Lineamientos de protección de datos

Los siguientes lineamientos para la plataforma de seguridad viable mínima se alinean con el pilar de protección de datos.

Lineamientos de nivel básico

Primero, implementa los siguientes lineamientos de protección de datos.

Elemento

Usar el acceso uniforme a nivel de bucket

Descripción

La restricción booleana storage.uniformBucketLevelAccess requiere que los buckets usen el acceso uniforme a nivel de bucket. El acceso uniforme a nivel de bucket te permite usar solo los permisos de Identity and Access Management (IAM) a nivel de bucket para otorgar acceso a tus recursos de Cloud Storage.

Usar dos sistemas diferentes y en conflicto para administrar los permisos en los buckets de almacenamiento es complejo y una causa común de filtraciones de datos accidentales. Esta configuración desactiva el sistema heredado (listas de control de acceso o ACL) y convierte el sistema moderno y centralizado (IAM) en la única fuente de información para todos los permisos.

Información relacionada
ID de artículo MVSP-CO-1.42
Asignación

Controles relacionados de NIST-800-53:

  • AC-3
  • AC-17
  • AC-20

Controles relacionados del perfil de CRI:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Control de Administrador de cumplimiento:

Elemento

Restringe las direcciones IP públicas de Cloud SQL

Descripción

Para evitar que Cloud SQL tenga una dirección IP pública y esté expuesta directamente a Internet, establece la restricción de políticas de la organización constraints/sql.restrictPublicIp. Por lo general, las bases de datos no están expuestas directamente a Internet.

Impedir las direcciones IP públicas ayuda a evitar que tus bases de datos obtengan direcciones IP públicas, lo que garantiza que sean privadas y solo accesibles desde aplicaciones internas de confianza.

Información relacionada
ID de artículo MVSP-CO-1.45
Asignación

Controles relacionados de NIST-800-53:

  • SC-7

Controles relacionados del perfil de CRI:

  • PR.AC-3.1

Control de Administrador de cumplimiento:

Lineamientos de nivel intermedio

Después de implementar los lineamientos básicos, implementa los siguientes lineamientos de protección de datos.

Elemento

Bloquea el acceso público a los buckets de Cloud Storage

Descripción

La restricción booleana storage.publicAccessPrevention impide que se acceda a los buckets de almacenamiento desde fuentes públicas sin autenticación. Inhabilita y bloquea las listas de control de acceso (ACL) y los permisos de Identity and Access Management (IAM) que otorgan acceso a allUsers y allAuthenticatedUsers. Esta restricción actúa como una red de seguridad en toda la organización que bloquea de forma activa cualquier configuración que haga que un bucket sea accesible de forma pública.

Información relacionada
ID de artículo MVSP-CO-1-43
Asignación

Controles relacionados de NIST-800-53:

  • AC-3
  • AC-17
  • AC-20

Controles relacionados del perfil de CRI:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

Control de Administrador de cumplimiento:

Elemento

Asegúrate de que los conjuntos de datos de BigQuery no sean legibles de forma pública ni estén configurados en allAuthenticatedUsers

Descripción

Asegúrate de que BigQuery no tenga conjuntos de datos abiertos al acceso público, a menos que estén destinados a ser públicos. Los conjuntos de datos en BigQuery suelen contener datos sensibles.

Restringe el acceso a la información de un conjunto de datos de BigQuery solo a usuarios específicos. Para configurar esta protección, debes configurar roles detallados.

Revisar el acceso al conjunto de datos te ayuda a asegurarte de no exponer datos a Internet de forma involuntaria.

Información relacionada
ID de artículo MVSP-CO-1.46
Asignación

Controles relacionados de NIST-800-53:

  • AC-3
  • AC-12
  • AC-17
  • AC-20

Controles relacionados del perfil de CRI:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1

Control de Administrador de cumplimiento:

Lineamientos de nivel avanzado

Después de implementar los lineamientos intermedios, implementa los siguientes lineamientos de protección de datos.

Elemento

Crea una estrategia de encriptación administrada

Descripción

Crea una estrategia de administración de encriptación con Cloud Key Management Service (Cloud KMS) con Autokey, Cloud External Key Manager (Cloud EKM) o ambos. Esta estrategia permite que tu organización use y administre sus propias claves de encriptación para satisfacer tus requisitos específicos. Usar tus propias claves de encriptación proporciona un control detallado y auditable sobre el acceso a los datos, incluida la capacidad de bloquear de inmediato el acceso a los datos inhabilitando la clave.

Información relacionada
ID de artículo MVSP-CO-1.44
Asignación

Controles relacionados de NIST-800-53:

  • SC-12

Controles relacionados del perfil de CRI:

  • PR.DS-1.1

¿Qué sigue?