Lineamientos de protección de datos

Los siguientes lineamientos para la plataforma de seguridad viable mínima se alinean con el pilar de protección de datos.

Lineamientos del nivel básico

Primero, implementa los siguientes lineamientos de protección de datos.

Elemento	Usar el acceso uniforme a nivel de bucket
Descripción	La restricción booleana `storage.uniformBucketLevelAccess` requiere que los buckets usen el acceso uniforme a nivel de bucket. El acceso uniforme a nivel de bucket te permite usar solo permisos de Identity and Access Management (IAM) a nivel del bucket para otorgar acceso a tus recursos de Cloud Storage. Usar dos sistemas diferentes y en conflicto para administrar los permisos en los buckets de almacenamiento es complejo y una causa común de filtraciones accidentales de datos. Este parámetro de configuración desactiva el sistema heredado (listas de control de acceso o LCA) y convierte el sistema moderno y centralizado (IAM) en la única fuente de información para todos los permisos.
Información relacionada	Exige el acceso uniforme a nivel del bucket
ID de artículo	MVSP-CO-1.42
Asignación	Controles relacionados de NIST-800-53: AC-3 AC-17 AC-20 Controles relacionados del perfil de CRI: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Control del Administrador de cumplimiento: Habilita el acceso uniforme a nivel del bucket en los buckets de Cloud Storage

Elemento	Restringe las direcciones IP públicas de Cloud SQL
Descripción	Configura la restricción de política de la organización `constraints/sql.restrictPublicIp` para evitar que Cloud SQL tenga una dirección IP pública y esté expuesto directamente a Internet. Por lo general, las bases de datos no se exponen directamente a Internet. Impedir el uso de direcciones IP públicas ayuda a evitar que tus bases de datos las obtengan, lo que garantiza que sean privadas y solo se pueda acceder a ellas desde aplicaciones internas de confianza.
Información relacionada	Inhabilita la IP pública para mejorar la seguridad de la instancia Políticas de la organización de conexión
ID de artículo	MVSP-CO-1.45
Asignación	Controles relacionados de NIST-800-53: SC-7 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Cómo bloquear direcciones IP públicas para instancias de Cloud SQL

Después de implementar los lineamientos básicos, implementa los siguientes lineamientos de protección de datos.

Elemento	Bloquea el acceso público a los buckets de Cloud Storage
Descripción	La restricción booleana `storage.publicAccessPrevention` impide que se acceda a los buckets de almacenamiento desde fuentes públicas sin autenticación. Inhabilita y bloquea las listas de control de acceso (LCA) y los permisos de Identity and Access Management (IAM) que otorgan acceso a `allUsers` y `allAuthenticatedUsers`. Esta restricción actúa como una red de seguridad en toda la organización que bloquea de forma activa cualquier parámetro de configuración que haga que un bucket sea accesible de forma pública.
Información relacionada	Prevención del acceso público
ID de artículo	MVSP-CO-1-43
Asignación	Controles relacionados de NIST-800-53: AC-3 AC-17 AC-20 Controles relacionados del perfil de CRI: PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1 Control del Administrador de cumplimiento: Aplica la prevención del acceso público

Elemento	Revisa el acceso al conjunto de datos de BigQuery
Descripción	Asegúrate de que BigQuery no tenga conjuntos de datos abiertos al acceso público, a menos que estén destinados a ser públicos. Los conjuntos de datos en BigQuery suelen contener datos sensibles. Revisar el acceso a los conjuntos de datos te ayuda a garantizar que no expongas datos a Internet de forma accidental o involuntaria.
Información relacionada	Controla el acceso a los recursos con Identity and Access Management (IAM)
ID de artículo	MVSP-CO-1.46
Asignación	Controles relacionados de NIST-800-53: AC-3 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Restringe el acceso público a los conjuntos de datos de BigQuery

Después de implementar los lineamientos intermedios, implementa los siguientes lineamientos de protección de datos.

Elemento	Crea una estrategia de encriptación administrada
Descripción	Crea una estrategia de administración de la encriptación con Cloud Key Management Service (Cloud KMS) con Autokey, Cloud External Key Manager (Cloud EKM) o ambos. Esta estrategia permite que tu organización use y administre sus propias claves de encriptación para cumplir con tus requisitos específicos. El uso de tus propias claves de encriptación proporciona un control detallado y auditable sobre el acceso a los datos, incluida la capacidad de bloquear de inmediato el acceso a los datos inhabilitando la clave.
Información relacionada	Descripción general de Cloud KMS
ID de artículo	MVSP-CO-1.44
Asignación	Controles relacionados de NIST-800-53: SC-12 Controles relacionados del perfil de CRI: PR.DS-1.1