud KMS): um serviço que permite criar, importar e gerenciar chaves criptográficas e realizar operações criptográficas em um único serviço de nuvem centralizado.
- Access Context Manager: um serviço que permite definir políticas de controle de acesso refinadas e baseadas em atributos para seus projetos e recursos no Google Cloud.
- BigQuery: um data warehouse corporativo que ajuda a gerenciar e analisar seus dados com recursos integrados, como aprendizado de máquina, análise geoespacial e business intelligence.
- Cloud Storage: um armazenamento de objetos de baixo custo e sem limite para diversos tipos de dados. Os dados podem ser acessados de dentro e fora Google Cloude são replicados entre locais para redundância.
Casos de uso
Essa arquitetura oferece uma estrutura de segurança robusta para processar dados sensíveis em Google Cloud. Ele se concentra na proteção de dados, no controle de acesso e na prevenção de exfiltração. A arquitetura ajuda a estabelecer um ambiente seguro para dados sensíveis combinando criptografia forte com desidentificação automática de dados e controles de perímetro de rede. Essa implementação ajuda a garantir que os dados sejam criptografados com chaves controladas pelo cliente (CMEKs), que as informações sensíveis sejam detectadas e mascaradas automaticamente e que o acesso seja estritamente limitado e gerenciado de acordo com o contexto. Essas medidas ajudam a reduzir significativamente os riscos de exfiltração de dados.
Confira a seguir exemplos de casos de uso para a arquitetura descrita neste documento:
- Setores regulamentados (finanças, saúde, setor público): setores altamente regulamentados exigem estruturas de segurança que ajudam a alcançar conformidade e segurança de dados. Para alcançar a conformidade e proteger dados do cliente sensíveis, é fundamental garantir que os dados estejam seguros em repouso, que os dados sensíveis sejam descobertos e que os controles de acesso estejam em vigor. Recomendamos que setores regulamentados implementem esse design para ajudar a alcançar a conformidade com os dados.
- Setores não regulamentados: setores que não estão sujeitos a regulamentações de dados podem se beneficiar da implementação de uma estrutura de segurança robusta. É importante evitar a exposição de dados sensíveis, armazenar dados com segurança e ter políticas que controlem o acesso a eles. A arquitetura neste documento pode ajudar um setor não regulamentado a alcançar o mesmo nível de segurança de um setor altamente regulamentado. Recomendamos que setores não regulamentados implementem esse design como uma prática recomendada.
Considerações sobre o design
- Para analisar violações de registros e evitar bloqueios acidentais de cargas de trabalho de produção, sempre implemente o VPC Service Controls primeiro no modo de teste.
- Para garantir que redes corporativas confiáveis e dispositivos administrativos possam interagir com recursos protegidos, defina políticas e níveis precisos do Access Context Manager.
Para identificar de forma rápida e econômica onde os dados sensíveis podem estar, execute a Proteção de Dados Sensíveis com a amostragem ativada em grandes conjuntos de dados. Para saber mais, acesse os recursos a seguir:
Para garantir uma proteção abrangente nesses conjuntos de dados, execute uma verificação completa depois de inspecionar os dados com amostragem. Para mais informações, consulte Visão geral da descoberta de dados sensíveis.
Para garantir a aplicação automática da criptografia, antes de criar recursos, ative o Autokey do Cloud KMS no nível da pasta ou do projeto.
Implantação
Para implantar uma implementação de amostra dessa arquitetura, use o exemplo de código de segurança de dados disponível no GitHub.
A seguir
- Para ganhar experiência com o Autokey do Cloud KMS, consulte o codelab Criptografar recursos usando o Autokey do Cloud KMS.
- Saiba como usar o VPC Service Controls com o Access Context Manager.
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Manish Gaur | Arquiteto de segurança
- James Meyer | Arquiteto de segurança
Outros colaboradores:
- Osvaldo Costa | Engenheiro de clientes especialista em rede
- Susan Wu | Gerente de produtos de saída
- Mark Schlagenhauf | Redator técnico, Rede
- Biodun Awojobi | Head of Customer Engineering, Security and Compliance