Diretrizes de proteção de dados

A restrição booleana storage.uniformBucketLevelAccess exige que os buckets usem o acesso uniforme no nível do bucket. Com o acesso uniforme no nível do bucket, você só usa permissões do Identity and Access Management (IAM) no nível do bucket para conceder acesso aos recursos do Cloud Storage.

Usar dois sistemas diferentes e conflitantes para gerenciar permissões em buckets de armazenamento é complexo e uma causa comum de vazamentos acidentais de dados. Essa configuração desativa o sistema legado (listas de controle de acesso ou ACLs) e faz com que o sistema moderno e centralizado (IAM) seja a única fonte de verdade para todas as permissões.

Para impedir que o Cloud SQL tenha um endereço IP público e fique exposto diretamente à Internet, defina a restrição de política da organização constraints/sql.restrictPublicIp. Normalmente, os bancos de dados não são expostos diretamente à Internet.

Impedir endereços IP públicos ajuda a evitar que seus bancos de dados recebam endereços IP públicos, garantindo que eles sejam particulares e acessíveis apenas de aplicativos internos confiáveis.

A restrição booleana storage.publicAccessPrevention impede que buckets de armazenamento sejam acessados de fontes públicas sem autenticação. Ele desativa e bloqueia as listas de controle de acesso (ACLs) e as permissões do Identity and Access Management (IAM) que concedem acesso a allUsers e allAuthenticatedUsers. Essa restrição funciona como uma rede de segurança em toda a organização, bloqueando ativamente qualquer configuração que torne um bucket acessível publicamente.

Verifique se o BigQuery não tem conjuntos de dados abertos ao acesso público, a menos que eles sejam destinados a isso. Os conjuntos de dados no BigQuery geralmente contêm dados sensíveis.

Ao revisar o acesso ao conjunto de dados, você garante que não vai expor dados à Internet por acidente ou sem querer.

Crie uma estratégia de gerenciamento de criptografia usando o Cloud Key Management Service (Cloud KMS) com o Autokey, o Cloud External Key Manager (Cloud EKM) ou ambos. Com essa estratégia, sua organização pode usar e gerenciar as próprias chaves de criptografia para atender aos requisitos específicos. Usar suas próprias chaves de criptografia oferece controle granular e auditável sobre o acesso aos dados, incluindo a capacidade de bloquear imediatamente o acesso aos dados desativando a chave.