Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Seguridad, privacidad, riesgo y cumplimiento para Spanner

En este documento, se proporciona una descripción general de los distintos controles que admiten la seguridad de Spanner en Google Cloud y se incluyen vínculos a más información sobre cómo configurar los controles. Los controles de seguridad, como las opciones, las políticas y la administración de acceso de seguridad de la red, pueden ayudarte a abordar los riesgos comerciales y cumplir con los requisitos regulatorios y de privacidad que se aplican a tu empresa.

La seguridad, la privacidad, el riesgo y el cumplimiento de Spanner utilizan un modelo de responsabilidad compartida. Por ejemplo, Google protege la infraestructura en la que se ejecutan Spanner y otros servicios, y te proporciona las capacidades que te ayudan a administrar el acceso a tus servicios y recursos. Google Cloud Para obtener más información sobre cómo protegemos la infraestructura, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Servicios aprovisionados

Cuando comienzas a usar Spanner, habilitas las siguientes APIs:

https://spanner.googleapis.com

Para obtener más información, consulta la guía de inicio rápido para crear y consultar una base de datos en Spanner con la consola de Google Cloud .

Autenticación para la administración de Google Cloud

Los administradores y desarrolladores que crean y administran instancias de Spanner deben autenticarse en Google Cloud para verificar su identidad y sus privilegios de acceso. Debes configurar cada usuario con una cuenta de usuario administrada por Cloud Identity, Google Workspace o un proveedor de identidad con el que te federaste con Cloud Identity o Google Workspace. Para obtener más información, consulta la Descripción general de la administración de identidades de Google.

Después de crear las cuentas de usuario, implementa las prácticas recomendadas de seguridad, como el inicio de sesión único y la verificación en 2 pasos.

Autenticación para el acceso a recursos de Google Cloud

La federación de identidades de personal te permite usar tu proveedor de identidad (IdP) externo para autenticar a los usuarios de tu personal, de modo que puedan acceder a los recursos Google Cloud . Usa la federación de identidades de personal cuando los usuarios requieran acceso programático a tus recursos de Google Cloud y almacenes sus credenciales en IdPs que admitan OpenID Connect (OIDC) o el lenguaje de marcado para confirmaciones de seguridad (SAML).

La federación de identidades para cargas de trabajo te permite usar tu IdP externo para otorgar a tus cargas de trabajo locales o de múltiples nubes acceso a los recursos de Google Cloud , sin usar una clave de cuenta de servicio. Puedes usar la federación de identidades con IdPs como Amazon Web Services (AWS), Microsoft Entra ID, GitHub o Okta.

Para obtener más información sobre la compatibilidad de Spanner con la federación de identidades, consulta Servicios compatibles con la identidad federada.

Para obtener más información sobre la autenticación en Google Cloud, consulta Autenticación.

Identity and Access Management

Para administrar los roles de Identity and Access Management (IAM) a gran escala para tus administradores y desarrolladores, considera crear grupos funcionales separados para tus diferentes roles de usuario y aplicaciones. Otorga a tus grupos los roles o permisos de IAM necesarios para administrar Spanner. Cuando asignes roles a tus grupos, sigue el principio de privilegio mínimo y otras prácticas recomendadas de seguridad de IAM. Para obtener más información, consulta las prácticas recomendadas para usar Grupos de Google.

Para obtener más información sobre la configuración de IAM, consulta la Descripción general de IAM.

Spanner admite el control de acceso detallado de IAM, que te permite usar principales de IAM para controlar el acceso a bases de datos, tablas, columnas y vistas de Spanner. Para obtener más información, consulta Información sobre el control de acceso detallado.

Cuentas de servicio de Spanner

Cuando habilitas Spanner, Google crea cuentas de servicio por ti. Una cuenta de servicio es un tipo especial de cuenta de Google no interactiva que, por lo general, es usada por una aplicación o carga de trabajo de procesamiento, como una instancia de Compute Engine, en lugar de una persona. Las aplicaciones usan cuentas de servicio para acceder a las APIs de Google.

Agentes de servicio

Para permitir que Spanner acceda a tus recursos en tu nombre, Google Cloud crea una cuenta de servicio especial conocida como agente de servicio.

Cuando habilitas Spanner, se crea el siguiente agente de servicio de Spanner:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Políticas de Spanner

Las políticas de la organización predefinidas que se aplican a Spanner incluyen las siguientes:

Limita la creación de instancias que usan ediciones de Spanner (constraints/spanner.managed.restrictCloudSpannerEditions).

Para obtener más información sobre las políticas, consulta Usa políticas de la organización para Spanner.

Puedes usar políticas de la organización personalizadas para configurar restricciones en Spanner a nivel del proyecto, la carpeta o la organización. Para obtener más información, consulta Crea y administra restricciones personalizadas.

Seguridad de red

De forma predeterminada, Google aplica protecciones predeterminadas a los datos en tránsito para todos los servicios de Google Cloud , incluidas las instancias de Spanner que se ejecutan en Google Cloud. Para obtener más información sobre las protecciones de red predeterminadas, consulta Encriptación en tránsito.

Si tu organización lo requiere, puedes configurar controles de seguridad adicionales para proteger aún más el tráfico en la red Google Cloud y el tráfico entre la red Google Cloud y tu red corporativa. Ten en cuenta lo siguiente:

Spanner admite los Controles del servicio de VPC. Los Controles del servicio de VPC te permiten controlar el movimiento de datos en los servicios de Google y configurar la seguridad perimetral basada en el contexto.
En Google Cloud, considera usar la VPC compartida como tu topología de red. La VPC compartida proporciona una administración centralizada de la configuración de red, a la vez que mantiene la separación de los entornos.
Usa Cloud VPN o Cloud Interconnect para maximizar la seguridad y la confiabilidad de la conexión entre tu red corporativa y Google Cloud. Para obtener más información, consulta Elige un producto de Conectividad de red.

Para obtener más información sobre las prácticas recomendadas de seguridad de la red, consulta Implementa la confianza cero y Decide el diseño de red de tu zona de destino de Google Cloud .

Conectividad de la aplicación

Puedes proteger la conexión entre las aplicaciones y Spanner con los siguientes métodos:

Acceso a VPC sin servidores para conectar Spanner directamente con Cloud Run
Private Service Connect para conectarse a una aplicación administrada en otra VPC en Google Cloud con la dirección IP privada de Spanner Usa este método para mantener el tráfico en Google Cloud.

Si deseas obtener más información sobre las opciones para configurar conexiones a servicios sin una dirección IP externa, consulta Opciones de acceso privado a los servicios.

Autenticación de clientes

Spanner proporciona los siguientes métodos de autenticación para los clientes:

Autenticación de IAM

Protección y privacidad de los datos

Spanner encripta los datos que se almacenan en Google Cloudcon la encriptación predeterminada. Datos de ejemplo que incluyen lo siguiente:

Nombres de tablas y columnas
Nombres de índices
Esquema de la base de datos
Datos almacenados en tablas

Solo las instancias de Spanner pueden acceder a estos datos.

Puedes habilitar las claves de encriptación administradas por el cliente (CMEK) para encriptar tus datos en reposo. Con la CMEK, las claves se almacenan en Cloud Key Management Service (Cloud KMS) como claves protegidas por software o por hardware con Cloud HSM, pero tú las administras. Para aprovisionar claves de encriptación automáticamente, puedes habilitar Autokey de Cloud KMS. Cuando habilitas Autokey, un desarrollador puede solicitar una clave de Cloud KMS, y el agente de servicio aprovisiona una clave que coincide con la intención del desarrollador. Con Autokey de Cloud KMS, las claves están disponibles a pedido, son coherentes y siguen las prácticas estándar de la industria.

Además, Spanner admite Cloud External Key Manager (Cloud EKM), que te permite almacenar tus claves en un administrador de claves externo fuera de Google Cloud. Para obtener más información, consulta la descripción general de las claves de encriptación administradas por el cliente (CMEK).

Dónde se procesan los datos

Spanner admite la residencia de datos para los datos almacenados en Google Cloud. La residencia de datos te permite elegir las regiones en las que deseas que se almacenen tus datos con la restricción de la política de ubicación del recurso. Puedes usar Cloud Asset Inventory para verificar la ubicación de los recursos de Spanner.

Si necesitas residencia de datos para los datos en uso, puedes configurar Assured Workloads. Para obtener más información, consulta Assured Workloads y residencia de datos.

Privacidad de los datos

Para ayudar a proteger la privacidad de tus datos, Spanner cumple con los Principios de privacidad comunes.

Spanner actúa como encargado del tratamiento de datos de los Datos del Cliente. Google también actúa como responsable del tratamiento de datos para la información, como la facturación y la administración de cuentas, y la detección de abusos. Para obtener más información, consulta el Google Cloud Aviso de Privacidad.

Registros de auditoría

Spanner escribe los siguientes tipos de registros de auditoría:

Registros de auditoría de actividad del administrador: Incluyen operaciones de ADMIN WRITE que escriben metadatos o información de configuración.
Registros de auditoría de acceso a los datos: Incluyen operaciones de ADMIN READ que leen metadatos o información de configuración. También incluye las operaciones DATA READ y DATA WRITE que leen o escriben datos proporcionados por el usuario.
Registros de auditoría de eventos del sistema: Identifican acciones automatizadas Google Cloud que modifican la configuración de los recursos.

Para obtener más información, consulta Registros de auditoría.

Transparencia de acceso

Puedes usar la Aprobación de acceso y la Transparencia de acceso para controlar el acceso a las instancias de Spanner por parte del personal de Google que brinda asistencia para el servicio. La Aprobación de acceso te permite aprobar o descartar las solicitudes de acceso de los empleados de Google. Los registros de la Transparencia de acceso ofrecen estadísticas casi en tiempo real cuando los administradores acceden a los recursos. Google Cloud

Supervisión y respuesta ante incidentes

Puedes usar una variedad de herramientas para supervisar el rendimiento y la seguridad de Spanner. Ten en cuenta lo siguiente:

Explorador de registros para ver y analizar registros de eventos, y crear métricas personalizadas y alertas
Usa el panel de Cloud Monitoring para supervisar el rendimiento de Spanner. Para obtener más información, consulta Supervisa Spanner.
Implementa controles y marcos de trabajo de Cloud en Security Command Center para detectar vulnerabilidades y amenazas a Spanner (como escalaciones de privilegios). Puedes configurar alertas y guías para los analistas de tu centro de operaciones de seguridad (SOC) para que puedan responder a los hallazgos.

Certificaciones y cumplimiento

Cumplir con tus requisitos reglamentarios es una responsabilidad compartida entre tú y Google.

Spanner recibió una variedad de certificaciones, incluidas las siguientes:

ISO 27001
SOC 2
HIPAA

Para obtener más información sobre el cumplimiento de Google Cloud diferentes marcos regulatorios y certificaciones, consulta el Centro de recursos de cumplimiento.

Spanner también admite Assured Workloads, que te permite aplicar controles a carpetas específicas de tu organización de Google que satisfacen requisitos reglamentarios, regionales o de soberanía. Para obtener más información, consulta Productos compatibles por paquete de control.

¿Qué sigue?

Habilita las copias de seguridad.
Utiliza Google Threat Intelligence para hacer un seguimiento de las amenazas externas que se aplican a tu empresa.
Obtén más información sobre Identity and Access Management en Spanner.
Obtén más información sobre la encriptación de datos en Spanner.

Seguridad, privacidad, riesgo y cumplimiento para Spanner Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.