Controles de Cloud Storage para casos de uso de IA generativa

La restricción booleana storage.publicAccessPrevention impide el acceso a los recursos existentes y futuros a través de Internet. Inhabilita y bloquea las listas de control de acceso (LCA) y los permisos de Identity and Access Management (IAM) que otorgan acceso a allUsers y allAuthenticatedUsers.

La restricción booleana storage.uniformBucketLevelAccess requiere que los buckets usen el acceso uniforme a nivel de bucket. El acceso uniforme a nivel de bucket te permite usar solo permisos de Identity and Access Management (IAM) a nivel del bucket para otorgar acceso a tus recursos de Cloud Storage.

Una clave HMAC es un tipo de credencial de larga duración que se asocia con una cuenta de servicio o una cuenta de usuario en Cloud Storage. Usa una clave HMAC para crear firmas que se incluyen en las solicitudes a Cloud Storage. Una firma demuestra que un usuario o una cuenta de servicio autorizaron una solicitud.

A diferencia de las credenciales de corta duración (como A diferencia de los tokens de OAuth 2.0, las claves HMAC no vencen automáticamente y siguen siendo válidas hasta que se revocan de forma manual. Las claves HMAC son credenciales de alto riesgo: si se ven comprometidas, proporcionan acceso persistente a tus recursos. Debes asegurarte de que existan mecanismos adecuados para protegerlos.

Las cuentas de servicio son identidades no humanas diseñadas para aplicaciones, y su comportamiento es predecible y automatizado. Por lo general, las cuentas de servicio no necesitan detallar los buckets, ya que ya están asignados. Por lo tanto, si detectas que una cuenta de servicio intenta recuperar una lista de todos los buckets de Cloud Storage, investiga el caso de inmediato. La enumeración de reconocimiento suele ser utilizada como técnica de reconocimiento por un agente malicioso que obtuvo acceso a la cuenta de servicio.

Configura una alerta que detecte cuando se modifique la política de IAM de un bucket de Cloud Storage para otorgar acceso público. Esta alerta se activa cuando los principales allUsers o allAuthenticatedUsers se agregan a la política de IAM de un bucket. Esta alerta es un evento crítico de gravedad alta porque puede exponer todos los datos del bucket. Investiga esta alerta de inmediato para confirmar si el cambio se autorizó o si es un signo de una configuración incorrecta o de un actor malicioso.

En la alerta, establece el atributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member en allUsers o allAuthenticatedUsers, y la acción en ADD.

Según tus requisitos reglamentarios, asegúrate de que cada política de retención de bucket de Cloud Storage esté bloqueada. Establece el período de retención en un período que cumpla con tus requisitos.

Aplica reglas de ciclo de vida a cada bucket de Cloud Storage que tenga un tipo de acción SetStorageClass.

Asegúrate de que la administración del ciclo de vida de Cloud Storage esté habilitada y configurada. El control del ciclo de vida contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos.

Asegúrate de que las reglas de administración del ciclo de vida de Cloud Storage estén habilitadas y configuradas. El control de reglas contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos.

Identifica todos los objetos en los que temporaryHold está establecido como TRUE y comienza un proceso de investigación y validación. Esta evaluación es adecuada para los siguientes casos de uso:

• Conservación legal: Para cumplir con los requisitos legales de almacenamiento de datos, se puede usar la conservación temporal para evitar el borrado de datos sensibles que puedan ser relevantes para investigaciones o litigios en curso.
• Prevención de pérdida de datos: Para evitar la eliminación accidental de datos importantes, la conservación temporal se puede usar como medida de seguridad para proteger la información comercial crítica.
• Moderación de contenido: Para revisar el contenido potencialmente sensible o inapropiado antes de que sea accesible de forma pública, aplica una retención temporal al contenido subido a Cloud Storage para su posterior inspección y decisiones de moderación.

Asegúrate de que todos los buckets de Cloud Storage tengan una política de retención.

La clasificación de datos es un componente fundamental de cualquier programa de administración y seguridad de datos. Es fundamental aplicar una etiqueta de clasificación con valores como público, interno, confidencial o restringido a cada bucket.

Confirma que google_storage_bucket.labels tenga una expresión para la clasificación y crea un incumplimiento si no la tiene.

Asegúrate de que cada bucket de Cloud Storage incluya un bucket de registros.

En Cloud Storage, storage.buckets/lifecycle.rule.action.type hace referencia al tipo de acción que se debe realizar en un objeto específico según una regla del ciclo de vida dentro de un bucket. Esta configuración ayuda a automatizar la administración y el ciclo de vida de los datos almacenados en la nube.

Configura storage.buckets/lifecycle.rule.action.type para garantizar que los objetos se borren de forma permanente del bucket.

En el caso de las reglas de eliminación, asegúrate de que la condición isLive de la regla esté establecida en false.

En Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive es una condición booleana que se usa en las reglas de ciclo de vida para determinar si un objeto se considera activo. Este filtro ayuda a garantizar que las acciones dentro de una regla del ciclo de vida se apliquen solo a los objetos deseados según su estado en vivo.

Casos de uso:

• Archiva versiones históricas: Archiva solo las versiones no actuales de los objetos para ahorrar costos de almacenamiento y mantener la versión más reciente fácilmente accesible.
• Limpieza de objetos borrados: Automatiza la eliminación permanente de los objetos que borraron los usuarios, lo que libera espacio en el bucket.
• Protege los datos activos: Asegúrate de que las acciones, como establecer conservaciones temporales, se apliquen solo a los objetos activos, lo que evita la modificación accidental de las versiones archivadas o borradas.

Asegúrate de que todos los buckets de Cloud Storage tengan habilitado el control de versiones. Los casos de uso incluyen lo siguiente:

• Protección y recuperación de datos: Protege contra la pérdida accidental de datos evitando el reemplazo y permitiendo la recuperación de datos borrados o modificados.
• Cumplimiento y auditoría: Mantén un historial de todas las ediciones de objetos para fines de cumplimiento normativo o auditoría interna.
• Control de versiones: Realiza un seguimiento de los cambios en los archivos y los conjuntos de datos, lo que permite la colaboración y la reversión a versiones anteriores si es necesario.

Asegúrate de que google_storage_bucket.labels tenga una expresión para un propietario.

Habilita el registro adicional en torno a objetos de almacenamiento particulares según su caso de uso. Por ejemplo, registra el acceso a los buckets de datos sensibles para que puedas rastrear quién obtuvo acceso y cuándo. Cuando habilites el registro adicional, ten en cuenta el volumen de registros que podrías generar.