Acesso privilegiado em Google Cloud

Este conteúdo foi atualizado pela última vez em fevereiro de 2025 e representa o estado do momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro à medida que melhoramos continuamente a proteção dos clientes.

Este documento descreve os recursos e produtos que ajudam você a controlar o acesso da equipe do Google aos dados do cliente. Conforme definido nos Google Cloud Termos de Serviço, os dados do cliente são dados que os clientes ou usuários finais fornecem ao Google pelos serviços nas contas deles.

Visão geral do acesso privilegiado

Normalmente, seus dados do cliente só são acessados por você e pelos Google Cloud serviços ativados. Em alguns casos, a equipe do Google pode precisar de acesso aos seus dados para ajudar a fornecer um serviço contratado (por exemplo, você precisa de suporte ou precisa se recuperar de uma interrupção do serviço). Esse tipo de acesso é conhecido como acesso privilegiado.

Funcionários com privilégios elevados que recebem ou adquirem permissões elevadas temporariamente representam um risco maior de pessoas com informações privilegiadas. Nossa abordagem de acesso privilegiado se concentra em reduzir o número de vetores de ataque possíveis. Por exemplo, usamos os seguintes controles de segurança:

Esquemas de autenticação redundantes
Caminhos de acesso aos dados limitados
Ações de registro e alerta em nossos sistemas
Permissões regulamentadas

Essa abordagem nos ajuda a controlar e detectar ataques internos, limitar o impacto de incidentes e reduzir o risco para seus dados.

A estratégia de gerenciamento de acesso privilegiado Google Cloud limita a capacidade da equipe do Google de visualizar ou modificar dados do cliente. No Google Cloud, os limites de acesso privilegiado são parte integrante de como nossos produtos são projetados para funcionar.

Para mais informações sobre quando a equipe do Google pode acessar seus dados, consulte o Aditivo sobre tratamento de dados do Cloud.

Filosofia de acesso privilegiado

A filosofia de acesso privilegiado do Google usa os seguintes princípios orientadores:

As restrições de acesso precisam ser baseadas em papéis e aprovações de várias partes: a equipe do Google tem o acesso ao sistema negado por padrão. Quando o acesso é concedido, ele é temporário e não é maior do que o necessário para desempenhar o papel. O acesso a dados do cliente, operações críticas em sistemas de produção e modificações de código-fonte são controlados por sistemas de verificação manual e automatizada. A equipe do Google não pode acessar dados do cliente sem que outra pessoa aprove a solicitação. A equipe só pode acessar os recursos necessários para fazer o trabalho e precisa fornecer uma justificativa válida para acessar os dados do cliente. Para mais informações, consulte Como o Google protege os serviços de produção.
As cargas de trabalho precisam ter proteção de ponta a ponta: com a criptografia em trânsito, criptografia em repouso, e a Computação confidencial para criptografia em uso, Google Cloud é possível fornecer criptografia de ponta a ponta das cargas de trabalho do cliente.
O registro e a auditoria são contínuos: o acesso da equipe do Google aos dados do cliente é registrado, e os sistemas de detecção de ameaças realizam auditorias em tempo real, alertando a equipe de segurança quando as entradas de registro correspondem aos indicadores de ameaças. As equipes de segurança internas avaliam alertas e registros para identificar e investigar atividades anômalas, limitando o escopo e o impacto de qualquer incidente. Para mais informações sobre a resposta a incidentes, consulte Processo de resposta a incidentes de dados .
O acesso precisa ser transparente e incluir controles do cliente: você pode usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar suas próprias chaves de criptografia e controlar o acesso a elas. Além disso, a Transparência no acesso garante que todo acesso privilegiado tenha uma justificativa comercial registrada. A Aprovação de acesso permite aprovar ou negar solicitações de acesso da equipe do Google a determinados conjuntos de dados.

Acesso da equipe do Google aos dados do cliente

Por padrão, a equipe do Google não tem acesso aos Google Cloud dados do cliente.

Para ter acesso, a equipe do Google precisa atender às seguintes condições:

Ser membro de listas de controle de acesso (ACLs) relevantes.
Ler e reconhecer as políticas de acesso aos dados do Google regularmente.
Usar um dispositivo confiável.
Fazer login com a autenticação multifator usando uma chave de segurança Titan, que minimiza o risco de phishing de credenciais.
Acessar ferramentas que avaliam a justificativa fornecida (por exemplo, o tíquete de suporte ou o ID do problema), o papel do usuário e o contexto.
Se exigido pelas ferramentas, receber a aprovação de autorização de outra equipe qualificada do Google.
Se você se inscreveu na Aprovação de acesso, receba sua aprovação.

Funções diferentes da equipe exigem níveis de acesso diferentes. Por exemplo, as funções de suporte têm acesso limitado aos dados do cliente que estão diretamente relacionados a um tíquete de suporte ao cliente. As funções de engenharia podem exigir privilégios de sistema adicionais para resolver problemas mais complexos relacionados à confiabilidade do serviço ou à implantação de serviços.

Quando o Google trabalha com terceiros (como fornecedores de suporte ao cliente) para fornecer serviços do Google, avaliamos o terceiro para garantir que ele ofereça o nível adequado de segurança e privacidade. Google Cloud publica uma lista de todos os subprocessadores usados para ajudar a fornecer o serviço.

Motivos para a equipe do Google acessar dados do cliente

Embora Google Cloud seja projetado para automatizar, minimizar ou eliminar a necessidade de a equipe do Google acessar dados do cliente, ainda há alguns casos em que a equipe do Google pode acessar dados do cliente. Esses casos incluem suporte iniciado pelo cliente, interrupção do serviço ou falha na ferramenta, solicitações oficiais de terceiros e análises iniciadas pelo Google.

Suporte iniciado pelo cliente

O acesso da equipe do Google aos dados do cliente em serviços que usam a Transparência no acesso geralmente é resultado de eventos iniciados pelo cliente, como entrar em contato com o Atendimento ao cliente. Quando você entra em contato com a equipe de atendimento ao cliente para resolver um problema, a equipe de atendimento ao cliente só tem acesso a dados de baixa sensibilidade. Por exemplo, se você perdeu o acesso a um bucket, a equipe de atendimento ao cliente só terá acesso a dados de baixa sensibilidade, como o nome do bucket.

Interrupção do serviço ou falha na ferramenta

Durante interrupções ou falhas na ferramenta, a equipe do Google pode acessar dados do cliente para realizar um backup ou recuperação, conforme necessário. Nessas situações, a equipe do Google usa ferramentas que podem acessar diretamente os dados do cliente para maximizar a eficiência e resolver o problema de maneira oportuna. Essas ferramentas registram esse acesso e as justificativas fornecidas pelos engenheiros. O acesso também é auditado e registrado pela equipe de resposta de segurança do Google. Os serviços Google Cloud compatíveis geram registros de Transparência no acesso que ficam visíveis para você durante uma interrupção. Durante uma interrupção do serviço, os engenheiros não podem ignorar a lista de permissões do recurso. No entanto, eles podem acessar os dados sem sua aprovação.

Solicitações legais de terceiros

As solicitações legais de terceiros são raras, e apenas a equipe jurídica pode gerar uma justificativa de acesso legal válida. A equipe jurídica analisa a solicitação para garantir que ela atenda aos requisitos legais e às políticas do Google, notifica você quando permitido por lei e considera objeções para divulgar os dados na medida em que a lei permite. Para mais informações, consulte Solicitações governamentais de dados de clientes na nuvem Data (PDF).

Análise iniciada pelo Google

As análises iniciadas pelo Google também são raras. Quando ocorrem, elas garantem que os dados do cliente estejam seguros e não tenham sido comprometidos. Os principais motivos para essas análises são preocupações de segurança, fraude, abuso ou auditorias de compliance. Por exemplo, se detectores automatizados de mineração de bitcoin detectarem que uma VM está sendo usada para mineração de bitcoin, o Google vai analisar o problema e confirmar se o malware em um dispositivo de VM está esgotando a capacidade da VM. O Google remove o malware para que o uso da VM volte ao normal.

Como o Google controla e monitora o acesso aos dados do cliente

Os controles internos do Google incluem o seguinte:

Sistemas de controle abrangentes em toda a infraestrutura para evitar acesso não autorizado
Detecção e correção de acesso não autorizado por meio de controles contínuos
Monitoramento, alertas de violação e auditorias regulares por uma equipe de auditoria interna e auditores terceirizados independentes

Para saber mais sobre como o Google protege a infraestrutura física, consulte a Visão geral do design de segurança da infraestrutura do Google.

Controles em toda a infraestrutura

O Google criou sua infraestrutura com a segurança no centro. Como a infraestrutura global do Google é bastante homogênea, o Google pode usar a infraestrutura automatizada para implementar controles e limitar o acesso privilegiado. As seções a seguir descrevem alguns dos controles que ajudam a implementar nossos princípios de acesso privilegiado.

Autenticação forte para todo o acesso

O Google tem requisitos de autenticação fortes para acesso de usuários (como um funcionário) e funções (como um serviço) aos dados. Os jobs em execução no nosso ambiente de produção usam essas identidades para acessar armazenamentos de dados ou métodos de chamada de procedimento remoto (RPC) de outros serviços. Vários jobs podem ser executados com a mesma identidade. Nossa infraestrutura restringe a capacidade de implantar ou modificar jobs que têm uma identidade específica para os responsáveis pela execução do serviço, geralmente nossos engenheiros de confiabilidade do site (SREs) [em inglês]. Quando um job é iniciado, ele é provisionado com credenciais criptográficas. O job usa essas credenciais para comprovar a identidade ao fazer solicitações de outros serviços (usando Application Layer Transport Security (ALTS)).

Acesso baseado no contexto

Para alcançar a segurança de confiança zero, a infraestrutura do Google usa o contexto para autenticar e autorizar usuários e dispositivos. As decisões de acesso não são baseadas exclusivamente em credenciais estáticas ou se as decisões se originam de uma intranet corporativa. O contexto completo de uma solicitação (como a identidade do usuário, o local, a propriedade e a configuração do dispositivo e as políticas de acesso detalhadas) é avaliado para determinar a validade da solicitação e proteger contra tentativas de phishing e malware de roubo de credenciais.

Ao usar o contexto, cada solicitação de autenticação e autorização precisa usar senhas fortes com tokens de segurança ou outros protocolos de autenticação de dois fatores. Usuários autenticados e dispositivos de confiança recebem acesso limitado e temporário aos recursos necessários. Os inventários de máquinas são mantidos com segurança, e o estado de cada dispositivo conectado (por exemplo, atualizações do SO, patches de segurança, certificados de dispositivo, software instalado, verificações de vírus e status de criptografia) é avaliado para possíveis riscos de segurança.

Por exemplo, o Chrome Enterprise Premium ajuda a garantir que as credenciais dos funcionários não sejam roubadas ou usadas indevidamente e que os dispositivos conectados não sejam comprometidos. Ao mudar os controles de acesso do perímetro da rede para o contexto de usuários e dispositivos individuais, o Chrome Enterprise Premium também permite que a equipe do Google trabalhe com mais segurança em praticamente qualquer local sem a necessidade de uma VPN.

Análise e autorização para todo o software de produção

Nossa infraestrutura é em contêiner, usando um sistema de gerenciamento de cluster chamado Borg (em inglês). A Autorização binária para Borg garante que o software de produção seja revisado e aprovado antes de ser implantado, especialmente quando nosso código pode acessar dados sensíveis. A Autorização binária para Borg ajuda a garantir que as implantações de código e configuração atendam a determinados padrões e alerta os proprietários de serviços quando esses requisitos não são atendidos. Ao exigir que o código atenda a determinados padrões e práticas de gestão da mudança antes de acessar os dados do usuário, a Autorização binária para Borg reduz a possibilidade de a equipe do Google (ou uma conta violada) agir sozinha para acessar dados do usuário de maneira programática.

Arquivos de registro de acesso

A infraestrutura do Google registra o acesso aos dados e as mudanças de código. Os tipos de registro incluem o seguinte:

Registros de clientes: disponíveis usando os Registros de auditoria do Cloud.
Registros de acesso administrativo: disponíveis usando a Transparência no acesso.
Registros de integridade de implantação: registros internos sobre exceções que são monitoradas por uma equipe de segurança central dedicada à auditoria do acesso a dados do cliente. O monitoramento de exceções ajuda a proteger dados sensíveis e melhorar a confiabilidade da produção. O monitoramento de exceções ajuda a garantir que o código-fonte não revisado ou não enviado não seja executado em ambientes privilegiados, seja acidentalmente ou como resultado de um ataque deliberado.

Detecção e resposta a incidentes

Para detectar e responder a suspeitas de violações de acesso, o Google usa equipes internas de investigação especializadas e controles manuais e automatizados que combinam machine learning, pipelines avançados de tratamento de dados e incidentes de inteligência contra ameaças.

Desenvolvimento de indicadores

O principal das capacidades de detecção e resposta do Google é a inteligência contra ameaças, que é reforçada pela análise contínua de incidentes anteriores, tráfego de rede, dados internos, registros de acesso ao sistema, padrões de comportamento anômalos, os resultados de exercícios de segurança ofensiva e muitos outros alertas proprietários. Estes dados são analisados por equipes dedicadas que produzem um banco de dados dinâmico de sinais, ou indicadores de ameaças, que incluem todo o Google. As equipes de engenharia usam indicadores de ameaças para desenvolver sistemas de detecção especializados para monitorar sistemas internos em busca de atividades maliciosas, alertar a equipe adequada e implementar respostas automatizadas (por exemplo, revogar o acesso a um recurso).

Detecção de ameaças

As ameaças são detectadas principalmente pela verificação de registros e pela correspondência de entradas de registro com indicadores de ameaças. Como resultado da autenticação forte, o Google pode delinear entre eventos humanos, eventos de serviço e eventos de representação de serviço nos registros para priorizar investigações sobre o acesso humano real. As atividades que envolvem o acesso a dados do usuário, código-fonte e informações sensíveis são registradas, e uma justificativa comercial ou exceção é necessária. As ameaças podem incluir uma pessoa que tenta tomar uma ação unilateral em sistemas sensíveis ou tenta acessar dados do usuário sem um motivo comercial válido. Esses tipos de atividades têm procedimentos de alerta definidos.

Investigação de incidentes

Quando violações de política são detectadas, as equipes de segurança separadas das equipes principais de engenharia e operações fornecem supervisão independente e conduzem uma investigação inicial. As equipes de segurança concluem as seguintes tarefas:

Analisar os detalhes do incidente e determinar se o acesso foi intencional, não intencional, acidental, causado por um bug ou configuração incorreta ou resultado de controles inadequados (por exemplo, um invasor externo roubando e usando as credenciais de um funcionário comprometido).
Se o acesso for não intencional ou acidental (por exemplo, a equipe do Google não estava ciente ou violou por engano os protocolos de acesso), as equipes poderão tomar medidas imediatas para corrigir o problema (por exemplo, recuperando a propriedade intelectual).
Se houver suspeita de comportamento malicioso, a equipe de segurança vai escalar o incidente e coletar informações adicionais, incluindo registros de acesso a dados e sistemas, para determinar o escopo e o impacto do incidente.
Dependendo dos resultados dessa consulta, a equipe de segurança envia incidentes para investigação, documentação e resolução adicionais ou, em casos extremos, encaminha o incidente para autoridades externas ou policiais.

Correção

A equipe de segurança usa incidentes anteriores para identificar e resolver vulnerabilidades e melhorar as capacidades de detecção. Todos os incidentes são documentados, e os metadados são extraídos para identificar táticas, técnicas e procedimentos específicos para cada exploração. A equipe usa esses dados para desenvolver novos indicadores de ameaças, reforçar as proteções atuais ou fazer solicitações de recursos para melhorias de segurança.

Serviços que monitoram e controlam o acesso do Google aos dados

Os seguintes Google Cloud serviços oferecem opções para alcançar visibilidade e controle sobre o acesso do Google aos seus dados.

Google Cloud Serviço do	Descrição
Aprovação de acesso	Se você tiver dados altamente sensíveis ou restritos, a Aprovação de acesso permite exigir sua aprovação antes que um administrador autorizado do Google possa acessar seus dados para oferecer suporte. As solicitações de acesso aprovadas são registradas com registros de Transparência no acesso vinculados ao pedido de aprovação. Depois de aprovar uma solicitação, o acesso precisa ser privilegiado adequadamente no Google antes de ser permitido. Para uma lista de Google Cloud serviços que oferecem suporte à Aprovação de acesso, consulte Serviços suportados.
Transparência no acesso	A Transparência no acesso registra o acesso administrativo da equipe autorizada do Google quando ela oferece suporte à sua organização ou mantém a disponibilidade do serviço. Para uma lista de Google Cloud serviços que oferecem suporte à Transparência no acesso, consulte Serviços suportados.
Assured Workloads	Use Assured Workloads se sua empresa exigir suporte regional dedicado, programas regulamentares certificados (por exemplo, FedRAMP ou ITAR) ou programas como Controles de Soberania para a UE. O Assured Workloads oferece aos Google Cloud usuários um fluxo de trabalho de ativação para criar e monitorar o ciclo de vida dos pacotes de controle necessários.
Cloud KMS	Use Cloud KMS com o Cloud EKM para controlar suas chaves de criptografia. O Cloud KMS com o Cloud EKM permite criptografar dados com chaves de criptografia armazenadas e gerenciadas em um sistema de gerenciamento de chaves de terceiros implantado fora da infraestrutura do Google. O Cloud EKM permite manter a separação entre dados em repouso e chaves de criptografia, enquanto ainda usa a eficiência da computação e análise em nuvem.
Computação confidencial	Use a Computação confidencial para criptografar dados em uso. Google Cloud inclui os seguintes serviços que ativam a computação confidencial: VM confidencial: ative a criptografia de dados em uso para cargas de trabalho que usam VMs Nós confidenciais do Google Kubernetes Engine: ative a criptografia de dados em uso para cargas de trabalho que usam contêineres Dataflow confidencial: ative a criptografia de dados em uso para análise de streaming e machine learning Managed Service for Apache Spark confidencial: ative a criptografia de dados em uso para tratamento de dados Confidential Space: ative a criptografia de dados em uso para análise de dados conjunta e machine learning Esses serviços permitem reduzir o limite de confiança para que menos recursos tenham acesso aos seus dados confidenciais. Para mais informações, consulte Implementar a computação confidencial no Google Cloud.
Justificativas de acesso às chaves	Use Justificativas de acesso às chaves para soberania e descoberta de dados. As Justificativas de acesso às chaves fornecem uma justificativa sempre que suas chaves hospedadas externamente são usadas para descriptografar dados. As Justificativas de acesso às chaves exigem o Cloud KMS com o Cloud HSM ou o Cloud KMS com o Cloud EKM para avançar o controle que você tem sobre seus dados. Você precisa aprovar o acesso antes que a equipe do Google possa descriptografar seus dados em repouso.

A seguir

Para saber mais sobre nosso compromisso de proteger a privacidade dos dados do cliente, consulte Google Cloud e Princípios de privacidade comuns.
Para saber mais sobre os princípios básicos dos controles que impedem o acesso administrativo não autorizado, consulte Visão geral dos controles de acesso administrativo.
Para conferir a lista de justificativas comerciais para as quais a equipe do Google pode solicitar acesso aos dados do cliente, consulte Códigos de motivo de justificativa.

Acesso privilegiado em Google Cloud Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.