Seguridad, privacidad, riesgo y cumplimiento para Spanner

En este documento, se proporciona una descripción general de varios controles que admiten la seguridad de Spanner y se incluyen vínculos a más información sobre cómo configurar los controles. Google Cloud Los controles de seguridad, como las opciones de seguridad de red, las políticas y la administración de acceso pueden ayudarte a abordar los riesgos comerciales y cumplir con los requisitos de privacidad y reglamentarios que se aplican a tu empresa.

La seguridad, la privacidad, el riesgo y el cumplimiento de Spanner usan un modelo de responsabilidad compartida. Por ejemplo, Google protege la infraestructura en la que se ejecutan Spanner y otros Google Cloud servicios, y te proporciona las capacidades que te ayudan a administrar el acceso a tus servicios y recursos. Para obtener más información sobre cómo protegemos la infraestructura, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Servicios aprovisionados

Cuando comienzas a usar Spanner, habilitas las siguientes APIs:

Para obtener más información, consulta la guía de inicio rápido para crear y consultar una base de datos en Spanner con la consola Google Cloud .

Autenticación para la Google Cloud administración

Los administradores y desarrolladores que crean y administran instancias de Spanner deben autenticarse para Google Cloud para verificar su identidad y privilegios de acceso. Debes configurar cada usuario con una cuenta de usuario que administre Cloud Identity, Google Workspace o un proveedor de identidad con el que te hayas federado con Cloud Identity o Google Workspace. Para obtener más información, consulta la Descripción general de la administración de identidades y accesos.

Después de crear las cuentas de usuario, implementa las prácticas recomendadas de seguridad, como el SSO y la verificación en 2 pasos.

Autenticación para el acceso a los recursos Google Cloud

La federación de identidades de personal te permite usar tu proveedor de identidad (IdP) externo para autenticar a los usuarios de tu personal de modo que puedan acceder Google Cloud a los recursos. Usa la federación de identidades de personal cuando los usuarios requieran acceso programático a tus Google Cloud recursos y almacenes sus credenciales en IdPs que admitan OpenID Connect (OIDC) o el lenguaje de marcado para confirmaciones de seguridad (SAML).

La federación de identidades para cargas de trabajo te permite usar tu IdP externo para otorgarles a las cargas de trabajo locales o de múltiples nubes acceso a Google Cloud los recursos, sin usar una clave de cuenta de servicio. Puedes usar la federación de identidades con IdPs como Amazon Web Services (AWS), Microsoft Entra ID, GitHub o Okta.

Para obtener más información sobre la compatibilidad de Spanner con la federación de identidades, consulta Servicios compatibles con la identidad federada.

Para obtener más información sobre la autenticación en Google Cloud, consulta Autenticación.

Identity and Access Management

Para administrar los roles de Identity and Access Management (IAM) a gran escala para tus administradores y desarrolladores, considera crear grupos funcionales separados para tus diferentes roles de usuario y aplicaciones. Otorga a tus grupos los roles o permisos de IAM que se requieren para administrar Spanner. Cuando asignes roles a tus grupos, sigue el principio de privilegio mínimo y otras prácticas recomendadas de seguridad de IAM. Para obtener más información, consulta Prácticas recomendadas para usar Grupos de Google.

Para obtener más información sobre la configuración de IAM, consulta Descripción general de IAM.

Spanner admite el control de acceso detallado de IAM, que te permite usar principales de IAM para controlar el acceso a las bases de datos, las tablas, las columnas y las vistas de Spanner. Para obtener más información, consulta Información sobre el control de acceso detallado .

Cuentas de servicio de Spanner

Cuando habilitas Spanner, Google crea cuentas de servicio por ti. Una cuenta de servicio es un tipo especial de Cuenta de Google no interactiva que suele usar una aplicación o carga de trabajo de procesamiento, como una instancia de Compute Engine, en lugar de una persona. Las aplicaciones usan cuentas de servicio para acceder a las APIs de Google.

Agentes de servicio

Para permitir que Spanner acceda a tus recursos en tu nombre, Google Cloud crea una cuenta de servicio especial conocida como agente de servicio.

Cuando habilitas Spanner, se crea el siguiente agente de servicio de Spanner:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Políticas para Spanner

Las políticas de la organización predefinidas que se aplican a Spanner incluyen lo siguiente:

  • Limita la creación de instancias que usan ediciones de Spanner (constraints/spanner.managed.restrictCloudSpannerEditions)

Para obtener más información sobre las políticas, consulta Usa políticas de la organización para Spanner.

Puedes usar políticas de la organización personalizadas para configurar restricciones en Spanner a nivel de proyecto, carpeta o de la organización. Para obtener más información, consulta Crea y administra restricciones personalizadas.

Seguridad de red

De forma predeterminada, Google aplica protecciones predeterminadas a los datos en tránsito para todos los Google Cloud servicios, incluidas las instancias de Spanner que se ejecutan en Google Cloud. Para obtener más información sobre las protecciones de red predeterminadas, consulta Encriptación en tránsito.

Si tu organización lo requiere, puedes configurar controles de seguridad adicionales para proteger aún más el tráfico en la Google Cloud red y el tráfico entre la Google Cloud red y tu red corporativa. Ten en cuenta lo siguiente:

  • Spanner admite los Controles del servicio de VPC. Los Controles del servicio de VPC te permiten controlar el movimiento de datos en los servicios de Google y configurar la seguridad perimetral basada en el contexto.
  • En Google Cloud, considera usar la VPC compartida como tu topología de red. La VPC compartida proporciona una administración centralizada de la configuración de red a la vez que mantiene la separación de los entornos.
  • Usa Cloud VPN o Cloud Interconnect para maximizar la seguridad y la confiabilidad de la conexión entre tu red corporativa y Google Cloud. Para obtener más información, consulta Elige un producto de Conectividad de red.

Para obtener más información sobre las prácticas recomendadas de seguridad de red, consulta Implementa la confianza cero y Decide el diseño de red para tu Google Cloud zona de destino.

Conectividad de aplicaciones

Puedes proteger la conexión entre las aplicaciones y Spanner con los siguientes métodos:

  • Acceso a VPC sin servidores para conectar Spanner directamente con Cloud Run.
  • Private Service Connect para conectarte a una aplicación administrada en otra VPC en Google Cloud con la dirección IP privada de Spanner. Usa este método para mantener el tráfico en Google Cloud.

Para obtener más información sobre las opciones para configurar conexiones a servicios sin una dirección IP externa, consulta Opciones de acceso privado a los servicios.

Autenticación de clientes

Spanner proporciona los siguientes métodos de autenticación para los clientes:

Protección y privacidad de los datos

Spanner encripta los datos que se almacenan en Google Cloud con la encriptación predeterminada. Los datos de ejemplo incluyen lo siguiente:

  • Nombres de tablas y columnas
  • Nombres de índices
  • Esquema de la base de datos
  • Datos almacenados en tablas

Solo se puede acceder a estos datos desde las instancias de Spanner.

Puedes habilitar claves de encriptación administradas por el cliente (CMEK) para encriptar tus datos en reposo. Con CMEK, las claves se almacenan en Cloud Key Management Service (Cloud KMS) como claves protegidas por software o claves protegidas por hardware con Cloud HSM, pero tú las administras. Para aprovisionar claves de encriptación automáticamente, puedes habilitar Autokey de Cloud KMS. Cuando habilitas Autokey, un desarrollador puede solicitar una clave de Cloud KMS, y el agente de servicio aprovisiona una clave que coincide con la intención del desarrollador. Con Autokey de Cloud KMS, las claves están disponibles a pedido, son coherentes y siguen las prácticas estándar de la industria.

Además, Spanner admite Cloud External Key Manager (Cloud EKM), que te permite almacenar tus claves en un administrador de claves externo fuera de Google Cloud. Para obtener más información, consulta Descripción general de las claves de encriptación administradas por el cliente (CMEK).

Dónde se procesan los datos

Spanner admite la residencia de datos para los datos que se almacenan en Google Cloud. La residencia de datos te permite elegir las regiones en las que deseas que se almacenen tus datos con la restricción de política de restricción de ubicación de recursos. Puedes usar Cloud Asset Inventory para verificar la ubicación de los recursos de Spanner.

Si necesitas residencia de datos para los datos en uso, puedes configurar Assured Workloads. Para obtener más información, consulta Assured Workloads y residencia de datos.

Privacidad de los datos

Para proteger la privacidad de tus datos, Spanner cumple con los Principios de privacidad comunes.

Spanner actúa como un encargado del tratamiento de datos para los datos del cliente. Google también actúa como responsable del tratamiento de datos para la información, como la facturación y la administración de cuentas, y las detecciones de abuso. Para obtener más información, consulta el Google Cloud Aviso de Privacidad.

Registros de auditoría

Spanner escribe los siguientes tipos de registros de auditoría:

  • Registros de auditoría de actividad del administrador: Incluye ADMIN WRITE operaciones que escriben metadatos o información de configuración.

  • Registros de auditoría de acceso a los datos: Incluye ADMIN READ operaciones que leen metadatos o información de configuración. También incluye las operaciones DATA READ y DATA WRITE que leen o escriben datos proporcionados por el usuario.

  • Registros de auditoría de eventos del sistema: Identifica acciones automatizadas Google Cloud que modifican la configuración de los recursos.

Para obtener más información, consulta Registros de auditoría.

Transparencia de acceso

Puedes usar Aprobación de acceso y Transparencia de acceso para controlar el acceso a las instancias de Spanner por parte del personal de Google que admite el servicio. La Aprobación de acceso te permite aprobar o descartar las solicitudes de acceso de los empleados de Google. Los registros de Transparencia de acceso ofrecen estadísticas casi en tiempo real cuando Google Cloud los administradores acceden a los recursos.

Supervisión y respuesta ante incidentes

Puedes usar una variedad de herramientas para supervisar el rendimiento y la seguridad de Spanner. Ten en cuenta lo siguiente:

  • Explorador de registros para ver y analizar registros de eventos, y crear métricas personalizadas y alertas.
  • Usa el panel de Cloud Monitoring para supervisar el rendimiento de Spanner. Para obtener más información, consulta Supervisa Spanner.
  • Implementa controles y frameworks de la nube en Security Command Center para detectar vulnerabilidades y amenazas a Spanner (como escalamientos de privilegios). Puedes configurar alertas y manuales de estrategias para los analistas de tu centro de operaciones de seguridad (SOC) para que puedan responder a los hallazgos.

Certificaciones y cumplimiento

Cumplir con los requisitos reglamentarios es una responsabilidad compartida entre tú y Google.

Spanner recibió una variedad de certificaciones, incluidas las siguientes:

  • ISO 27001
  • SOC 2
  • HIPAA

Para obtener más información sobre Google Cloud el cumplimiento de diferentes frameworks reglamentarios y certificaciones, consulta el Centro de recursos de cumplimiento.

Spanner también admite Assured Workloads, que te permite aplicar controles a carpetas específicas de tu organización de Google que admiten requisitos reglamentarios, regionales o de soberanía. Para obtener más información, consulta Productos compatibles por paquete de control package.

¿Qué sigue?