Seguridad del agente remoto

En este documento, se describe cómo Google Security Operations protege la comunicación entre sus componentes, en particular, los agentes y el servicio de Publisher. El sistema emplea un enfoque de varias capas que utiliza encriptación, firmas digitales y comunicación unidireccional para garantizar la integridad y la confidencialidad de los datos.

Medidas de seguridad de alto nivel

A continuación, se describe el flujo de las medidas de seguridad:

• Comunicación encriptada: Todos los datos se encriptan en tránsito entre Google SecOps, el publicador y los agentes.
• Autenticación de agentes: El publicador mantiene una lista de entidades permitidas estricta de los agentes que están autorizados para comunicarse con él. Cada agente tiene una clave de aplicación única para la autenticación. Se bloquea la comunicación de los agentes no autorizados.
• Firmas digitales: Todos los datos que se envían desde el agente están firmados digitalmente. Esta firma garantiza la integridad y autenticidad de los datos, y garantiza que no se hayan manipulado durante el tránsito.
• Comunicación unidireccional: La comunicación es unidireccional y la inician los agentes o el servidor de SecOps de Google. Ni el servidor ni los agentes tienen puertos de entrada abiertos. El publicador no puede iniciar una conexión con ellos, a menos que se haya realizado una sondeo.
• Borrado de datos: Todos los datos se borran automáticamente del Publicador después de un período configurable, que se establece en tres días de forma predeterminada.
• Pruebas de penetración: Se prueban todos los datos del publicador y del agente.

Flujo de intercambio de datos

En los siguientes pasos, se describe el proceso integral para que un agente recopile y entregue datos:

1. El servidor de Google SecOps publica tareas remotas y las envía al publicador.
2. El agente sondea nuevas tareas y las recopila del publicador.
3. El agente ejecuta la nueva tarea, recopila los datos solicitados y los envía de vuelta al publicador.
4. El servidor de SecOps de Google sondea al Publicador para obtener datos nuevos y los extrae al servidor.

Flujo de encriptación

La comunicación emplea un modelo de encriptación híbrido para garantizar el intercambio seguro de datos:

• Se genera una clave simétrica única para cada trabajo.
• Las Operaciones de seguridad de Google usan la clave pública aprovisionada previamente del agente para encriptar la clave simétrica.
• El agente recibe la clave encriptada y usa su clave privada correspondiente para desencriptarla.
• Luego, el agente usa esta clave simétrica desencriptada para la encriptación masiva de los datos del trabajo.
• El publicador solo controla datos encriptados y no tiene acceso a ninguna clave de encriptación.

Sondeo de trabajos

• El agente remoto sondea cada cinco segundos para verificar si hay trabajos pendientes.
• Una vez que se completa un trabajo, sus detalles se quitan del sistema.