Este documento fornece uma arquitetura de alto nível para proteger conjuntos de dados enormes que contêm dados sensíveis, incluindo informações de identificação pessoal (PII), em Google Cloud. A arquitetura foi projetada para ajudar a proteger dados sensíveis contra exposição acidental e exfiltração maliciosa. Ela é destinada a oficiais de conformidade de dados e engenheiros de segurança de nuvem que estão familiarizados com os conceitos básicos de rede e identidade de nuvem. A arquitetura destaca o uso de perímetros de rede que substituem explicitamente as configurações permissivas do Identity and Access Management (IAM) para impedir o acesso público não autorizado, mesmo quando os recursos estão mal configurados.
A seção de implantação deste documento fornece um exemplo de código do Terraform para autoimplantar esse perímetro e simular um bloco de acesso público.
Arquitetura
O diagrama de arquitetura a seguir ilustra uma estratégia de proteção de dados robusta e multicamadas em Google Cloud. Ele mostra de maneira eficaz como os dados passam de um estado não estruturado para um ambiente seguro e controlado.
O diagrama anterior mostra como cada serviço do Google oferece segurança para os dados desde o upload inicial até o acesso aos dados:
- Um usuário com as permissões de IAM adequadas faz o upload de dados para o serviço de armazenamento de dados do BigQuery ou do Cloud Storage. Os serviços de armazenamento são configurados para usar chaves de criptografia gerenciadas pelo cliente (CMEK) e o Autokey do Cloud KMS.
- O serviço criptografa os dados usando uma CMEK buscada no Autokey do Cloud KMS.
- A Proteção de Dados Sensíveis inspeciona, classifica e desidentifica continuamente dados sensíveis no repositório. Para desidentificar dados sensíveis, a Proteção de Dados Sensíveis mascara os dados usando modelos e opções configurados.
- Os serviços de armazenamento estão dentro de um perímetro do VPC Service Controls, que bloqueia o acesso aos dados de fora do perímetro. Para conceder permissão de acesso a usuários e sistemas designados (principais do IAM ), use um modelo de nível de acesso do Access Context Manager. Os principais designados podem acessar dados que estão dentro do perímetro.
- O VPC Service Controls nega o acesso a qualquer pessoa que não esteja especificada no modelo de nível de acesso.
Produtos usados
- VPC Service Controls: uma funcionalidade de rede gerenciada que minimiza os riscos de exfiltração de dados para seus Google Cloud recursos.
- Proteção de Dados Sensíveis: um serviço totalmente gerenciado criado para ajudar a descobrir, classificar e proteger seus recursos de dados valiosos, incluindo informações de identificação pessoal (PII).
- Cloud Key Management Service (Cloud KMS): um serviço que permite criar, importar, e gerenciar chaves criptográficas e realizar operações criptográficas em um único serviço de nuvem centralizado.
- Access Context Manager: um serviço que permite definir políticas de controle de acesso detalhadas e baseadas em atributos para seus projetos e recursos em Google Cloud.
- BigQuery: um data warehouse corporativo que ajuda a gerenciar e analisar seus dados com recursos integrados, como análise geoespacial de machine learning e Business Intelligence.
- Cloud Storage: um repositório de objetos de baixo custo e sem limite para diversos tipos de dados. Os dados podem ser acessados de dentro e de fora Google Cloud, e são replicados entre locais para redundância.
Casos de uso
Essa arquitetura fornece uma estrutura de segurança robusta para processar dados sensíveis em Google Cloud. Ela se concentra na proteção de dados, no controle de acesso e na prevenção de exfiltração. A arquitetura ajuda a estabelecer um ambiente seguro para dados sensíveis combinando criptografia forte com desidentificação automatizada de dados e controles de perímetro de rede. Essa implementação ajuda a garantir que os dados sejam criptografados com chaves controladas pelo cliente (CMEKs), que as informações sensíveis sejam detectadas e mascaradas automaticamente e que o acesso seja estritamente confinado e gerenciado contextualmente. Essas medidas ajudam a reduzir significativamente os riscos de exfiltração de dados.
A seguir, mostramos exemplos de casos de uso da arquitetura descrita neste documento:
- Setores regulamentados (finanças, saúde, setor público): setores altamente regulamentados exigem estruturas de segurança que ajudem a alcançar a conformidade e a segurança de dados. Para alcançar a conformidade e proteger dados do cliente sensíveis, é fundamental garantir que os dados sejam protegidos em repouso, que os dados sensíveis sejam descobertos e que os controles de acesso estejam em vigor. Recomendamos que os setores regulamentados implementem esse design para ajudar a alcançar a conformidade de dados.
- Setores não regulamentados: setores que não estão sujeitos a regulamentações de dados podem se beneficiar da implementação de uma estrutura de segurança robusta. É importante evitar a exposição de dados sensíveis, armazenar dados com segurança e ter políticas em vigor que controlem o acesso aos dados. A arquitetura neste documento pode ajudar um setor não regulamentado a alcançar o mesmo nível de segurança que um setor altamente regulamentado. Recomendamos que os setores não regulamentados implementem esse design como uma prática recomendada.
Considerações sobre o design
- Para analisar violações de registros e evitar bloqueios acidentais de cargas de trabalho de produção, sempre implemente o VPC Service Controls no modo de teste primeiro.
- Para garantir que redes corporativas confiáveis e dispositivos administrativos possam interagir com recursos protegidos, defina políticas e níveis precisos do Access Context Manager.
Para identificar de maneira rápida e econômica onde os dados sensíveis podem residir, execute a Proteção de Dados Sensíveis com a amostragem ativada em conjuntos de dados grandes. Para saber mais, acesse os recursos a seguir:
Para garantir a proteção abrangente desses conjuntos de dados, execute uma verificação abrangente depois de inspecionar os dados com amostragem. Para mais informações, consulte Visão geral da descoberta de dados sensíveis.
Para ajudar a garantir a aplicação automatizada da criptografia, antes de criar recursos, ative o Autokey do Cloud KMS em nível de pasta ou projeto.
Implantação
Para implantar uma implementação de amostra dessa arquitetura, use o exemplo de código de segurança de dados disponível no GitHub.
A seguir
- Para ganhar experiência com o Autokey do Cloud KMS, consulte o codelab Criptografar recursos facilmente com o Autokey do Cloud KMS.
- Saiba como usar o VPC Service Controls com o Access Context Manager.
- Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.
Colaboradores
Autores:
- Manish Gaur | Arquiteto de segurança
- James Meyer | Arquiteto de segurança
Outros colaboradores:
- Osvaldo Costa | Engenheiro de clientes especialista em rede
- Susan Wu | Gerente de produtos de saída
- Mark Schlagenhauf | Redator técnico, Rede
- Biodun Awojobi | Head de engenharia de clientes, segurança e conformidade