Controles de Cloud Storage para casos prácticos de IA generativa

La restricción booleana storage.publicAccessPrevention impide el acceso a los recursos actuales y futuros a través de Internet. Inhabilita y bloquea las listas de control de acceso (ACL) y los permisos de Gestión de Identidades y Accesos (IAM) que conceden acceso a allUsers y allAuthenticatedUsers.

La restricción booleana storage.uniformBucketLevelAccess exige que se use el acceso uniforme a nivel de segmento en los segmentos. El acceso uniforme a nivel de segmento te permite usar solo los permisos de gestión de identidades y accesos (IAM) a nivel de segmento para conceder acceso a tus recursos de Cloud Storage.

Una clave HMAC es un tipo de credencial de larga duración que está asociada a una cuenta de servicio o a una cuenta de usuario de Cloud Storage. Usa una clave HMAC para crear firmas que se incluyan en las solicitudes a Cloud Storage. Una firma demuestra que un usuario o una cuenta de servicio ha autorizado una solicitud.

A diferencia de las credenciales de duración reducida (como Tokens de OAuth 2.0), las claves HMAC no caducan automáticamente y siguen siendo válidas hasta que se revocan manualmente. Las claves HMAC son credenciales de alto riesgo: si se ven comprometidas, proporcionan acceso persistente a tus recursos. Debes asegurarte de que se apliquen los mecanismos adecuados para protegerlos.

Las cuentas de servicio son identidades no humanas diseñadas para aplicaciones, y su comportamiento es predecible y automatizado. Normalmente, las cuentas de servicio no necesitan enumerar los contenedores, ya que ya están asignados. Por lo tanto, si detectas que una cuenta de servicio intenta obtener una lista de todos los segmentos de Cloud Storage, investiga el problema inmediatamente. La enumeración de reconocimiento se suele usar como técnica de reconocimiento por un agente malicioso que ha obtenido acceso a la cuenta de servicio.

Configura una alerta que detecte cuándo se modifica la política de IAM de un segmento de Cloud Storage para conceder acceso público. Esta alerta se activa cuando se añaden las entidades allUsers o allAuthenticatedUsers a la política de gestión de identidades y accesos de un segmento. Esta alerta es un evento crítico de gravedad alta porque puede exponer todos los datos del contenedor. Investiga esta alerta inmediatamente para confirmar si el cambio se ha autorizado o si es un signo de una configuración incorrecta o de un agente malicioso.

En la alerta, asigna el valor allUsers o allAuthenticatedUsers al atributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member y el valor ADD a la acción.

En función de los requisitos normativos, asegúrese de que la política de retención de cada segmento de Cloud Storage esté bloqueada. Define el periodo de conservación que se ajuste a tus necesidades.

Aplica reglas de ciclo de vida a cada segmento de Cloud Storage que tenga un tipo de acción SetStorageClass.

Asegúrate de que la gestión del ciclo de vida de Cloud Storage esté habilitada y configurada. El control del ciclo de vida contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este ajuste se ajustan a tus requisitos.

Asegúrate de que las reglas de gestión del ciclo de vida de Cloud Storage estén habilitadas y configuradas. El control de reglas contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este ajuste se ajustan a tus requisitos.

Identifica todos los objetos en los que temporaryHold se haya definido como TRUE e inicia un proceso de investigación y validación. Esta evaluación es adecuada para los siguientes casos prácticos:

• Retención por motivos legales: para cumplir los requisitos legales de almacenamiento de datos, se puede usar una retención temporal para evitar que se eliminen datos sensibles que puedan ser relevantes para investigaciones o litigios en curso.
• Prevención de la pérdida de datos: para evitar que se eliminen datos importantes por error, se puede usar la conservación temporal como medida de seguridad para proteger la información empresarial crítica.
• Moderación de contenido: para revisar el contenido potencialmente sensible o inapropiado antes de que sea accesible públicamente, aplica una retención temporal al contenido subido a Cloud Storage para inspeccionarlo más a fondo y tomar decisiones de moderación.

Asegúrate de que todos los segmentos de Cloud Storage tengan una política de retención.

La clasificación de datos es un componente fundamental de cualquier programa de gobierno y seguridad de datos. Es fundamental aplicar una etiqueta de clasificación con valores como público, interno, confidencial o restringido a cada segmento.

Confirma que google_storage_bucket.labels tiene una expresión para la clasificación y crea una infracción si no la tiene.

Asegúrate de que todos los segmentos de Cloud Storage incluyan un segmento de registro.

En Cloud Storage, storage.buckets/lifecycle.rule.action.type hace referencia al tipo de acción que se debe llevar a cabo en un objeto específico en función de una regla de ciclo de vida de un segmento. Esta configuración ayuda a automatizar la gestión y el ciclo de vida de los datos almacenados en la nube.

Configura storage.buckets/lifecycle.rule.action.type para asegurarte de que los objetos se eliminen permanentemente del contenedor.

En las reglas de eliminación, asegúrate de que la condición isLive de la regla sea false.

En Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive es una condición booleana que se usa en las reglas de ciclo de vida para determinar si un objeto se considera activo. Este filtro ayuda a asegurarse de que las acciones de una regla de ciclo de vida se apliquen solo a los objetos deseados en función de su estado activo.

Casos prácticos:

• Archivar versiones anteriores: archiva solo las versiones de objetos que no estén actualizadas para ahorrar costes de almacenamiento y, al mismo tiempo, mantener la versión más reciente fácilmente accesible.
• Limpiar objetos eliminados: automatiza la eliminación permanente de los objetos que han eliminado los usuarios, lo que libera espacio en el contenedor.
• Protege los datos activos: asegúrate de que las acciones, como la configuración de retenciones temporales, solo se apliquen a los objetos activos para evitar que se modifiquen accidentalmente las versiones archivadas o eliminadas.

Asegúrate de que todos los segmentos de Cloud Storage tengan habilitada la gestión de versiones. Estos son algunos de los usos:

• Protección y recuperación de datos: protege los datos frente a pérdidas accidentales evitando que se sobrescriban y permitiendo la recuperación de datos eliminados o modificados.
• Cumplimiento y auditoría: mantén un historial de todas las ediciones de objetos para cumplir las normativas o para realizar auditorías internas.
• Control de versiones: registra los cambios en los archivos y conjuntos de datos, lo que permite colaborar y volver a versiones anteriores si es necesario.

Asegúrate de que google_storage_bucket.labels tenga una expresión para un propietario.

Habilita el registro adicional de objetos de almacenamiento concretos en función de su caso práctico. Por ejemplo, registra el acceso a los segmentos de datos sensibles para poder rastrear quién ha obtenido acceso y cuándo. Cuando habilites el registro adicional, ten en cuenta el volumen de registros que puedes generar.