Accesso con privilegi in Google Cloud

Questi contenuti sono stati aggiornati per l'ultima volta a febbraio 2025 e rappresentano lo status quo al momento della redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.

Questo documento descrive le funzionalità e i prodotti che ti aiutano a controllare l'accesso del personale Google ai dati dei tuoi clienti. Come definito nei Google Cloud Termini di servizio, i dati dei clienti sono i dati che i clienti o gli utenti finali forniscono a Google tramite i servizi nell'ambito del proprio account.

Panoramica dell'accesso privilegiato

In genere, i tuoi dati dei clienti sono accessibili solo a te e ai Google Cloud servizi che attivi. In alcuni casi, il personale Google potrebbe richiedere l'accesso ai tuoi dati per contribuire a fornire un servizio contrattualizzato (ad esempio, hai bisogno di assistenza o devi ripristinare un'interruzione). Questo tipo di accesso è noto come accesso con privilegi.

I dipendenti con privilegi elevati a cui vengono concessi temporaneamente o acquisiscono autorizzazioni elevate rappresentano un rischio interno maggiore. Il nostro approccio all'accesso privilegiato si concentra sulla riduzione del numero di possibili vettori di attacco. Ad esempio, utilizziamo i seguenti controlli di sicurezza:

• Schemi di autenticazione ridondanti
• Percorsi di accesso ai dati limitati
• Registrazione e avvisi delle azioni nei nostri sistemi
• Autorizzazioni regolamentate

Questo approccio ci aiuta a controllare e rilevare gli attacchi interni, a limitare l'impatto degli incidenti e a ridurre il rischio per i tuoi dati.

La strategia di gestione dell'accesso con privilegi in Google Cloud limita la capacità del personale Google di visualizzare o modificare i dati dei clienti. In Google Cloud, i limiti all'accesso con privilegi sono parte integrante del funzionamento dei nostri prodotti.

Per saperne di più su quando il personale di Google potrebbe accedere ai tuoi dati, consulta l'Addendum per il trattamento dei dati Cloud.

Filosofia dell'accesso privilegiato

La filosofia di Google per l'accesso con privilegi si basa sui seguenti principi guida:

• Le limitazioni di accesso devono basarsi sui ruoli e sulle approvazioni di più parti: Per impostazione predefinita, al personale di Google viene negato l'accesso al sistema. Quando viene concesso l'accesso, questo è temporaneo e non superiore a quanto necessario per svolgere il ruolo. L'accesso ai dati dei clienti, alle operazioni critiche sui sistemi di produzione e alle modifiche del codice sorgente è controllato da sistemi di verifica manuali e automatizzati. Il personale di Google non può accedere ai dati dei clienti senza che un'altra persona approvi la richiesta. Il personale può accedere solo alle risorse necessarie per svolgere le proprie mansioni e deve fornire una giustificazione valida per accedere ai dati dei clienti. Per saperne di più, consulta l'articolo In che modo Google protegge i suoi servizi di produzione.

• I carichi di lavoro devono avere una protezione end-to-end: con la crittografia in transito, la crittografia a riposo e il Confidential Computing per la crittografia in uso, Google Cloud è possibile fornire la crittografia end-to-end dei carichi di lavoro dei clienti.

• Logging e controllo sono continui: l'accesso del personale Google ai dati dei clienti viene registrato e i sistemi di rilevamento delle minacce eseguono controlli in tempo reale, avvisando il team di sicurezza quando le voci di log corrispondono agli indicatori di minaccia. I team di sicurezza interni valutano avvisi e log per identificare e analizzare attività anomale, limitando l'ambito e l'impatto di qualsiasi incidente. Per ulteriori informazioni sulla risposta agli incidenti, consulta Processo di risposta agli incidenti relativi ai dati.

• L'accesso deve essere trasparente e includere i controlli del cliente: puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per gestire le tue chiavi di crittografia e controllare l'accesso. Inoltre, Access Transparency garantisce che tutti gli accessi privilegiati abbiano una motivazione aziendale che viene registrata. Access Approval ti consente di approvare o negare le richieste di accesso da parte del personale Google a determinati set di dati.

Accesso del personale Google ai dati dei clienti

Per impostazione predefinita, il personale di Google non ha accesso ai dati dei clienti Google Cloud .

Per ottenere l'accesso, il personale di Google deve soddisfare le seguenti condizioni:

• Essere membro degli elenchi di controllo dell'accesso (ACL) pertinenti.
• Leggi e accetta regolarmente le norme di Google sull'accesso ai dati.
• Utilizzare un dispositivo attendibile.
• Accedi con l'autenticazione a più fattori utilizzando un token di sicurezza Titan, che riduce al minimo il rischio di phishing delle credenziali.
• Accedere a strumenti che valutano la giustificazione fornita (ad esempio, il ticket di assistenza o l'ID problema), il ruolo dell'utente e il contesto.
• Se richiesto dagli strumenti, ottieni l'approvazione dell'autorizzazione da un altro personale qualificato di Google.
• Se ti sei registrato ad Access Approval, ottieni l'approvazione.

Ruoli del personale diversi richiedono livelli di accesso diversi. Ad esempio, i ruoli di assistenza hanno accesso limitato ai dati dei clienti direttamente correlati a un ticket di assistenza clienti. I ruoli di ingegneria potrebbero richiedere privilegi di sistema aggiuntivi per risolvere problemi più complessi relativi all'affidabilità del servizio o al deployment dei servizi.

Quando Google collabora con terze parti (ad esempio fornitori di assistenza clienti) per fornire servizi Google, valuta la terza parte per assicurarsi che fornisca il livello adeguato di sicurezza e privacy. Google Cloud pubblica un elenco di tutti i responsabili del trattamento secondari utilizzati per contribuire alla fornitura del servizio.

Motivi per cui il personale Google accede ai dati dei clienti

Sebbene Google Cloud sia progettato per automatizzare, ridurre al minimo o eliminare la necessità di accesso ai dati dei clienti da parte del personale di Google, esistono ancora alcuni casi in cui il personale di Google potrebbe accedere ai dati dei clienti. Questi casi includono assistenza richiesta dal cliente, interruzione o guasto dello strumento, richieste legali di terze parti e revisioni avviate da Google.

Richiesta di assistenza avviata dal cliente

L'accesso del personale Google ai dati dei clienti nei servizi che utilizzano Access Transparency è in genere il risultato di eventi avviati dai clienti, ad esempio il contatto con l'assistenza clienti. Quando contatti il personale dell'assistenza clienti per risolvere un problema, questo ottiene l'accesso solo a dati a bassa sensibilità. Ad esempio, se hai perso l'accesso a un bucket, il personale dell'assistenza clienti ha accesso solo a dati a bassa sensibilità come il nome del bucket.

Interruzione o errore dello strumento

Durante le interruzioni o i guasti degli strumenti, il personale di Google può accedere ai dati dei clienti per eseguire un backup o un ripristino, se necessario. In queste situazioni, il personale di Google utilizza strumenti che possono accedere direttamente ai dati dei clienti per massimizzare l'efficienza e risolvere il problema in modo tempestivo. Questi strumenti registrano questo accesso e le giustificazioni fornite dagli ingegneri. L'accesso viene inoltre controllato e registrato dal team di risposta alla sicurezza di Google. I servizi Google Cloud supportati generano log di Access Transparency visibili durante un'interruzione. Durante un'interruzione, gli ingegneri non possono bypassare la lista consentita per la risorsa; tuttavia, possono accedere ai dati senza la tua approvazione.

Richieste legali di terze parti

Le richieste legali di terze parti sono rare e solo il team legale può generare una giustificazione valida per l'accesso legale. Il team legale esamina la richiesta per assicurarsi che soddisfi i requisiti legali e le norme di Google, ti invia una notifica quando consentito dalla legge e prende in considerazione le obiezioni alla divulgazione dei dati nella misura in cui la legge lo consente. Per saperne di più, consulta Richieste del governo relative ai dati dei clienti Cloud (PDF).

Revisione avviata da Google

Anche le revisioni avviate da Google sono rare. Quando si verificano, devono garantire che i dati dei clienti siano sicuri, protetti e non siano stati compromessi. I motivi principali di queste revisioni sono problemi di sicurezza, frodi, abusi o controlli di conformità. Ad esempio, se i rilevatori automatici di mining di bitcoin rilevano che una VM viene utilizzata per il mining di bitcoin, Google esamina il problema e conferma che il malware su un dispositivo VM sta esaurendo la capacità della VM. Google rimuove il malware in modo che l'utilizzo della VM torni alla normalità.

In che modo Google controlla e monitora l'accesso ai dati dei clienti

I controlli interni di Google includono quanto segue:

• Sistemi di controllo pervasivi a livello di infrastruttura per impedire l'accesso non autorizzato
• Rilevamento e correzione dell'accesso non autorizzato tramite controlli continui
• Monitoraggio, avvisi di violazione e controlli regolari da parte di un team di audit interno e di revisori indipendenti di terze parti

Per saperne di più su come Google protegge l'infrastruttura fisica, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Controlli a livello di infrastruttura

Google ha creato la sua infrastruttura con la sicurezza al centro. Poiché l'infrastruttura globale di Google è piuttosto omogenea, Google può utilizzare un'infrastruttura automatizzata per implementare controlli e limitare l'accesso privilegiato. Le sezioni seguenti descrivono alcuni dei controlli che contribuiscono a implementare i nostri principi di accesso con privilegi.

Autenticazione avanzata per tutti gli accessi

Google ha requisiti di autenticazione rigorosi per l'accesso ai dati da parte di utenti (come un dipendente) e ruoli (come un servizio). I job eseguiti nel nostro ambiente di produzione utilizzano queste identità per accedere ai datastore o ai metodi di chiamata di procedura remota (RPC) di altri servizi. Più job potrebbero essere eseguiti con la stessa identità. La nostra infrastruttura limita la possibilità di implementare o modificare i job con una particolare identità ai soli responsabili dell'esecuzione del servizio, generalmente i nostri SRE (Site Reliability Engineer). Quando un job viene avviato, viene eseguito il provisioning delle credenziali crittografiche. Il job utilizza queste credenziali per provare la sua identità durante l'esecuzione di richieste di altri servizi (tramite Application Layer Transport Security (ALTS)).

Accesso sensibile al contesto

Per ottenere la sicurezza Zero Trust, l'infrastruttura di Google utilizza il contesto per autenticare e autorizzare utenti e dispositivi. Le decisioni relative all'accesso non si basano esclusivamente su credenziali statiche o sulla relativa provenienza da un'intranet aziendale. Per accertare la validità di una richiesta e bloccare così tentativi di phishing e malware per il furto delle credenziali, viene esaminato il contesto complessivo della richiesta (ad esempio identità dell'utente, località, proprietà e configurazione del dispositivo e criteri di accesso granulari).

Utilizzando il contesto, ogni richiesta di autenticazione e autorizzazione deve utilizzare password complesse con token di sicurezza o altri protocolli di autenticazione a due fattori. Agli utenti autenticati e ai dispositivi attendibili viene concesso un accesso limitato e temporaneo alle risorse necessarie. Gli inventari delle macchine vengono gestiti in modo sicuro e lo stato di ogni dispositivo di connessione (ad esempio aggiornamenti del sistema operativo, patch di sicurezza, certificati del dispositivo, software installato, scansioni antivirus e stato della crittografia) viene valutato per potenziali rischi per la sicurezza.

Ad esempio, Chrome Enterprise Premium contribuisce a garantire che le credenziali dei dipendenti non vengano rubate o utilizzate in modo improprio e che i dispositivi di connessione non vengano compromessi. Spostando il controllo dell'accesso dal perimetro della rete al contesto di singoli utenti e dispositivi, Chrome Enterprise Premium consente anche al personale di Google di lavorare in sicurezza da praticamente qualsiasi posizione, senza la necessità di utilizzare una VPN.

Revisione e autorizzazione di tutto il software di produzione

La nostra infrastruttura è containerizzata tramite un sistema di gestione cluster chiamato Borg. L'autorizzazione binaria per Borg garantisce che il software di produzione venga esaminato e approvato prima del deployment, in particolare quando il nostro codice può accedere a dati sensibili. L'autorizzazione binaria per Borg contribuisce a garantire che i deployment di codice e configurazione soddisfino determinati standard e avvisa i proprietari dei servizi quando questi requisiti non vengono soddisfatti. Richiedendo che il codice soddisfi determinati standard e pratiche di gestione dei cambiamenti prima di poter accedere ai dati utente, l'autorizzazione binaria per Borg riduce la possibilità che il personale di Google (o un account compromesso) agisca per propri fini per accedere ai dati utente in modo programmatico.

Accedere ai file di log

I log dell'infrastruttura di Google registrano l'accesso ai dati e le modifiche al codice. I tipi di logging includono quanto segue:

• Log dei clienti: disponibili tramite Cloud Audit Logs.

• Log di accesso amministrativo: disponibili tramite Access Transparency.

• Log di integrità del deployment: log interni relativi alle eccezioni monitorate da un team di sicurezza centrale dedicato al controllo dell'accesso ai dati dei clienti. Il monitoraggio delle eccezioni contribuisce a proteggere i dati sensibili e a migliorare l'affidabilità della produzione. Il monitoraggio delle eccezioni contribuisce a garantire che il codice sorgente non rivisto o non inviato non venga eseguito in ambienti privilegiati, accidentalmente o a seguito di un attacco deliberato.

Rilevamento e risposta agli incidenti

Per rilevare e rispondere a sospette violazioni dell'accesso, Google utilizza team di indagine interni esperti e controlli manuali e automatizzati che combinano machine learning, pipeline avanzate di trattamento dei dati e incidenti di threat intelligence.

Sviluppo di indicatori

Il fulcro delle funzionalità di rilevamento e risposta di Google è la threat intelligence, che viene rafforzata dall'analisi continua di incidenti passati, traffico di rete, dati interni, log di accesso al sistema, modelli di comportamento anomali, risultati di esercizi di sicurezza offensiva e molti altri avvisi proprietari. Questi dati vengono analizzati da team dedicati che producono un database dinamico di indicatori, o indicatori di minaccia, che includono tutti i servizi Google. I team di ingegneria utilizzano indicatori di minaccia per sviluppare sistemi di rilevamento specializzati per monitorare i sistemi interni alla ricerca di attività dannose, avvisare il personale appropriato e implementare risposte automatiche (ad esempio, revocare l'accesso a una risorsa).

Rilevamento delle minacce

Le minacce vengono rilevate principalmente eseguendo la scansione dei log e abbinando le voci di log agli indicatori di minaccia. Grazie all'autenticazione avanzata, Google può distinguere tra eventi umani, eventi di servizio ed eventi di rappresentazione del servizio nei log per dare la priorità alle indagini sull'accesso umano effettivo. Le attività che comportano l'accesso a dati utente, codice sorgente e informazioni sensibili vengono registrate ed è necessaria una giustificazione aziendale o un'eccezione. Le minacce possono includere un individuo che tenta di intraprendere un'azione unilaterale su sistemi sensibili o che tenta di accedere ai dati utente senza una valida ragione commerciale. Questi tipi di attività hanno definito procedure di avviso.

Indagine sugli incidenti

Quando vengono rilevate violazioni delle norme, i team di sicurezza separati dai team di ingegneria e operazioni principali forniscono una supervisione indipendente e conducono un'indagine iniziale. I team di sicurezza completano le seguenti attività:

• Esamina i dettagli dell'incidente e determina se l'accesso è stato intenzionale, non intenzionale, accidentale, causato da un bug o da una configurazione errata oppure il risultato di controlli inadeguati (ad esempio, un utente malintenzionato esterno che ruba e utilizza le credenziali di un dipendente compromesso).
• Se l'accesso è involontario o accidentale (ad esempio, il personale di Google non era a conoscenza dei protocolli di accesso o li ha violati per errore), i team possono adottare misure immediate per risolvere il problema (ad esempio, recuperando la proprietà intellettuale).
• Se si sospetta un comportamento dannoso, il team di sicurezza riassegna l'incidente e raccoglie informazioni aggiuntive, inclusi log di accesso a dati e sistemi, per determinare l'ambito e l'impatto dell'incidente.
• A seconda dei risultati dell'indagine, il team di sicurezza invia gli incidenti per ulteriori indagini, documentazione e risoluzione oppure, in casi estremi, segnala l'incidente alle autorità esterne o alle forze dell'ordine.

Azioni

Il team di sicurezza utilizza gli incidenti passati per identificare e risolvere le vulnerabilità e migliorare le capacità di rilevamento. Tutti gli incidenti sono documentati e i metadati vengono estratti per identificare tattiche, tecniche e procedure specifiche per ogni exploit. Il team utilizza questi dati per sviluppare nuovi indicatori di minaccia, rafforzare le protezioni esistenti o richiedere funzionalità per migliorare la sicurezza.

Servizi che monitorano e controllano l'accesso di Google ai dati

I seguenti Google Cloud servizi ti offrono opzioni per ottenere visibilità e controllo sull'accesso di Google ai tuoi dati.

ServizioGoogle Cloud	Descrizione
Approvazione accesso	Se hai dati altamente sensibili o riservati, Access Approval ti consente di richiedere la tua approvazione prima che un amministratore Google autorizzato possa accedere ai tuoi dati per fornirti assistenza. Le richieste di accesso approvate vengono registrate con i log di Access Transparency collegati alla richiesta di approvazione. Dopo aver approvato una richiesta, l'accesso deve essere privilegiato correttamente all'interno di Google prima di essere consentito. Per un elenco dei serviziGoogle Cloud che supportano Access Approval, consulta Servizi supportati.
Access Transparency	I log di Access Transparency registrano l'accesso amministrativo da parte del personale autorizzato di Google quando fornisce assistenza alla tua organizzazione o esegue la manutenzione della disponibilità del servizio. Per un elenco dei servizi che supportano Access Transparency, consulta Servizi supportati. Google Cloud
Assured Workloads	Utilizza Assured Workloads se la tua azienda richiede assistenza regionale dedicata, programmi normativi certificati (ad esempio FedRAMP o ITAR) o programmi come controlli di sovranità per l'UE. Assured Workloads fornisce agli utenti un flusso di lavoro di attivazione per creare e monitorare il ciclo di vita dei pacchetti di controlli necessari. Google Cloud
Cloud KMS	Utilizza Cloud KMS con Cloud EKM per controllare le chiavi di crittografia. Cloud KMS con Cloud EKM consente di criptare i dati con chiavi di crittografia archiviate e gestite in un sistema di gestione delle chiavi di terze parti di cui viene eseguito il deployment al di fuori dell'infrastruttura di Google. Cloud EKM ti consente di mantenere separati i dati at-rest e le chiavi di crittografia, utilizzando al contempo la potenza del cloud per le attività di calcolo e analisi.
Confidential Computing	Utilizza Confidential Computing per criptare i dati in uso. Google Cloud include i seguenti servizi che consentono il confidential computing: Confidential VM: abilita la crittografia dei dati in uso per i carichi di lavoro che utilizzano le VM Nodi Google Kubernetes Engine riservati: abilita la crittografia dei dati in uso per i carichi di lavoro che utilizzano i container Confidential Dataflow: abilita la crittografia dei dati in uso per l'analisi dei flussi di dati e il machine learning Confidential Managed Service for Apache Spark: abilita la crittografia dei dati in uso per l'elaborazione dei dati Confidential Space: abilita la crittografia dei dati in uso per l'analisi congiunta dei dati e il machine learning Questi servizi ti consentono di ridurre il confine di attendibilità in modo che un numero inferiore di risorse abbia accesso ai tuoi dati riservati. Per saperne di più, consulta Implementa il confidential computing su Google Cloud.
Key Access Justifications	Utilizza Key Access Justifications per la sovranità dei dati e l'individuazione. Key Access Justifications ti fornisce una giustificazione ogni volta che le chiavi ospitate esternamente vengono utilizzate per decriptare i dati. Key Access Justifications richiede Cloud KMS con Cloud HSM o Cloud KMS con Cloud EKM per aumentare il controllo sui tuoi dati. Devi approvare l'accesso prima che il personale Google possa decriptare i tuoi dati at-rest.

Passaggi successivi

• Per saperne di più sul nostro impegno a proteggere la privacy dei dati dei clienti, consulta Google Cloud e i principi comuni in materia di privacy.

• Per scoprire i principi fondamentali dei controlli che impediscono l'accesso amministrativo non autorizzato, consulta la panoramica dei controlli di accesso amministrativo.

• Per visualizzare l'elenco delle giustificazioni aziendali per le quali il personale di Google può richiedere l'accesso ai dati dei clienti, consulta Codici dei motivi della giustificazione.