Segurança, privacidade, risco e compliance do Spanner

Este documento oferece uma visão geral de vários controles que oferecem suporte à segurança do Spanner em Google Cloud e links para mais informações sobre como configurar os controles. Os controles de segurança, como opções de segurança de rede, políticas e gerenciamento de acesso podem ajudar você a lidar com os riscos de negócios e atender aos requisitos regulatórios e de privacidade aplicáveis à sua empresa.

A segurança, a privacidade, o risco e a conformidade do Spanner usam um modelo de responsabilidade compartilhada. Por exemplo, o Google protege a infraestrutura em que o Spanner e outros Google Cloud serviços são executados e oferece os recursos que ajudam você a gerenciar o acesso aos seus serviços e recursos. Para mais informações sobre como protegemos a infraestrutura, consulte a visão geral do design de segurança da infraestrutura do Google.

Serviços provisionados

Ao começar a usar o Spanner, você ativa as seguintes APIs:

• https://spanner.googleapis.com

Para mais informações, consulte Guia de início rápido: criar e consultar um banco de dados no Spanner usando o Google Cloud console.

Autenticação para Google Cloud gerenciamento

Administradores e desenvolvedores que criam e gerenciam instâncias do Spanner precisam fazer a autenticação para verificar a identidade e os privilégios de acesso. Google Cloud É necessário configurar cada usuário com uma conta gerenciada pelo Cloud Identity, pelo Google Workspace ou por um provedor de identidade federado com o Cloud Identity ou o Google Workspace. Para mais informações, consulte Visão geral do gerenciamento de identidade e acesso management.

Depois de criar as contas de usuário, implemente as práticas recomendadas de segurança, como o logon único e a verificação em duas etapas.

Autenticação para Google Cloud acesso a recursos

A federação de identidade de colaboradores permite usar seu provedor de identidade (IdP) externo para autenticar os usuários da sua equipe para que eles possam acessar Google Cloud recursos. Use a federação de identidade de colaboradores quando os usuários exigirem acesso programático aos seus Google Cloud recursos e você armazenar as credenciais dos usuários em IdPs que oferecem suporte ao OpenID Connect (OIDC) ou à Security Assertion Markup Language (SAML).

A federação de identidade da carga de trabalho permite usar seu IdP externo para conceder às cargas de trabalho locais ou multicloud acesso a Google Cloud recursos, sem usar uma chave de conta de serviço. É possível usar a federação de identidade com IdPs como o Amazon Web Services (AWS), o Microsoft Entra ID, o GitHub ou o Okta.

Para mais informações sobre o suporte do Spanner à federação de identidade, consulte Serviços com suporte de identidade federada.

Para mais informações sobre a autenticação em Google Cloud, consulte Autenticação.

Identity and Access Management

Para gerenciar os papéis do Identity and Access Management (IAM) em escala para administradores e desenvolvedores, crie grupos funcionais separados para os vários papéis e aplicativos de usuário. Conceda os papéis ou permissões do IAM necessários para gerenciar Spanner aos seus grupos. Ao atribuir papéis aos grupos, siga o princípio de privilégio mínimo e outras práticas recomendadas de segurança do IAM. Para mais informações, consulte Práticas recomendadas para usar os Grupos do Google.

Para mais informações sobre como configurar o IAM, consulte Visão geral do IAM.

O Spanner oferece suporte ao controle de acesso detalhado do IAM, que permite usar principais do IAM para controlar o acesso a bancos de dados, tabelas, colunas e visualizações do Spanner. Para mais informações, consulte Sobre o controle de acesso detalhado.

Contas de serviço do Spanner

Quando você ativa o Spanner, o Google cria contas de serviço para você. Uma conta de serviço é um tipo especial de Conta do Google não interativa que geralmente é usada por um aplicativo ou carga de trabalho de computação, como uma instância do Compute Engine, em vez de uma pessoa. Os aplicativos usam contas de serviço para acessar as APIs do Google.

Agentes de serviço

Para permitir que o Spanner acesse seus recursos em seu nome, o Google Cloud cria uma conta de serviço especial conhecida como um agente de serviço.

Quando você ativa o Spanner, o seguinte agente de serviço do Spanner é criado:

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Políticas para o Spanner

As políticas da organização predefinidas que se aplicam ao Spanner incluem o seguinte:

• Limitar a criação de instâncias que usam edições do Spanner (constraints/spanner.managed.restrictCloudSpannerEditions)

Para mais informações sobre políticas, consulte Use políticas da organização para o Spanner.

É possível usar políticas da organização personalizadas para configurar restrições no Spanner no nível do projeto, da pasta ou da organização. Para mais informações, consulte Criar e gerenciar restrições personalizadas.

Segurança de rede

Por padrão, o Google aplica proteções padrão aos dados em trânsito para todos os Google Cloud serviços, incluindo instâncias do Spanner em execução no Google Cloud. Para mais informações sobre proteções de rede padrão, consulte Criptografia em trânsito.

Se exigido pela sua organização, é possível configurar controles de segurança adicionais para proteger ainda mais o tráfego na Google Cloud rede e o tráfego entre a Google Cloud rede e sua rede corporativa. Considere o seguinte:

• O Spanner oferece suporte ao VPC Service Controls. Com o VPC Service Controls, é possível controlar a movimentação de dados nos serviços do Google e configurar a segurança de perímetro baseada em contexto.
• Em Google Cloud, considere usar a VPC compartilhada como sua topologia de rede. A VPC compartilhada oferece Gerenciador de configuração de rede centralizado e mantém a separação de ambientes.
• Use o Cloud VPN ou o Cloud Interconnect para maximizar a segurança e a confiabilidade da conexão entre sua rede corporativa e Google Cloud. Para mais informações, consulte Escolher um produto de conectividade de rede.

Para mais informações sobre as práticas recomendadas de segurança de rede, consulte Implementar confiança zero e Decidir o design de rede para sua Google Cloud zona de destino.

Conectividade do aplicativo

É possível proteger a conexão entre aplicativos e o Spanner usando os seguintes métodos:

• Acesso VPC sem servidor para conectar o Spanner diretamente ao Cloud Run.
• Private Service Connect para se conectar a um aplicativo gerenciado em outra VPC no Google Cloud usando o endereço IP particular do Spanner. Use esse método para manter o tráfego em Google Cloud.

Para mais informações sobre as opções de configuração de conexões com serviços sem um endereço IP externo, consulte Opções de acesso particular para serviços.

Autenticação do cliente

O Spanner oferece os seguintes métodos de autenticação para clientes:

• Autenticação do IAM

privacidade e proteção de dados

O Spanner criptografa os dados armazenados em Google Cloud usando a criptografia padrão. Os dados de exemplo incluem o seguinte:

• Nomes de tabelas e colunas
• Nomes de índice
• Database schema
• Dados armazenados em tabelas

Esses dados só podem ser acessados por instâncias do Spanner.

É possível ativar chaves de criptografia gerenciadas pelo cliente (CMEK) para criptografar seus dados em repouso. Com a CMEK, as chaves são armazenadas no Cloud Key Management Service (Cloud KMS) como chaves protegidas por software ou chaves protegidas por hardware com o Cloud HSM, mas são gerenciadas por você. Para provisionar chaves de criptografia automaticamente, ative o Autokey do Cloud KMS. Quando você ativa o Autokey, um desenvolvedor pode solicitar uma chave do Cloud KMS, e o agente de serviço provisiona uma chave que corresponde à intenção do desenvolvedor. Com o Autokey do Cloud KMS, as chaves ficam disponíveis sob demanda, são consistentes e seguem as práticas padrão do setor.

Além disso, o Spanner oferece suporte ao Cloud External Key Manager (Cloud EKM), que permite armazenar as chaves em um gerenciador de chaves externas fora do Google Cloud. Para mais informações, consulte Visão geral das chaves de criptografia gerenciadas pelo cliente (CMEK).

Onde os dados são tratados

O Spanner oferece suporte à residência de dados para dados armazenados no Google Cloud. A residência de dados permite escolher as regiões em que os dados serão armazenados usando a restrição de política de restrição de local do recurso. É possível usar Inventário de recursos do Cloud para verificar o local dos recursos do Spanner.

Se você precisar de residência de dados para dados em uso, configure o Assured Workloads. Para mais informações, consulte Assured Workloads e residência de dados.

Privacidade de dados

Para ajudar a proteger a privacidade dos seus dados, o Spanner está em conformidade com os Princípios comuns de privacidade.

O Spanner atua como um operador de dados para dados do cliente. O Google também atua como controlador de dados para informações como faturamento, gerenciamento da conta e detecção de abusos Para mais informações, consulte o Google Cloud Aviso de privacidade.

Registro de auditoria

O Spanner grava os seguintes tipos de registros de auditoria:

• Registros de auditoria de atividade do administrador: inclui ADMIN WRITE operações que gravam metadados ou informações de configuração.

• Registros de auditoria de acesso a dados: inclui ADMIN READ operações que leem metadados ou informações de configuração. Também inclui operações DATA READ e DATA WRITE que leem ou gravam dados fornecidos pelo usuário.

• Registros de auditoria de eventos do sistema: identifica ações automatizadas Google Cloud que modificam a configuração de recursos.

Para mais informações, consulte Registro de auditoria.

Transparência no acesso

É possível usar Aprovação de acesso e Transparência no acesso para controlar o acesso a instâncias do Spanner por funcionários do Google que oferecem suporte ao serviço. A Aprovação de acesso permite aprovar ou rejeitar solicitações de acesso feitas por funcionários do Google. Os registros de transparência no acesso oferecem insights quase em tempo real quando Google Cloud administradores acessam os recursos.

Monitoramento e resposta a incidentes

É possível usar várias ferramentas para monitorar a performance e a segurança do Spanner. Considere o seguinte:

• Análise de registros para visualizar e analisar registros de eventos e criar métricas personalizadas e alertas.
• Use o painel do Cloud Monitoring para monitorar a performance do Spanner. Para mais informações, consulte Monitorar o Spanner.
• Implante controles e estruturas de nuvem no Security Command Center para detectar vulnerabilidades e ameaças ao Spanner (como escalonamentos de privilégios). É possível configurar alertas e manuais para os analistas da central de operações de segurança (SOC) para que eles possam responder às descobertas.

Certificações e conformidade

Atender aos requisitos regulatórios é uma responsabilidade compartilhada entre você e o Google.

O Spanner recebeu várias certificações, incluindo as seguintes:

• ISO 27001
• SOC 2
• HIPAA

Para mais informações sobre Google Cloud conformidade com diferentes sistemas regulatórios e certificações, consulte a Central de recursos de compliance.

O Spanner também oferece suporte ao Assured Workloads, que permite aplicar controles a pastas específicas na sua organização do Google que oferecem suporte a requisitos regulatórios, regionais ou de soberania. Para mais informações, consulte Produtos com suporte por pacote de controle.

A seguir

• Ativar backups.
• Use o Google Threat Intelligence para rastrear ameaças externas aplicáveis à sua empresa.
• Saiba mais sobre o gerenciamento de identidade e acesso no Spanner.
• Saiba mais sobre a criptografia de dados no Spanner.