Acceso con privilegios en Google Cloud

Este contenido se actualizó por última vez en febrero de 2025 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google en el futuro, ya que mejoramos la protección de nuestros clientes de forma continua.

En este documento, se describen las funciones y los productos que te ayudan a controlar el acceso que el personal de Google tiene a los datos de tus clientes. Según se define en las Condiciones del Servicio deGoogle Cloud , los datos del cliente son los que clientes o usuarios finales proporcionan a Google a través de los servicios que se indican en sus cuentas.

Descripción general del acceso con privilegios

Por lo general, solo tú y los servicios de Google Cloudque habilites tienen acceso a tus datos del cliente. En algunos casos, es posible que el personal de Google necesite acceder a tus datos para ayudarte a proporcionar un servicio contratado (por ejemplo, si necesitas asistencia o recuperarte de una interrupción). Este tipo de acceso se conoce como acceso privilegiado.

Los empleados con privilegios elevados que obtienen o reciben permisos temporales aumentan el riesgo interno. Nuestro enfoque para el acceso privilegiado se centra en reducir la cantidad de posibles vectores de ataque. Por ejemplo, usamos los siguientes controles de seguridad:

  • Esquemas de autenticación redundantes
  • Rutas de acceso a datos limitadas
  • Registro y alertas de acciones en nuestros sistemas
  • Permisos regulados

Este enfoque nos ayuda a controlar y detectar ataques internos, limitar el impacto de los incidentes y reducir el riesgo para tus datos.

La estrategia de administración de acceso privilegiado en Google Cloud limita la capacidad del personal de Google para ver o modificar los datos del cliente. EnGoogle Cloud, los límites de acceso privilegiado son una parte integral del diseño de nuestros productos.

Para obtener más información sobre cuándo el personal de Google podría acceder a tus datos, consulta el Anexo de Tratamiento de Datos de Cloud.

Filosofía de acceso con privilegios

La filosofía de acceso con privilegios de Google se basa en los siguientes principios rectores:

  • Las restricciones de acceso deben basarse en roles y aprobaciones de varias partes: De forma predeterminada, se deniega el acceso al sistema al personal de Google. Cuando se otorga acceso, este es temporal y no es mayor de lo necesario para desempeñar su rol. El acceso a los datos de los clientes, las operaciones críticas en los sistemas de producción y las modificaciones del código fuente se controlan mediante sistemas de verificación manuales y automatizados. El personal de Google no puede acceder a los datos del cliente sin que otra persona apruebe la solicitud. El personal solo puede acceder a los recursos necesarios para realizar su trabajo y debe proporcionar una justificación válida para acceder a los datos de los clientes. Para obtener más información, consulta Cómo protege Google sus servicios de producción.

  • Las cargas de trabajo deben tener protección de extremo a extremo: Con la encriptación en tránsito, la encriptación en reposo y Confidential Computing para la encriptación en uso, Google Cloud se puede proporcionar encriptación de extremo a extremo de las cargas de trabajo de los clientes.

  • El registro y la auditoría son continuos: Se registran los accesos del personal de Google a los datos del cliente, y los sistemas de detección de amenazas realizan auditorías en tiempo real, lo que alerta al equipo de seguridad cuando las entradas de registro coinciden con los indicadores de amenazas. Los equipos de seguridad internos evalúan las alertas y los registros para identificar e investigar actividades anómalas, lo que limita el alcance y el impacto de cualquier incidente. Para obtener más información sobre la respuesta ante incidentes, consulta Proceso de respuesta ante incidentes de datos.

  • El acceso debe ser transparente y debe incluir controles del cliente: Puedes usar claves de encriptación administradas por el cliente (CMEK) para administrar tus propias claves de encriptación y controlar el acceso a ellas. Además, la Transparencia de acceso garantiza que todo acceso privilegiado tenga una justificación empresarial que se registre. La Aprobación de acceso te permite aprobar o rechazar las solicitudes de acceso del personal de Google a ciertos conjuntos de datos.

Acceso del personal de Google a los datos del cliente

De forma predeterminada, el personal de Google no tiene acceso a los datos de los clientes de Google Cloud .

Para obtener acceso, el personal de Google debe cumplir con las siguientes condiciones:

  • Ser miembro de las listas de control de acceso (LCA) pertinentes
  • Lee y acepta las políticas de acceso a los datos de Google con regularidad.
  • Usa un dispositivo de confianza.
  • Accede con la autenticación de varios factores usando una llave de seguridad Titan, que minimiza el riesgo de que se roben las credenciales a través de phishing.
  • Herramientas de acceso que evalúan la justificación proporcionada (por ejemplo, el ID del ticket de asistencia o del problema), el rol del usuario y el contexto.
  • Si las herramientas lo requieren, obtén la aprobación de autorización de otro personal calificado de Google.
  • Si te inscribiste en Access Approval, obtén la aprobación.

Los diferentes roles del personal requieren diferentes niveles de acceso. Por ejemplo, los roles de asistencia tienen acceso limitado a los datos del cliente que se relacionan directamente con un ticket de asistencia al cliente. Los roles de ingeniería pueden requerir privilegios adicionales del sistema para abordar problemas más complejos relacionados con la confiabilidad del servicio o la implementación de servicios.

Cuando Google trabaja con terceros (como proveedores de asistencia al cliente) para proporcionar servicios de Google, evaluamos al tercero para asegurarnos de que proporcione el nivel adecuado de seguridad y privacidad. Google Cloud publica una lista de todos los subprocesadores que se utilizan para ayudar a proporcionar el servicio.

Motivos por los que el personal de Google accede a los datos de los clientes

Si bien Google Cloud está diseñado para automatizar, minimizar o eliminar la necesidad de que el personal de Google acceda a los datos del cliente, aún existen algunos casos en los que el personal de Google podría acceder a los datos del cliente. Estos casos incluyen la asistencia iniciada por el cliente, la interrupción o la falla de la herramienta, las solicitudes legales de terceros y las revisiones iniciadas por Google.

Asistencia iniciada por el cliente

El acceso del personal de Google a los datos de los clientes en los servicios que usan la Transparencia de acceso suele ser el resultado de eventos iniciados por los clientes, como comunicarse con el equipo de Atención al cliente. Cuando te comunicas con el personal de Atención al cliente para resolver un problema, este solo obtiene acceso a datos poco sensibles. Por ejemplo, si perdiste el acceso a un bucket, el personal de Atención al cliente solo tiene acceso a datos de sensibilidad baja, como el nombre del bucket.

Interrupción o falla de la herramienta

Durante las interrupciones o las fallas de las herramientas, el personal de Google puede acceder a los datos del cliente para realizar una copia de seguridad o una recuperación según sea necesario. En estas situaciones, el personal de Google usa herramientas que pueden acceder directamente a los datos del cliente para maximizar la eficiencia y resolver el problema de manera oportuna. Estas herramientas registran este acceso y las justificaciones que proporcionan los ingenieros. El equipo de respuesta ante incidentes de seguridad de Google también audita y registra el acceso. Los servicios Google Cloud compatibles generan registros de Transparencia de acceso que puedes ver durante una interrupción. Durante una interrupción, los ingenieros no pueden omitir la lista de entidades permitidas para el recurso; sin embargo, pueden acceder a los datos sin tu aprobación.

Las solicitudes legales de terceros son poco frecuentes, y solo el equipo legal puede generar una justificación de acceso legal válida. El equipo legal revisa la solicitud para asegurarse de que cumpla con los requisitos legales y las políticas de Google, te notifica cuando la ley lo permite y considera las objeciones para divulgar los datos en la medida en que lo permita la ley. Para obtener más información, consulta Government Requests for Cloud Customer Data (PDF).

Revisión iniciada por Google

Las revisiones iniciadas por Google también son poco frecuentes. Cuando ocurren, deben asegurarse de que los datos de los clientes estén seguros y protegidos, y de que no se hayan visto comprometidos. Los principales motivos de estas revisiones son las preocupaciones de seguridad, el fraude, el abuso o las auditorías de cumplimiento. Por ejemplo, si los detectores automatizados de minería de Bitcoin detectan que se está usando una VM para la minería de Bitcoin, Google revisa el problema y confirma que el software malicioso en un dispositivo de VM está agotando la capacidad de la VM. Google quita el software malicioso para que el uso de la VM vuelva a la normalidad.

Cómo Google controla y supervisa el acceso a los datos del cliente

Los controles internos de Google incluyen lo siguiente:

  • Sistemas de control generalizados en toda la infraestructura para impedir el acceso no autorizado
  • Detección y corrección del acceso no autorizado a través de controles continuos
  • Supervisión, alertas de incumplimiento y auditorías periódicas por parte de un equipo de auditoría interno y auditores externos independientes

Para obtener más información sobre cómo Google protege la infraestructura física, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Controles en toda la infraestructura

Google creó su infraestructura con la seguridad como eje central. Dado que la infraestructura global de Google es bastante homogénea, Google puede usar infraestructura automatizada para implementar controles y limitar el acceso privilegiado. En las siguientes secciones, se describen algunos de los controles que ayudan a implementar nuestros principios de acceso con privilegios.

Autenticación sólida para todos los accesos

Google tiene requisitos de autenticación sólidos para el acceso de los usuarios (como un empleado) y los roles (como un servicio) a los datos. Los trabajos que se ejecutan en nuestro entorno de producción usan estas identidades para acceder a almacenes de datos o métodos de llamada de procedimiento remoto (RPC) de otros servicios. Es posible que varios trabajos se ejecuten con la misma identidad. Nuestra infraestructura restringe la capacidad de implementar o modificar trabajos que tienen una identidad específica a los responsables de ejecutar el servicio, que, por lo general, son nuestros ingenieros de confiabilidad de sitios (SRE). Cuando se inicia un trabajo, se aprovisiona con credenciales criptográficas. El trabajo usa estas credenciales para demostrar su identidad cuando realiza solicitudes de otros servicios (mediante la seguridad de transporte de la capa de la aplicación (ALTS)).

Acceso adaptado al contexto

Para lograr la seguridad de confianza cero, la infraestructura de Google usa el contexto para autenticar y autorizar a los usuarios y los dispositivos. Las decisiones de acceso no se basan exclusivamente en credenciales estáticas o si provienen de una intranet corporativa. Se evalúa el contexto completo de una solicitud (como la identidad del usuario, su ubicación, la propiedad y configuración del dispositivo, además de las políticas de acceso detalladas) para determinar su validez y prevenir intentos de phishing y usos de software malicioso para robar credenciales.

Cuando se usa el contexto, cada solicitud de autenticación y autorización debe usar contraseñas seguras con tokens de seguridad o algún otro protocolo de autenticación de dos factores. Los usuarios autenticados y los dispositivos de confianza obtienen acceso limitado y temporal a los recursos necesarios. Los inventarios de máquinas se mantienen de forma segura, y el estado de cada dispositivo conectado (por ejemplo, actualizaciones del SO, parches de seguridad, certificados de dispositivos, software instalado, análisis de virus y estado de encriptación) se evalúa para detectar posibles riesgos de seguridad.

Por ejemplo, Chrome Enterprise Premium ayuda a garantizar que no se roben ni se usen de forma inadecuada las credenciales de los empleados, y que los dispositivos de conexión no se vean comprometidos. Debido a que traslada los controles de acceso del perímetro de la red al contexto de los usuarios y dispositivos individuales, Chrome Enterprise Premium también permite que el personal de Google trabaje de forma más segura desde prácticamente cualquier ubicación sin la necesidad de una VPN.

Revisión y autorización de todo el software de producción

Nuestra infraestructura se basa en contenedores y utiliza un sistema de administración de clústeres llamado Borg. La Autorización de binarios para Borg garantiza que el software de producción se revise y apruebe antes de que se implemente, en especial cuando nuestro código puede acceder a los datos sensibles. La Autorización Binaria para Borg ayuda a garantizar que las implementaciones de código y configuración cumplan con ciertos estándares, y alerta a los propietarios del servicio cuando no se cumplen estos requisitos. Cuando se requiere un código para cumplir determinados estándares y prácticas de administración de cambios antes de acceder a los datos del usuario, la Autorización binaria para Borg reduce la posibilidad de que el personal de Google (o una cuenta comprometida) actúe por su cuenta para acceder a los datos del usuario de manera programática.

Accede a los archivos de registro

Google registra el acceso a los datos de la infraestructura y los cambios de código. Los tipos de registro incluyen los siguientes:

  • Registros del cliente: Están disponibles a través de los registros de auditoría de Cloud.

  • Registros de acceso administrativo: Disponibles a través de la Transparencia de acceso

  • Registros de integridad de la implementación: Registros internos sobre excepciones que supervisa un equipo de seguridad central dedicado a auditar el acceso a los datos del cliente. El monitoreo de excepciones ayuda a proteger los datos sensibles y a mejorar la confiabilidad de la producción. La supervisión de excepciones ayuda a garantizar que el código fuente sin revisar o sin enviar no se ejecute en entornos con privilegios, ya sea de forma accidental o como resultado de un ataque deliberado.

Detección y respuesta ante incidentes

Para detectar y responder a los posibles incumplimientos de acceso, Google utiliza equipos internos de investigación expertos y controles manuales y automatizados que combinan el aprendizaje automático, las canalizaciones avanzadas de procesamiento de datos y los incidentes de inteligencia de amenazas.

Desarrollo de señales

La inteligencia sobre amenazas es la base de las capacidades de detección y respuesta de Google, y se fortalece con el análisis continuo de incidentes anteriores, el tráfico de red, los datos internos, los registros de acceso al sistema, los patrones de comportamiento anómalos, los resultados de los ejercicios de seguridad ofensiva y muchas más alertas patentadas. Estos datos son analizados por equipos especializados que producen una base de datos dinámica de indicadores, o indicadores de amenazas, que incluyen a todo Google. Los equipos de ingeniería usan indicadores de amenazas para desarrollar sistemas de detección especializados que supervisan los sistemas internos en busca de actividad maliciosa, alertan al personal adecuado y aplican respuestas automatizadas (por ejemplo, revocar el acceso a un recurso).

Detección de amenazas

Las amenazas se detectan principalmente analizando los registros y comparando las entradas de registro con los indicadores de amenazas. Como resultado de la autenticación sólida, Google puede distinguir entre eventos humanos, eventos de servicio y eventos de suplantación de identidad de servicio en los registros para priorizar las investigaciones sobre el acceso humano real. Las actividades que implican el acceso a datos del usuario, código fuente e información sensible se registran, y se requiere una justificación comercial o una excepción. Las amenazas pueden incluir a una persona que intenta tomar medidas unilaterales en sistemas sensibles o intenta acceder a datos del usuario sin un motivo comercial válido. Estos tipos de actividades tienen procedimientos de alerta definidos.

Investigación de incidentes

Cuando se detectan incumplimientos de políticas, los equipos de seguridad, que son independientes de los equipos principales de ingeniería y operaciones, brindan supervisión independiente y realizan una investigación inicial. Los equipos de seguridad completan las siguientes tareas:

  • Revisa los detalles del incidente y determina si el acceso fue intencional, no intencional, accidental, causado por un error o una configuración incorrecta, o el resultado de controles inadecuados (por ejemplo, un atacante externo que roba y usa las credenciales de un empleado vulnerado).
  • Si el acceso es involuntario o accidental (por ejemplo, si el personal de Google no conocía los protocolos de acceso o los incumplió por error), los equipos pueden tomar medidas inmediatas para solucionar el problema (por ejemplo, recuperar la propiedad intelectual).
  • Si se sospecha de un comportamiento malicioso, el equipo de seguridad deriva el incidente y recopila información adicional, incluidos los registros de acceso al sistema y a los datos, para determinar el alcance y el impacto del incidente.
  • Según los resultados de esa investigación, el equipo de seguridad envía incidentes para su investigación, documentación y resolución adicionales o, en casos extremos, deriva el incidente a las autoridades externas o a las fuerzas del orden.

Acciones

El equipo de seguridad utiliza incidentes anteriores para identificar y resolver vulnerabilidades, y mejorar las capacidades de detección. Todos los incidentes se documentan y se extraen los metadatos para identificar tácticas, técnicas y procedimientos específicos para cada vulnerabilidad. El equipo usa esos datos para desarrollar nuevos indicadores de amenazas, reforzar las protecciones existentes o solicitar funciones para mejorar la seguridad.

Servicios que supervisan y controlan el acceso de Google a los datos

Los siguientes Google Cloud servicios te brindan opciones para lograr visibilidad y control sobre el acceso de Google a tus datos.

Servicio deGoogle Cloud Descripción

Aprobación de acceso

Si tienes datos altamente sensibles o restringidos, la Aprobación de acceso te permite solicitar tu aprobación antes de que un administrador autorizado de Google pueda acceder a tus datos para brindarte asistencia. Las solicitudes de acceso aprobadas se registran con los registros de Transparencia de acceso que están vinculados a la solicitud de aprobación. Después de aprobar una solicitud, el acceso debe tener los privilegios adecuados dentro de Google antes de que se permita. Para obtener una lista de los servicios deGoogle Cloud que admiten la Aprobación de acceso, consulta Servicios compatibles.

Transparencia de acceso

Los registros de Transparencia de acceso registran el acceso administrativo del personal autorizado de Google cuando brindan asistencia a tu organización o mantienen la disponibilidad del servicio. Para obtener una lista de los servicios de Google Cloud que admiten la Transparencia de acceso, consulta Servicios compatibles.

Assured Workloads

Usa Assured Workloads si tu empresa requiere asistencia regional exclusiva, programas reglamentarios certificados (por ejemplo, FedRAMP o ITAR) o programas como Controles soberanos para la UE. Assured Workloads proporciona a los Google Cloud usuarios un flujo de trabajo de habilitación para crear y supervisar la vida útil de los paquetes de controles que necesites.

Cloud KMS

Usa Cloud KMS con Cloud EKM para controlar tus claves de encriptación. Cloud KMS con Cloud EKM te permite encriptar datos con claves de encriptación que se almacenan y administran en un sistema de administración de claves de terceros que se implementa fuera de la infraestructura de Google. Cloud EKM te permite mantener la separación entre los datos en reposo y las claves de encriptación, a la vez que usas la potencia del procesamiento y las estadísticas de la nube.

Confidential Computing

Usa Confidential Computing para encriptar los datos en uso. Google Cloud Incluye los siguientes servicios que habilitan Confidential Computing:

  • Confidential VM: Habilita la encriptación de datos en uso para cargas de trabajo que usan VMs
  • Confidential Google Kubernetes Engine Nodes: Habilita la encriptación de datos en uso para cargas de trabajo que usan contenedores
  • Confidential Dataflow: Habilita la encriptación de datos en uso para el aprendizaje automático y las análisis de transmisiones.
  • Servicio administrado confidencial para Apache Spark: Habilita el encriptado de los datos en uso para el procesamiento de datos
  • Confidential Space: Permite la encriptación de datos en uso para el aprendizaje automático y el análisis de datos conjuntos

Estos servicios te permiten reducir tu límite de confianza para que menos recursos tengan acceso a tus datos confidenciales. Para obtener más información, consulta Implementa Confidential Computing en Google Cloud.

Key Access Justifications

Usa Key Access Justifications para la soberanía y la detección de datos.

Key Access Justifications te proporciona una justificación cada vez que se usan tus claves alojadas de forma externa para desencriptar datos. Key Access Justifications requiere Cloud KMS con Cloud HSM o Cloud KMS con Cloud EKM para aumentar el control que tienes sobre tus datos. Debes aprobar el acceso antes de que el personal de Google pueda desencriptar tus datos en reposo.

¿Qué sigue?