Questo documento del framework dell'architettura di Google Cloud fornisce le best practice per l'implementazione della sicurezza dei dati.
Nell'ambito dell'architettura di deployment, devi considerare i dati che prevedi di elaborare e archiviare in Google Cloud e la loro sensibilità. Progetta i controlli per proteggere i dati durante il loro ciclo di vita, per identificarne la proprietà e la classificazione e per proteggerli dall'uso non autorizzato.
Per un blueprint di sicurezza che esegue il deployment di un data warehouse BigQuery con le best practice per la sicurezza descritte in questo documento, consulta Proteggere un data warehouse BigQuery in cui sono archiviati dati riservati.
Classifica automaticamente i tuoi dati
Eseguire la classificazione dei dati fin dalle prime fasi del ciclo di vita della gestione dei dati possibile, idealmente quando i dati sono stati creati. In genere, le attività di classificazione dei dati richiedono solo alcune categorie, ad esempio:
- Pubblico: dati approvati per l'accesso pubblico.
- Interno: dati non sensibili non divulgati al pubblico.
- Riservato: dati sensibili disponibili per la distribuzione interna generale.
- Con restrizioni: dati altamente sensibili o regolamentati che richiedono limitazioni distribuzione dei contenuti.
Utilizza le funzionalità di Protezione dei dati sensibili per scoprire e classificare i dati nel tuo ambiente Google Cloud. Sensitive Data Protection offre il supporto integrato per la scansione e la classificazione dei dati sensibili in Cloud Storage, BigQuery e Datastore. Ha anche un API streaming per supportare origini dati aggiuntive e carichi di lavoro personalizzati.
Sensitive Data Protection può identificare i dati sensibili utilizzando infotype integrati. Può classificare, mascherare, tokenizzare e trasformare automaticamente elementi sensibili ad esempio i dati che consentono l'identificazione personale (PII) per consentirti di gestire il rischio legato alla raccolta, all'archiviazione e all'utilizzo e i dati di Google Cloud. In altre parole, può essere integrato con le tue procedure del ciclo di vita dei dati per garantire che i dati in ogni fase siano protetti.
Per ulteriori informazioni, vedi Anonimizzazione e reidentificazione delle PII in set di dati su larga scala utilizzando Sensitive Data Protection.
Gestisci la governance dei dati utilizzando i metadati
La governance dei dati è una combinazione di processi che garantiscono che i dati siano sicuri, privati, accurati, disponibili e utilizzabili. Nonostante tu sia responsabile della definizione di un strategia di governance dei dati per la tua organizzazione, Google Cloud offre strumenti e tecnologie che ti aiuteranno a mettere in pratica la tua strategia. Google Cloud fornisce anche un framework per la governance dei dati (PDF) nel cloud.
Utilizza le funzionalità di Data Catalog a trovare, selezionare e utilizzare metadati per descrivere gli asset di dati nel cloud. Puoi utilizzare la modalità Data Catalog per cercare asset di dati e poi codificarli con metadati. Per accelerare le attività di classificazione dei dati, integra Data Catalog con Sensitive Data Protection per identificare automaticamente i dati riservati. Dopo aver applicato i tag ai dati, puoi utilizzare Google Identity and Access Management (IAM) per limitare i dati che gli utenti possono interrogare o utilizzare Viste Data Catalog.
Utilizza le funzionalità di Dataproc Metastore o Metastore Hive per la gestione dei metadati per i carichi di lavoro. Data Catalog dispone di un connettore Hive che consente al servizio di rilevare i metadati all'interno di un metastore Hive.
Utilizza Dataprep di Trifacta per definire e applicare regole di qualità dei dati tramite una console. Puoi utilizzare la modalità Dataprep dall'interno Cloud Data Fusion o Dataprep come servizio autonomo.
Proteggi i dati in base alla fase del ciclo di vita e alla classificazione
Dopo aver definito i dati nel contesto del loro ciclo di vita e averli classificati in base alla sensibilità e al rischio, puoi assegnare i controlli di sicurezza giusti per proteggerli. Devi assicurarti che i controlli offrano protezioni adeguate, adempiano ai requisiti di conformità e riducano i rischi. Quando passi al cloud, rivedi la strategia attuale e dove potrebbe essere necessario modificarla i processi di machine learning.
La tabella seguente descrive tre caratteristiche di una strategia di sicurezza dei dati nel cloud.
Caratteristica | Descrizione |
---|---|
Identificazione | Comprendi l'identità di utenti, risorse e applicazioni
Creare, modificare, archiviare, utilizzare, condividere ed eliminare dati. Utilizzare Cloud Identity e IAM per controllare l'accesso a e i dati di Google Cloud. Se le tue identità richiedono certificati, valuta la possibilità di utilizzare Certificate Authority Service. Per ulteriori informazioni, consulta Gestire l'identità e l'accesso. |
Confine e accesso | Configura i controlli relativi alle modalità di accesso ai dati, a chi e in base a quali elementi
circostanze. I limiti di accesso ai dati possono essere gestiti in queste
livelli:
|
Visibilità | Puoi controllare l'utilizzo e creare report che dimostrino come vengono controllati e a cui viene eseguito l'accesso ai dati. Google Cloud Logging e Access Transparency forniscono insight su le attività dei tuoi amministratori cloud e del personale Google. Per maggiori informazioni, consulta Monitorare i dati. |
Criptare i dati
Per impostazione predefinita, Google Cloud cripta i dati archiviati inattivi dei clienti, senza che sia richiesta alcuna azione da parte tua. Oltre alla crittografia predefinita, Google Cloud offre opzioni per la crittografia envelope e la crittografia e la gestione delle chiavi. Ad esempio, i dischi permanenti Compute Engine vengono criptati automaticamente, ma puoi fornire o gestire le tue chiavi.
Devi identificare le soluzioni più adatte alle tue esigenze in termini di generazione, archiviazione e rotazione delle chiavi, indipendentemente dal fatto che tu scelga le chiavi per lo spazio di archiviazione, per il calcolo o per i carichi di lavoro di big data.
Google Cloud include le seguenti opzioni per la crittografia e la gestione delle chiavi:
- Chiavi di crittografia gestite dal cliente (CMEK). Puoi generare e gestire le chiavi di crittografia utilizzando Cloud Key Management Service (Cloud KMS). Utilizza questa opzione se hai determinati requisiti di gestione delle chiavi, come dalla necessità di ruotare regolarmente le chiavi di crittografia.
- Chiavi di crittografia fornite dal cliente (CSEK). Puoi creare e gestire le tue chiavi di crittografia, per poi fornirle a Google Cloud se necessario. Utilizza questa opzione se generi le tue chiavi utilizzando il tuo sistema di gestione delle chiavi on-premise per utilizzare la tua chiave (BYOK). Se le chiavi usando la CSEK, Google le replica e le rende disponibili per i tuoi carichi di lavoro. Tuttavia, la sicurezza e la disponibilità della CSEK è una tua responsabilità, perché le chiavi fornite dal cliente modelli di istanza di Google o nell'infrastruttura di Google. Se perdi l'accesso alle chiavi, Google non può aiutarti a recuperare i dati criptati. Valuta attentamente le chiavi che vuoi creare e gestire autonomamente. Potresti utilizzare la crittografia lato client con crittografia lato client solo per le informazioni più sensibili. Un'altra opzione è eseguire la crittografia lato client sui dati e poi archiviarli in Google Cloud, dove vengono nuovamente criptati da Google.
- Sistema di gestione delle chiavi di terze parti con Cloud External Key Manager (Cloud EKM). Cloud EKM protegge i dati at-rest utilizzando chiavi di crittografia che vengono memorizzati e gestiti in un sistema di gestione delle chiavi di terze parti che al di fuori dell'infrastruttura Google. Quando utilizzi questo metodo, hai la certezza che i tuoi dati non possono essere accessibili a persone esterne alla tua organizzazione. Cloud EKM ti consente di ottenere un'esperienza il modello "hold-your-own-key" (HYOK) per la gestione delle chiavi. Per informazioni sulla compatibilità, consulta l'elenco dei servizi abilitati per EKM di Cloud.
Cloud KMS ti consente anche di criptare i dati con chiavi di crittografia con supporto software o con moduli di sicurezza hardware (HSM) convalidati FIPS 140-2 di livello 3. Se utilizzi Cloud KMS, le chiavi di crittografia vengono archiviate nella regione in cui esegui il deployment della risorsa. Cloud HSM distribuisce le tue esigenze di gestione delle chiavi tra le regioni, fornendo ridondanza e la disponibilità globale delle chiavi.
Per informazioni sul funzionamento della crittografia dell'involucro, consulta Crittografia at-rest in Google Cloud.
Controlla gli amministratori cloud accesso ai tuoi dati
Puoi controllare l'accesso del personale di assistenza e tecnico di Google al tuo ambiente su Google Cloud. Access Approval ti consente di approvare esplicitamente prima che i dipendenti di Google accedano ai tuoi dati o alle tue risorse su Google Cloud. Questo prodotto integra la visibilità fornita da Access Transparency, che genera log quando il personale Google interagisce con i tuoi dati. Questi log includono la sede dell'ufficio e il motivo dell'accesso.
Se utilizzi questi prodotti insieme, puoi negare a Google la possibilità di decriptare i tuoi dati per qualsiasi motivo.
Configurare la posizione dei dati e dell'accesso degli utenti.
Puoi controllare le località di rete da cui gli utenti possono accedere ai dati utilizzando Controlli di servizio VPC. Questo prodotto ti consente di limitare l'accesso agli utenti in una regione specifica. Puoi applicare questo vincolo anche se l'utente è autorizzato in base alle tue norme di Google IAM. Con i Controlli di servizio VPC, puoi creare perimetro di servizio che definisce i confini virtuali da cui è possibile accedere a un servizio, impedisce che i dati vengano spostati al di fuori di questi confini.
Per ulteriori informazioni, consulta le seguenti risorse:
- Automatizzare la classificazione dei dati caricati su Cloud Storage
- Governance dei dati nel cloud
- Governance dei dati del data warehouse in BigQuery
- Metastore Cloud Hives ora disponibile
Gestire i segreti tramite Secret Manager.
Secret Manager ti consente di archiviare tutti i tuoi secret in un unico posto. I secret sono informazioni di configurazione come password di database, chiavi API o certificati TLS. Puoi ruotare automaticamente i secret, e puoi configurare le applicazioni in modo che utilizzino automaticamente la versione più recente di un secret. Ogni interazione con Secret Manager genera un audit log, quindi visualizza ogni accesso a ogni segreto.
Protezione dei dati sensibili ha anche un categoria di rilevatori per aiutarti a identificare credenziali e secret nei dati che potrebbero essere protetti con Secret Manager.
Monitorare i dati
Per visualizzare i log relativi alle attività degli amministratori e all'utilizzo delle chiavi, usa Audit log di Cloud. Per proteggere i tuoi dati, monitora i log utilizzando Cloud Monitoring per garantire l'uso corretto delle chiavi.
Cloud Logging cattura gli eventi di Google Cloud e ti consente di aggiungere altre origini, se necessario. Puoi segmentare i log per regione, archiviarli in bucket, e integrare codice personalizzato per l'elaborazione dei log. Per un esempio, consulta la sezione Soluzione personalizzata per l'analisi automatica dei log.
Puoi anche esportare i log in BigQuery per eseguire analisi di sicurezza e accesso al fine di identificare modifiche non autorizzate e accessi inappropriati ai dati della tua organizzazione.
Security Command Center può aiutare a identificare e risolvere i problemi di accesso non sicuro a aziendali archiviati nel cloud. Tramite un'unica interfaccia di gestione, puoi eseguire la scansione per rilevare una vasta gamma di vulnerabilità e rischi per la sicurezza della tua infrastruttura cloud. Ad esempio, puoi monitorare i dati eseguire la scansione dei sistemi di archiviazione per individuare i dati riservati e rilevare quali I bucket Cloud Storage sono aperti a internet.
Passaggi successivi
Scopri di più sulla sicurezza dei dati con le seguenti risorse:
Esegui il deployment delle applicazioni in modo sicuro (prossimo documento di questa serie)
Proteggere un data warehouse BigQuery in cui vengono archiviati dati riservati
Riservatezza dei dati del cliente garantita con Google Cloud (PDF)