Framework Well-Architected: pilar de segurança, privacidade e conformidade

Last reviewed 2025-02-14 UTC

O pilar de segurança, privacidade e conformidade no Google Cloud Well-Architected Framework fornece recomendações para ajudar a conceber, implementar e operar cargas de trabalho na nuvem que cumprem os seus requisitos de segurança, privacidade e conformidade.

Este documento foi concebido para oferecer estatísticas valiosas e satisfazer as necessidades de uma variedade de profissionais e engenheiros de segurança. A tabela seguinte descreve os públicos-alvo pretendidos para este documento:

Público-alvo O que este documento oferece
Chief Information Security Officers (CISOs), líderes de unidades de negócio e gestores de TI Uma estrutura geral para estabelecer e manter a excelência em segurança na nuvem e garantir uma vista abrangente das áreas de segurança para tomar decisões informadas sobre investimentos em segurança.
Arquitetos e engenheiros de segurança Práticas de segurança essenciais para as fases de conceção e operacionalização para ajudar a garantir que as soluções são concebidas para segurança, eficiência e escalabilidade.
Equipas de DevSecOps Orientações para incorporar controlos de segurança abrangentes para planear a automatização que permite uma infraestrutura segura e fiável.
Responsáveis pela conformidade e gestores de risco Recomendações de segurança importantes para seguir uma abordagem estruturada à gestão de riscos com salvaguardas que ajudam a cumprir as obrigações de conformidade.

Para garantir que as suas cargas de trabalho cumprem os requisitos de segurança, privacidade e conformidade, todas as partes interessadas na sua organização têm de adotar uma abordagem colaborativa. Google Cloud Além disso, tem de reconhecer que a segurança na nuvem é uma responsabilidade partilhada entre si e a Google. Para mais informações, consulte Responsabilidades partilhadas e destino partilhado no Google Cloud.

As recomendações neste pilar estão agrupadas em princípios de segurança essenciais. Cada recomendação baseada em princípios é mapeada para uma ou mais das áreas de foco da segurança na nuvem que podem ser críticas para a sua organização. Cada recomendação realça orientações sobre a utilização e a configuração de produtos e capacidades para ajudar a melhorar a postura de segurança da sua organização.Google Cloud

Princípios fundamentais

As recomendações neste pilar estão agrupadas nos seguintes princípios fundamentais de segurança. Todos os princípios neste pilar são importantes. Consoante os requisitos da sua organização e carga de trabalho, pode optar por priorizar determinados princípios.

Mentalidade de segurança organizacional

Uma mentalidade organizacional focada na segurança é crucial para a adoção e a operação bem-sucedidas da nuvem. Esta mentalidade deve estar profundamente enraizada na cultura da sua organização e refletir-se nas respetivas práticas, que são orientadas por princípios de segurança essenciais, conforme descrito anteriormente.

Uma mentalidade de segurança organizacional enfatiza que pensa na segurança durante a conceção do sistema, assume a confiança zero e integra funcionalidades de segurança ao longo do processo de desenvolvimento. Nesta perspetiva, também pensa proativamente em medidas de ciberdefesa, usa a IA de forma segura e para segurança, e considera os seus requisitos regulamentares, de privacidade e de conformidade. Ao adotar estes princípios, a sua organização pode cultivar uma cultura de prioridade à segurança que aborda proativamente as ameaças, protege os bens valiosos e ajuda a garantir uma utilização responsável da tecnologia.

Principais áreas da segurança na nuvem

Esta secção descreve as áreas nas quais deve focar-se quando planeia, implementa e gere a segurança das suas aplicações, sistemas e dados. As recomendações em cada princípio deste pilar são relevantes para uma ou mais destas áreas de foco. Ao longo do resto deste documento, as recomendações especificam as áreas de foco de segurança correspondentes para oferecer maior clareza e contexto.

Área de foco Atividades e componentes Produtos, capacidades e soluções relacionados Google Cloud
Segurança das infraestruturas
  • Infraestrutura de rede segura.
  • Encripte dados em trânsito e repouso.
  • Controlar o fluxo de tráfego.
  • Serviços de IaaS e PaaS seguros.
  • Proteger contra o acesso não autorizado.
Gestão de identidade e de acesso
  • Use a autenticação, a autorização e os controlos de acesso.
  • Faça a gestão das identidades na nuvem.
  • Faça a gestão das políticas de gestão de identidade e de acesso.
Segurança dos dados
  • Armazene os dados em Google Cloud segurança.
  • Controlar o acesso aos dados.
  • Descubra e classifique os dados.
  • Conceba os controlos necessários, como a encriptação, os controlos de acesso e a prevenção contra a perda de dados.
  • Proteja os dados em repouso, em trânsito e em utilização.
Segurança de IA e ML
  • Aplique controlos de segurança em diferentes camadas da infraestrutura e do pipeline de IA e ML.
  • Garantir a segurança do modelo.
Operações de segurança (SecOps)
  • Adote uma plataforma de SecOps moderna e um conjunto de práticas para uma gestão de incidentes, uma deteção de ameaças e processos de resposta eficazes.
  • Monitorizar continuamente os sistemas e as aplicações quanto a eventos de segurança.
Segurança para aplicações
  • Proteja as aplicações contra vulnerabilidades e ataques de software.
Governança, risco e conformidade na nuvem
  • Estabelecer políticas, procedimentos e controlos para gerir os recursos da nuvem de forma eficaz e segura.
Registo, auditoria e monitorização
  • Analise os registos para identificar potenciais ameaças.
  • Monitorizar e registar as atividades do sistema para análise de conformidade e segurança.

Colaboradores

Autores:

  • Wade Holmes | Global Solutions Director
  • Hector Diaz | Arquiteto de segurança da nuvem
  • Carlos Leonardo Rosario | Especialista em segurança do Google Cloud
  • John Bacon | Partner Solutions Architect
  • Sachin Kalra | Global Security Solution Manager

Outros colaboradores:

Implemente a segurança desde a conceção

Este princípio no pilar de segurança da Google Cloud estrutura bem arquitetada fornece recomendações para incorporar funcionalidades, controlos e práticas de segurança robustos no design das suas aplicações, serviços e plataformas na nuvem. Desde a idealização às operações, a segurança é mais eficaz quando está incorporada como parte integral de todas as fases do seu processo de design.

Vista geral do princípio

Conforme explicado em Uma vista geral do compromisso da Google com a segurança por conceção, segurança por predefinição e segurança por conceção são frequentemente usadas de forma intercambiável, mas representam abordagens distintas para criar sistemas seguros. Ambas as abordagens visam minimizar as vulnerabilidades e melhorar a segurança, mas diferem no âmbito e na implementação:

  • Seguro por predefinição: centra-se em garantir que as definições predefinidas de um sistema estão definidas para um modo seguro, minimizando a necessidade de os utilizadores ou os administradores tomarem medidas para proteger o sistema. Esta abordagem visa oferecer um nível base de segurança a todos os utilizadores.
  • Seguro desde a conceção: enfatiza a incorporação proativa de considerações de segurança ao longo do ciclo de vida de desenvolvimento de um sistema. Esta abordagem consiste em antecipar potenciais ameaças e vulnerabilidades antecipadamente e fazer escolhas de design que mitiguem os riscos. Esta abordagem envolve a utilização de práticas de programação seguras, a realização de revisões de segurança e a incorporação da segurança ao longo do processo de conceção. A abordagem de segurança por conceção é uma filosofia abrangente que orienta o processo de desenvolvimento e ajuda a garantir que a segurança não é uma reflexão tardia, mas sim uma parte integrante da conceção de um sistema.

Recomendações

Para implementar o princípio de segurança por design para as suas cargas de trabalho na nuvem, considere as recomendações nas secções seguintes:

Escolha componentes do sistema que ajudam a proteger as suas cargas de trabalho

Esta recomendação é relevante para todas as áreas de foco.

Uma decisão fundamental para uma segurança eficaz é a seleção de componentes robustos do sistema, incluindo componentes de hardware e software, que constituem a sua plataforma, solução ou serviço. Para reduzir a superfície de ataque de segurança e limitar potenciais danos, também tem de considerar cuidadosamente os padrões de implementação destes componentes e as respetivas configurações.

No código da sua aplicação, recomendamos que use bibliotecas, abstrações e frameworks de aplicações simples, seguros e fiáveis para eliminar classes de vulnerabilidades. Para procurar vulnerabilidades em bibliotecas de software, pode usar ferramentas de terceiros. Também pode usar o software de código aberto garantido, que ajuda a reduzir os riscos para a sua cadeia de abastecimento de software através da utilização de pacotes de software de código aberto (OSS) que a Google usa e protege.

A sua infraestrutura tem de usar opções de rede, armazenamento e computação que suportem o funcionamento seguro e estejam alinhadas com os seus requisitos de segurança e níveis de aceitação de risco. A segurança da infraestrutura é importante para cargas de trabalho internas e viradas para a Internet.

Para obter informações sobre outras soluções Google que suportam esta recomendação, consulte Implemente a segurança shift-left.

Crie uma abordagem de segurança em camadas

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança de IA e ML
  • Segurança das infraestruturas
  • Gestão de identidade e de acesso
  • Segurança dos dados

Recomendamos que implemente segurança em cada camada da sua aplicação e pilha de infraestrutura através de uma abordagem de defesa em profundidade.

Use as funcionalidades de segurança em cada componente da sua plataforma. Para limitar o acesso e identificar os limites do potencial impacto (ou seja, o raio de impacto) em caso de incidente de segurança, faça o seguinte:

  • Simplifique o design do seu sistema para acomodar a flexibilidade sempre que possível.
  • Documente os requisitos de segurança de cada componente.
  • Incorporar um mecanismo seguro robusto para responder aos requisitos de resiliência e recuperação.

Quando criar as camadas de segurança, faça uma avaliação do risco para determinar as funcionalidades de segurança de que precisa para cumprir os requisitos de segurança internos e os requisitos regulamentares externos. Recomendamos que use uma framework de avaliação do risco norma da indústria que se aplica a ambientes em nuvem e que é relevante para os seus requisitos regulamentares. Por exemplo, a Cloud Security Alliance (CSA) fornece a Cloud Controls Matrix (CCM). A sua avaliação de risco fornece-lhe um catálogo de riscos e controlos de segurança correspondentes para os mitigar.

Quando fizer a avaliação de risco, lembre-se de que tem um acordo de responsabilidade partilhada com o seu fornecedor de nuvem. Por conseguinte, os seus riscos num ambiente de nuvem diferem dos riscos num ambiente no local. Por exemplo, num ambiente no local, tem de mitigar as vulnerabilidades da sua pilha de hardware. Por outro lado, num ambiente de nuvem, o fornecedor de nuvem assume estes riscos. Além disso, lembre-se de que os limites das responsabilidades partilhadas diferem entre os serviços IaaS, PaaS e SaaS para cada fornecedor de nuvem.

Depois de identificar os potenciais riscos, tem de conceber e criar um plano de mitigação que use controlos técnicos, administrativos e operacionais, bem como proteções contratuais e atestações de terceiros. Além disso, um método de modelagem de ameaças, como o método de modelagem de ameaças de aplicações OWASP, ajuda a identificar potenciais lacunas e sugere ações para as resolver.

Use infraestrutura e serviços fortalecidos e atestados

Esta recomendação é relevante para todas as áreas de foco.

Um programa de segurança desenvolvido mitiga novas vulnerabilidades, conforme descrito nos boletins de segurança. O programa de segurança também deve fornecer remediação para corrigir vulnerabilidades em implementações existentes e proteger as imagens de VMs e contentores. Pode usar guias de reforço específicos do SO e da aplicação das suas imagens, bem como referências, como a fornecida pelo Center of Internet Security (CIS).

Se usar imagens personalizadas para as suas VMs do Compute Engine, tem de aplicar as correções às imagens manualmente. Em alternativa, pode usar imagens do SO preparadas fornecidas pela Google, que são corrigidas regularmente. Para executar contentores em VMs do Compute Engine, use imagens do SO otimizado para contentores criadas pela Google. A Google aplica patches e atualiza regularmente estas imagens.

Se usar o GKE, recomendamos que ative as atualizações automáticas de nós para que a Google atualize os nós do cluster com os patches mais recentes. A Google gere os planos de controlo do GKE, que são atualizados e corrigidos automaticamente. Para reduzir ainda mais a superfície de ataque dos seus contentores, pode usar imagens sem distribuição. As imagens sem distribuição são ideais para aplicações sensíveis à segurança, microsserviços e situações em que minimizar o tamanho da imagem e a superfície de ataque é fundamental.

Para cargas de trabalho confidenciais, use a VM protegida, que impede o carregamento de código malicioso durante o ciclo de arranque da VM. As instâncias de VM protegida oferecem segurança de arranque, monitorizam a integridade e usam o Virtual Trusted Platform Module (vTPM).

Para ajudar a proteger o acesso SSH, o Início de sessão do SO permite que os seus funcionários estabeleçam ligação às VMs através das autorizações de gestão de identidade e acesso (IAM) como fonte de verdade, em vez de dependerem das chaves SSH. Por isso, não tem de gerir chaves SSH em toda a sua organização. O início de sessão no SO associa o acesso de um administrador ao respetivo ciclo de vida do funcionário. Assim, quando os funcionários mudam de funções ou saem da sua organização, o respetivo acesso é revogado com a conta. O SO O início de sessão também suporta a autenticação de dois fatores da Google, que adiciona uma camada adicional de segurança contra ataques de roubo de conta.

No GKE, as instâncias de aplicações são executadas em contentores do Docker. Para ativar um perfil de risco definido e impedir que os funcionários façam alterações aos contentores, certifique-se de que os seus contentores são sem estado e imutáveis. O princípio da imutabilidade significa que os seus funcionários não modificam o contentor nem acedem ao mesmo de forma interativa. Se o contentor tiver de ser alterado, crie uma nova imagem e volte a implementar essa imagem. Ativar o acesso SSH aos contentores subjacentes apenas em cenários de depuração específicos.

Para ajudar a proteger as configurações a nível global no seu ambiente, pode usar as políticas de organização para definir restrições ou limites de segurança nos recursos que afetam o comportamento dos seus recursos na nuvem. Por exemplo, pode definir as seguintes políticas de organização e aplicá-las globalmente numa Google Cloud organização ou seletivamente ao nível de uma pasta ou de um projeto:

  • Desative a atribuição de endereços IP externos a VMs.
  • Restringir a criação de recursos a localizações geográficas específicas.
  • Desativar a criação de contas de serviço ou das respetivas chaves.

Encripte dados em repouso e em trânsito

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança das infraestruturas
  • Segurança dos dados

A encriptação de dados é um controlo fundamental para proteger informações confidenciais e é uma parte essencial da gestão de dados. Uma estratégia de proteção de dados eficaz inclui controlo de acesso, segmentação de dados e residência geográfica, auditoria e implementação de encriptação baseada numa avaliação cuidadosa dos requisitos.

Por predefinição, Google Cloud encripta os dados dos clientes armazenados em repouso>, sem que seja necessária qualquer ação da sua parte. Além da encriptação predefinida, o Google CloudGoogle Cloud oferece opções para a encriptação de envelopes e a gestão de chaves de encriptação. Tem de identificar as soluções que melhor se adequam aos seus requisitos de geração, armazenamento e rotação de chaves, quer esteja a escolher as chaves para o seu armazenamento, para computação ou para cargas de trabalho de Big Data. Por exemplo, as chaves de encriptação geridas pelo cliente (CMEKs) podem ser criadas no Cloud Key Management Service (Cloud KMS). As CMEKs podem ser baseadas em software ou protegidas por HSM para cumprir os seus requisitos regulamentares ou de conformidade, como a necessidade de rodar as chaves de encriptação regularmente. A chave automática do Cloud KMS permite-lhe automatizar o aprovisionamento e a atribuição de CMEKs. Além disso, pode usar as suas próprias chaves provenientes de um sistema de gestão de chaves de terceiros através do Cloud External Key Manager (Cloud EKM).

Recomendamos vivamente que os dados sejam encriptados em trânsito. A Google encripta e autentica os dados em trânsito numa ou mais camadas de rede quando os dados se movem para fora dos limites físicos que não são controlados pela Google ou em nome da Google. Todo o tráfego de VM para VM numa rede de VPC e entre redes de VPC em intercâmbio é encriptado. Pode usar o MACsec para a encriptação do tráfego através de ligações do Cloud Interconnect. O IPsec oferece encriptação para o tráfego através de ligações do Cloud VPN. Pode proteger o tráfego de aplicação para aplicação na nuvem através da utilização de funcionalidades de segurança, como configurações de TLS e mTLS no Apigee e Cloud Service Mesh para aplicações em contentores.

Por predefinição, Google Cloud encripta os dados inativos e os dados em trânsito na rede. No entanto, os dados não são encriptados por predefinição enquanto estão a ser usados na memória. Se a sua organização processar dados confidenciais, tem de mitigar quaisquer ameaças que comprometam a confidencialidade e a integridade da aplicação ou dos dados na memória do sistema. Para mitigar estas ameaças, pode usar a computação confidencial, que fornece um ambiente de execução fiável para as suas cargas de trabalho de computação. Para mais informações, consulte a vista geral da VM confidencial.

Implemente a confiança zero

Este princípio no pilar de segurança da Google Cloud estrutura bem arquitetada ajuda a garantir uma segurança abrangente nas suas cargas de trabalho na nuvem. O princípio de confiança zero enfatiza as seguintes práticas:

  • Eliminar a confiança implícita
  • Aplicar o princípio do menor privilégio ao controlo de acesso
  • Aplicar a validação explícita de todos os pedidos de acesso
  • Adotar uma mentalidade de assumir violação para permitir a validação contínua e a monitorização da postura de segurança

Vista geral do princípio

O modelo de confiança zero muda o foco da segurança da segurança baseada no perímetro para uma abordagem em que nenhum utilizador ou dispositivo é considerado inerentemente fidedigno. Em vez disso, todos os pedidos de acesso têm de ser validados, independentemente da sua origem. Esta abordagem envolve a autenticação e a autorização de todos os utilizadores e dispositivos, a validação do respetivo contexto (localização e postura do dispositivo) e a concessão do acesso com privilégios mínimos apenas aos recursos necessários.

A implementação do modelo de confiança zero ajuda a sua organização a melhorar a postura de segurança, minimizando o impacto de potenciais violações e protegendo dados e aplicações confidenciais contra acesso não autorizado. O modelo de confiança zero ajuda a garantir a confidencialidade, a integridade e a disponibilidade dos dados e dos recursos na nuvem.

Recomendações

Para implementar o modelo de confiança zero para as suas cargas de trabalho na nuvem, considere as recomendações nas secções seguintes:

Proteja a sua rede

Esta recomendação é relevante para a seguinte área de foco: Segurança da infraestrutura.

A transição da segurança convencional baseada no perímetro para um modelo de confiança zero requer vários passos. A sua organização pode já ter integrado determinados controlos de confiança zero na sua abordagem de segurança. No entanto, um modelo de confiança zero não é um produto nem uma solução singular. Em alternativa, é uma integração holística de várias camadas de segurança e práticas recomendadas. Esta secção descreve as recomendações e as técnicas para implementar a confiança zero para a segurança de rede.

  • Controlo de acesso: aplique controlos de acesso com base na identidade do utilizador e no contexto através de soluções como o Chrome Enterprise Premium e o Identity-Aware Proxy (IAP). Ao fazê-lo, transfere a segurança do perímetro da rede para utilizadores e dispositivos individuais. Esta abordagem permite um controlo de acesso detalhado e reduz a superfície de ataque.
  • Segurança de rede: proteja as ligações de rede entre os seus ambientes nas instalações, Google Cloude de várias nuvens.
  • Conceção de rede: evite potenciais riscos de segurança eliminando as redes predefinidas em projetos existentes e desativando a criação de redes predefinidas em novos projetos.
    • Para evitar conflitos, planeie cuidadosamente a sua rede e a atribuição de endereços IP.
    • Para aplicar um controlo de acesso eficaz, limite o número de redes da nuvem virtual privada (VPC) por projeto.
  • Segmentação: isole cargas de trabalho, mas mantenha a gestão de rede centralizada.
    • Para segmentar a sua rede, use a VPC partilhada.
    • Defina políticas e regras de firewall ao nível da organização, da pasta e da rede de VPC.
    • Para evitar a exfiltração de dados, estabeleça perímetros seguros em torno de dados e serviços sensíveis através dos VPC Service Controls.
  • Segurança do perímetro: proteja-se contra ataques DDoS e ameaças de aplicações Web.
    • Para se proteger contra ameaças, use o Google Cloud Armor.
    • Configure políticas de segurança para permitir, recusar ou redirecionar tráfego no limite da rede.Google Cloud
  • Automatização: automatize o aprovisionamento de infraestruturas adotando os princípios de infraestrutura como código (IaC) e usando ferramentas como o Terraform, o Jenkins e o Cloud Build. A IaC ajuda a garantir configurações de segurança consistentes, implementações simplificadas e reversões rápidas em caso de problemas.
  • Base segura: estabeleça um ambiente de aplicação seguro através do projeto de base empresarial. Este plano detalhado fornece orientações normativas e scripts de automatização para ajudar a implementar práticas recomendadas de segurança e configurar os seus Google Cloud recursos em segurança.

Validar explicitamente todas as tentativas de acesso

Esta recomendação é relevante para as seguintes áreas de foco:

  • Gestão de identidade e de acesso
  • Operações de segurança (SecOps)
  • Registo, auditoria e monitorização

Implemente mecanismos de autenticação e autorização fortes para qualquer utilizador, dispositivo ou serviço que tente aceder aos seus recursos na nuvem. Não confie no local ou no perímetro da rede como um controlo de segurança. Não confie automaticamente em nenhum utilizador, dispositivo ou serviço, mesmo que já estejam na rede. Em alternativa, todas as tentativas de acesso a recursos têm de ser rigorosamente autenticadas e autorizadas. Tem de implementar medidas de validação de identidade fortes, como a autenticação multifator (MFA). Também tem de garantir que as decisões de acesso se baseiam em políticas detalhadas que consideram vários fatores contextuais, como a função do utilizador, a postura do dispositivo e a localização.

Para implementar esta recomendação, use os seguintes métodos, ferramentas e tecnologias:

  • Gestão de identidades unificada: garanta uma gestão de identidades consistente em toda a sua organização através de um único fornecedor de identidade (IdP).
    • Google Cloud Suporta a federação com a maioria dos IdPs, incluindo o Active Directory no local. A federação permite-lhe expandir a sua infraestrutura de gestão de identidades existente para Google Cloud e ativar o Início de sessão único (SSO) para os utilizadores.
    • Se não tiver um IdP existente, considere usar o Cloud ID Premium ou o Google Workspace.
  • Autorizações limitadas da conta de serviço: use contas de serviço com cuidado e cumpra o princípio do menor privilégio.
    • Conceda apenas as autorizações necessárias para que cada conta de serviço execute as respetivas tarefas designadas.
    • Use a Federação do Workload Identity para aplicações que são executadas no Google Kubernetes Engine (GKE) ou fora do GKEGoogle Cloud para aceder a recursos de forma segura.
  • Processos robustos: atualize os seus processos de identidade para se alinharem com as práticas recomendadas de segurança na nuvem.
    • Para ajudar a garantir a conformidade com os requisitos regulamentares, implemente a gestão de identidades para monitorizar o acesso, os riscos e as violações de políticas.
    • Reveja e atualize os seus processos existentes para conceder e auditar funções e autorizações de controlo de acesso.
  • Autenticação forte: implemente o SSO para a autenticação do utilizador e implemente a MFA para contas privilegiadas.
    • Google Cloud Suporta vários métodos de MFA, incluindo chaves de segurança Titan, para maior segurança.
    • Para a autenticação de cargas de trabalho, use o OAuth 2.0 ou símbolos da Web JSON (JWTs) assinados.
  • Menor privilégio: minimize o risco de acesso não autorizado e violações de dados aplicando os princípios do menor privilégio e da separação de funções.
    • Evite o aprovisionamento excessivo do acesso dos utilizadores.
    • Pondere implementar o acesso privilegiado just-in-time para operações confidenciais.
  • Registo: ative o registo de auditoria para atividades de administrador e de acesso a dados.

Monitorize e mantenha a sua rede

Esta recomendação é relevante para as seguintes áreas de foco:

  • Registo, auditoria e monitorização
  • Segurança para aplicações
  • Operações de segurança (SecOps)
  • Segurança das infraestruturas

Quando planear e implementar medidas de segurança, parta do princípio de que um atacante já está no seu ambiente. Esta abordagem proativa envolve a utilização das seguintes várias ferramentas e técnicas para fornecer visibilidade da sua rede:

  • Registo e monitorização centralizados: recolha e analise registos de segurança de todos os seus recursos na nuvem através de registo e monitorização centralizados.

    • Estabelecer bases de referência para o comportamento normal da rede, detetar anomalias e identificar potenciais ameaças.
    • Analisar continuamente os fluxos de tráfego de rede para identificar padrões suspeitos e potenciais ataques.

  • Estatísticas sobre o desempenho e a segurança da rede: use ferramentas como o analisador de rede. Monitorize o tráfego para detetar protocolos invulgares, ligações inesperadas ou picos súbitos na transferência de dados, que podem indicar atividade maliciosa.

  • Análise e correção de vulnerabilidades: analise regularmente a sua rede e aplicações para detetar vulnerabilidades.

    • Use o Web Security Scanner, que pode identificar automaticamente vulnerabilidades nas suas instâncias do Compute Engine, contentores e clusters do GKE.
    • Priorize a correção com base na gravidade das vulnerabilidades e no respetivo impacto potencial nos seus sistemas.

  • Deteção de intrusões: monitorize o tráfego de rede quanto a atividade maliciosa e bloqueie automaticamente ou receba alertas de eventos suspeitos através do Cloud IDS e do serviço de prevenção de intrusões do Cloud NGFW.

  • Análise de segurança: considere implementar o Google SecOps para correlacionar eventos de segurança de várias origens, fornecer análise em tempo real de alertas de segurança e facilitar a resposta a incidentes.

  • Configurações consistentes: certifique-se de que tem configurações de segurança consistentes na sua rede através de ferramentas de gestão de configurações.

Implemente a segurança shift-left

Este princípio no pilar de segurança da Google Cloud estrutura bem arquitetada ajuda a identificar controlos práticos que pode implementar numa fase inicial do ciclo de vida de desenvolvimento de software para melhorar a sua postura de segurança. Oferece recomendações que ajudam a implementar salvaguardas de segurança preventivas e controlos de segurança pós-implementação.

Vista geral do princípio

A segurança shift-left significa adotar práticas de segurança numa fase inicial do ciclo de vida do desenvolvimento de software. Este princípio tem os seguintes objetivos:

  • Evite defeitos de segurança antes de fazer alterações ao sistema. Implemente salvaguardas de segurança preventivas e adote práticas como infraestrutura como código (IaC), política como código e verificações de segurança no pipeline de CI/CD. Também pode usar outras capacidades específicas da plataforma, como o serviço de políticas organizacionais e os clusters do GKE reforçados no Google Cloud.
  • Detete e corrija erros de segurança de forma antecipada, rápida e fiável após a confirmação de quaisquer alterações ao sistema. Adote práticas como revisões de código, análise de vulnerabilidades pós-implementação e testes de segurança.

Os princípios de implementação da segurança por predefinição e de mudança para a esquerda da segurança estão relacionados, mas diferem no âmbito. O princípio da segurança por design ajuda a evitar falhas de design fundamentais que exigiriam a reestruturação de todo o sistema. Por exemplo, um exercício de modelagem de ameaças revela que o design atual não inclui uma política de autorização e que todos os utilizadores teriam o mesmo nível de acesso sem ela. A segurança de deslocamento para a esquerda ajuda a evitar defeitos de implementação (erros e configurações incorretas) antes de as alterações serem aplicadas e permite correções rápidas e fiáveis após a implementação.

Recomendações

Para implementar o princípio de segurança shift-left para as suas cargas de trabalho na nuvem, considere as recomendações nas secções seguintes:

Adote controlos de segurança preventivos

Esta recomendação é relevante para as seguintes áreas de foco:

  • Gestão de identidade e de acesso
  • Governança, risco e conformidade na nuvem

Os controlos de segurança preventivos são essenciais para manter uma postura de segurança forte na nuvem. Estes controlos ajudam a mitigar os riscos de forma proativa. Pode impedir configurações incorretas e o acesso não autorizado a recursos, permitir que os programadores trabalhem de forma eficiente e ajudar a garantir a conformidade com as normas da indústria e as políticas internas.

Os controlos de segurança preventivos são mais eficazes quando são implementados através da infraestrutura como código (IaC). Com a IaC, os controlos de segurança preventivos podem incluir verificações mais personalizadas no código da infraestrutura antes de as alterações serem implementadas. Quando combinados com a automatização, os controlos de segurança preventivos podem ser executados como parte das verificações automáticas do pipeline de CI/CD.

Os seguintes produtos e Google Cloud capacidades podem ajudar a implementar controlos preventivos no seu ambiente:

O IAM permite-lhe autorizar quem pode agir em recursos específicos com base em autorizações. Para mais informações, consulte o artigo Controlo de acesso para recursos da organização com a IAM.

O serviço de políticas da organização permite-lhe definir restrições nos recursos para especificar como podem ser configurados. Por exemplo, pode usar uma política da organização para fazer o seguinte:

Além de usar políticas organizacionais, pode restringir o acesso a recursos através dos seguintes métodos:

  • Etiquetas com IAM: atribuem uma etiqueta a um conjunto de recursos e, em seguida, definem a definição de acesso para a própria etiqueta, em vez de definirem as autorizações de acesso em cada recurso.
  • Condições do IAM: defina o controlo de acesso condicional baseado em atributos para recursos.
  • Defesa em profundidade: use os VPC Service Controls para restringir ainda mais o acesso aos recursos.

Para mais informações sobre a gestão de recursos, consulte o artigo Decida uma hierarquia de recursos para a sua Google Cloud zona de destino.

Automatize o aprovisionamento e a gestão de recursos na nuvem

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança para aplicações
  • Governança, risco e conformidade na nuvem

A automatização do aprovisionamento e da gestão de recursos e cargas de trabalho na nuvem é mais eficaz quando também adota a IaC declarativa, em vez de scripts imperativos. A IaC não é uma ferramenta nem uma prática de segurança por si só, mas ajuda a melhorar a segurança da sua plataforma. A adoção da IaC permite-lhe criar uma infraestrutura repetível e oferece à sua equipa de operações um estado conhecido e bom. A IaC também melhora a eficiência das reversões, das alterações de auditoria e da resolução de problemas.

Quando combinada com pipelines de CI/CD e automatização, a IaC também lhe dá a capacidade de adotar práticas como a política como código com ferramentas como a OPA. Pode auditar as alterações à infraestrutura ao longo do tempo e executar verificações automáticas no código de infraestrutura antes de as alterações serem implementadas.

Para automatizar a implementação da infraestrutura, pode usar ferramentas como o Config Controller, o Terraform, o Jenkins e o Cloud Build. Para ajudar a criar um ambiente de aplicação seguro com a IaC e a automatização, a Google Cloud fornece o blueprint de bases empresariais.Google Cloud Este plano é o design opinativo da Google que segue todas as nossas práticas e configurações recomendadas. O projeto fornece instruções passo a passo para configurar e implementar a sua topologia através do Terraform e do Cloud Build. Google Cloud

Pode modificar os scripts do esquema de base empresarial para configurar um ambiente que siga as recomendações da Google e cumpra os seus próprios requisitos de segurança. Pode desenvolver ainda mais o plano detalhado com planos detalhados adicionais ou criar a sua própria automatização. O Google Cloud Architecture Center oferece outros planos que podem ser implementados além do plano de bases empresariais. Seguem-se alguns exemplos destes planos:

Automatize lançamentos de aplicações seguros

Esta recomendação é relevante para a seguinte área de foco: Segurança da aplicação.

Sem ferramentas automatizadas, pode ser difícil implementar, atualizar e aplicar patches em ambientes de aplicações complexos para cumprir requisitos de segurança consistentes. Recomendamos que crie pipelines de CI/CD automatizados para o ciclo de vida de desenvolvimento de software (SDLC). Os pipelines de CI/CD automatizados ajudam a remover erros manuais, oferecem ciclos de feedback de desenvolvimento padronizados e permitem iterações eficientes de produtos. O fornecimento contínuo é uma das práticas recomendadas que a estrutura DORA recomenda.

A automatização dos lançamentos de aplicações através de pipelines de CI/CD ajuda a melhorar a sua capacidade de detetar e corrigir erros de segurança de forma antecipada, rápida e fiável. Por exemplo, pode procurar vulnerabilidades de segurança automaticamente quando os artefactos são criados, restringir o âmbito das revisões de segurança e reverter para uma versão conhecida e segura. Também pode definir políticas para diferentes ambientes (como ambientes de desenvolvimento, teste ou produção) para que apenas os artefactos validados sejam implementados.

Para ajudar a automatizar os lançamentos de aplicações e incorporar verificações de segurança no seu pipeline de CI/CD, Google Cloud oferece várias ferramentas, incluindo o Cloud Build, Cloud Deploy, Web Security Scanner> e Binary Authorization.

Para estabelecer um processo que valide vários requisitos de segurança no seu SDLC, use a estrutura Supply-chain Levels for Software Artifacts (SLSA), que foi definida pela Google. A SLSA requer verificações de segurança para o código fonte, o processo de compilação e a proveniência do código. Muitos destes requisitos podem ser incluídos num pipeline de CI/CD automatizado. Para compreender como a Google aplica estas práticas internamente, consulte a Google Cloudabordagem da Google à mudança.

Garanta que as implementações de aplicações seguem processos aprovados

Esta recomendação é relevante para a seguinte área de foco: Segurança da aplicação.

Se um atacante comprometer a sua pipeline de CI/CD, toda a pilha de aplicações pode ser afetada. Para ajudar a proteger o pipeline, deve aplicar um processo de aprovação estabelecido antes de implementar o código em produção.

Se usar o Google Kubernetes Engine (GKE), o GKE Enterprise ou o Cloud Run, pode estabelecer um processo de aprovação através da autorização binária. A autorização binária anexa assinaturas configuráveis a imagens de contentores. Estas assinaturas (também denominadas atestos) ajudam a validar a imagem. No momento da implementação, a Binary Authorization usa estas atestações para determinar se um processo foi concluído. Por exemplo, pode usar a autorização binária para fazer o seguinte:

  • Valide se um sistema de compilação específico ou um pipeline de CI criou uma imagem de contentor.
  • Valide se uma imagem de contentor está em conformidade com uma política de assinatura de vulnerabilidades.
  • Verifique se uma imagem de contentor cumpre os critérios para promoção ao ambiente de implementação seguinte, como do desenvolvimento para o controlo de qualidade.

Ao usar a autorização binária, pode aplicar a execução apenas de código fidedigno nas suas plataformas de destino.

Analise a existência de vulnerabilidades conhecidas antes da implementação da aplicação

Esta recomendação é relevante para a seguinte área de foco: Segurança da aplicação.

Recomendamos que use ferramentas automáticas que possam realizar continuamente análises de vulnerabilidades em artefactos de aplicações antes de serem implementados na produção.

Para aplicações contentorizadas, use a análise de artefactos para executar automaticamente análises de vulnerabilidades para imagens de contentores. A análise de artefactos analisa novas imagens quando são carregadas para o Artifact Registry. A análise extrai informações sobre os pacotes do sistema no contentor. Após a análise inicial, a análise de artefactos monitoriza continuamente os metadados das imagens analisadas no Artifact Registry para novas vulnerabilidades. Quando a análise de artefactos recebe informações de vulnerabilidade novas e atualizadas de origens de vulnerabilidades, faz o seguinte:

  • Atualiza os metadados das imagens digitalizadas para os manter atualizados.
  • Cria novas ocorrências de vulnerabilidades para novas notas.
  • Elimina ocorrências de vulnerabilidades que já não são válidas.

Monitorize o código da sua aplicação para encontrar vulnerabilidades conhecidas

Esta recomendação é relevante para a seguinte área de foco: Segurança da aplicação.

Use ferramentas automáticas para monitorizar constantemente o código da sua aplicação em busca de vulnerabilidades conhecidas, como as 10 principais vulnerabilidades da OWASP. Para mais informações sobre os Google Cloud produtos e as funcionalidades que suportam as técnicas de mitigação do OWASP Top 10, consulte as opções de mitigação do OWASP Top 10 no Google Cloud.

Use o Web Security Scanner para ajudar a identificar vulnerabilidades de segurança nas suas aplicações Web do App Engine, Compute Engine e GKE. O motor de rastreio rastreia a sua aplicação, segue todos os links no âmbito dos seus URLs de início e tenta exercer o maior número possível de entradas do utilizador e controladores de eventos. Pode analisar e detetar automaticamente vulnerabilidades comuns, incluindo scripts entre sites, injeção de código, conteúdo misto> e bibliotecas desatualizadas ou não seguras. O Web Security Scanner fornece uma identificação antecipada destes tipos de vulnerabilidades sem distrair com falsos positivos.

Além disso, se usar o GKE Enterprise para gerir frotas de clusters do Kubernetes, o painel de controlo da postura de segurança mostra recomendações acionáveis e baseadas em opiniões para ajudar a melhorar a postura de segurança da sua frota.

Implemente a cibersegurança preventiva

Este princípio no pilar de segurança do Google Cloud Framework bem arquitetado fornece recomendações para criar programas de defesa cibernética robustos como parte da sua estratégia de segurança geral.

Este princípio enfatiza a utilização de informações sobre ameaças para orientar proativamente os seus esforços nas funções essenciais de ciberdefesa, conforme definido em A vantagem do defensor: um guia para ativar a ciberdefesa.

Vista geral do princípio

Quando defende o seu sistema contra ciberataques, tem uma vantagem significativa e subutilizada contra os atacantes. Conforme afirma o fundador da Mandiant, "Deve saber mais sobre a sua empresa, os seus sistemas, a sua topologia e a sua infraestrutura do que qualquer atacante. Esta é uma vantagem incrível." Para ajudar a usar esta vantagem inerente, este documento fornece recomendações sobre práticas de ciberdefesa proativas e estratégicas mapeadas para a estrutura de vantagens do defensor.

Recomendações

Para implementar uma defesa cibernética preventiva para as suas cargas de trabalho na nuvem, considere as recomendações nas secções seguintes:

Integre as funções de ciberdefesa

Esta recomendação é relevante para todas as áreas de foco.

A estrutura Defender's Advantage identifica seis funções críticas da ciberdefesa: inteligência, deteção, resposta, validação, procura e controlo da missão. Cada função centra-se numa parte única da missão de ciberdefesa, mas estas funções têm de estar bem coordenadas e funcionar em conjunto para oferecer uma defesa eficaz. Foque-se na criação de um sistema robusto e integrado em que cada função suporta as outras. Se precisar de uma abordagem faseada para a adoção, considere a seguinte ordem sugerida. Consoante a maturidade da nuvem atual, a topologia dos recursos e o panorama de ameaças específico, pode querer dar prioridade a determinadas funções.

  1. Inteligência: a função de inteligência orienta todas as outras funções. Compreender o panorama das ameaças, incluindo os atacantes mais prováveis, as respetivas táticas, técnicas e procedimentos (TTPs) e o potencial impacto, é fundamental para dar prioridade às ações em todo o programa. A função de inteligência é responsável pela identificação dos intervenientes, pela definição dos requisitos de inteligência, pela recolha, análise e disseminação de dados, pela automatização e pela criação de um perfil de ameaça cibernética.
  2. Deteção e resposta: estas funções constituem o núcleo da defesa ativa, que envolve a identificação e a resolução de atividade maliciosa. Estas funções são necessárias para agir com base nas informações recolhidas pela função de inteligência. A função Detect requer uma abordagem metódica que alinhe as deteções com as TTPs dos atacantes e garanta um registo robusto. A função Responder tem de se focar na triagem inicial, na recolha de dados e na correção de incidentes.
  3. Validar: a função de validação é um processo contínuo que garante que o seu ecossistema de controlo de segurança está atualizado e a funcionar conforme previsto. Esta função garante que a sua organização compreende a superfície de ataque, sabe onde existem vulnerabilidades e mede a eficácia dos controlos. A validação de segurança também é um componente importante do ciclo de vida da engenharia de deteção e tem de ser usada para identificar lacunas de deteção e criar novas deteções.
  4. Hunt: a função Hunt envolve a pesquisa proativa de ameaças ativas num ambiente. Esta função tem de ser implementada quando a sua organização tiver um nível de maturidade de base nas funções de deteção e resposta. A função de procura expande as capacidades de deteção e ajuda a identificar lacunas e pontos fracos nos controlos. A função de procura tem de se basear em ameaças específicas. Esta função avançada beneficia de uma base de capacidades de inteligência, deteção e resposta robustas.
  5. Mission Control: a função Mission Control atua como o hub central que liga todas as outras funções. Esta função é responsável pela estratégia, comunicação e ação decisiva no seu programa de defesa cibernética. Garante que todas as funções funcionam em conjunto e que estão alinhadas com os objetivos empresariais da sua organização. Tem de se concentrar em estabelecer uma compreensão clara da finalidade da função de controlo da missão antes de a usar para associar as outras funções.

Use a função de inteligência em todos os aspetos da defesa cibernética

Esta recomendação é relevante para todas as áreas de foco.

Esta recomendação realça a função de inteligência como parte essencial de um programa de ciberdefesa forte. As informações sobre ameaças fornecem conhecimentos sobre os autores de ameaças, as respetivas TTPs e os indicadores de comprometimento (IOCs). Estes conhecimentos devem informar e dar prioridade às ações em todas as funções de defesa cibernética. Uma abordagem baseada em inteligência ajuda a alinhar as defesas para fazer face às ameaças com maior probabilidade de afetarem a sua organização. Esta abordagem também ajuda na atribuição e priorização eficientes de recursos.

Os seguintes Google Cloud produtos e funcionalidades ajudam a tirar partido da inteligência sobre ameaças para orientar as suas operações de segurança. Use estas funcionalidades para identificar e priorizar potenciais ameaças, vulnerabilidades e riscos e, em seguida, planear e implementar as ações adequadas.

  • O Google Security Operations (Google SecOps) ajuda a armazenar e analisar dados de segurança de forma centralizada. Use o Google SecOps para mapear registos num modelo comum, enriquecer os registos e associá-los a cronologias para uma vista abrangente dos ataques. Também pode criar regras de deteção, configurar a correspondência de IoCs e realizar atividades de procura de ameaças. A plataforma também oferece deteções organizadas, que são regras predefinidas e geridas para ajudar a identificar ameaças. O Google SecOps também pode ser integrado com a inteligência de linha da frente da Mandiant. O Google SecOps integra de forma exclusiva a IA líder da indústria, juntamente com a inteligência sobre ameaças da Mandiant e o Google VirusTotal. Esta integração é fundamental para a avaliação de ameaças e para compreender quem está a segmentar a sua organização e o potencial impacto.

  • O Security Command Center Enterprise, com tecnologia de IA da Google, permite que os profissionais de segurança avaliem, investiguem e respondam de forma eficiente a problemas de segurança em vários ambientes de nuvem. Os profissionais de segurança que podem beneficiar do Security Command Center incluem analistas do centro de operações de segurança (SOC), analistas de vulnerabilidades e postura, e gestores de conformidade. O Security Command Center Enterprise enriquece os dados de segurança, avalia o risco e dá prioridade às vulnerabilidades. Esta solução fornece às equipas as informações de que precisam para resolver vulnerabilidades de alto risco e corrigir ameaças ativas.

  • O Chrome Enterprise Premium oferece proteção contra ameaças e de dados, o que ajuda a proteger os utilizadores contra riscos de exfiltração e impede que software malicioso seja instalado em dispositivos geridos pela empresa. O Chrome Enterprise Premium também oferece visibilidade da atividade não segura ou potencialmente não segura que pode ocorrer no navegador.

  • A monitorização da rede, através de ferramentas como o Network Intelligence Center, oferece visibilidade do desempenho da rede. A monitorização de rede também pode ajudar a detetar padrões de tráfego invulgares ou detetar quantidades de transferência de dados que podem indicar um ataque ou uma tentativa de exfiltração de dados.

Compreenda e tire partido da vantagem do defensor

Esta recomendação é relevante para todas as áreas de foco.

Conforme mencionado anteriormente, tem uma vantagem sobre os atacantes quando tem um conhecimento completo da sua empresa, sistemas, topologia e infraestrutura. Para tirar partido desta vantagem de conhecimento, use estes dados sobre os seus ambientes durante o planeamento da defesa cibernética.

Google Cloud oferece as seguintes funcionalidades para ajudar a obter proativamente visibilidade para identificar ameaças, compreender riscos e responder atempadamente para mitigar potenciais danos:

  • O Chrome Enterprise Premium ajuda a melhorar a segurança dos dispositivos empresariais protegendo os utilizadores contra riscos de exfiltração. Estende os serviços de proteção de dados confidenciais ao navegador e impede software malicioso. Também oferece funcionalidades como proteção contra software malicioso e phishing para ajudar a evitar a exposição a conteúdo não seguro. Além disso, dá-lhe controlo sobre a instalação de extensões para ajudar a evitar extensões inseguras ou não validadas. Estas capacidades ajudam a estabelecer uma base segura para as suas operações.

  • O Security Command Center Enterprise oferece um motor de risco contínuo que oferece análise e gestão de riscos abrangentes e contínuas. A funcionalidade do motor de risco enriquece os dados de segurança, avalia o risco e prioriza as vulnerabilidades para ajudar a corrigir problemas rapidamente. O Security Command Center permite que a sua organização identifique proativamente as vulnerabilidades e implemente mitigações.

  • O Google SecOps centraliza os dados de segurança e fornece registos enriquecidos com cronologias. Isto permite que os defensores identifiquem proativamente compromissos ativos e adaptem as defesas com base no comportamento dos atacantes.

  • A monitorização da rede ajuda a identificar atividade de rede irregular que possa indicar um ataque e fornece indicadores iniciais que pode usar para tomar medidas. Para ajudar a proteger proativamente os seus dados contra roubo, monitorize continuamente a exfiltração de dados e use as ferramentas fornecidas.

Valide e melhore continuamente as suas defesas

Esta recomendação é relevante para todas as áreas de foco.

Esta recomendação realça a importância dos testes segmentados e da validação contínua dos controlos para compreender os pontos fortes e fracos em toda a superfície de ataque. Isto inclui a validação da eficácia dos controlos, das operações e do pessoal através de métodos como os seguintes:

Também tem de procurar ativamente ameaças e usar os resultados para melhorar a deteção e a visibilidade. Use as seguintes ferramentas para testar e validar continuamente as suas defesas contra ameaças reais:

  • O Security Command Center Enterprise oferece um motor de risco contínuo para avaliar as vulnerabilidades e priorizar a correção, o que permite uma avaliação contínua da sua postura de segurança geral. Ao dar prioridade aos problemas, o Security Command Center Enterprise ajuda a garantir que os recursos são usados de forma eficaz.

  • O Google SecOps oferece deteções de procura de ameaças e deteções organizadas que lhe permitem identificar proativamente pontos fracos nos seus controlos. Esta capacidade permite testar e melhorar continuamente a sua capacidade de detetar ameaças.

  • O Chrome Enterprise Premium oferece funcionalidades de proteção de dados e contra ameaças que podem ajudar a resolver ameaças novas e em evolução, e a atualizar continuamente as suas defesas contra riscos de exfiltração e software malicioso.

  • A firewall de próxima geração da nuvem (NGFW da nuvem) oferece monitorização de rede e monitorização de exfiltração de dados. Estas capacidades podem ajudar a validar a eficácia da sua postura de segurança atual e identificar potenciais pontos fracos. A monitorização da exfiltração de dados ajuda a validar a eficácia dos mecanismos de proteção de dados da sua organização e a fazer ajustes proativos quando necessário. Quando integra as conclusões de ameaças do Cloud NGFW com o Security Command Center e o Google SecOps, pode otimizar a deteção de ameaças baseadas na rede, otimizar a resposta a ameaças e automatizar guias interativos. Para mais informações acerca desta integração, consulte o artigo Unificar as suas defesas na nuvem: Security Command Center e Cloud NGFW Enterprise.

Faça a gestão e coordene os esforços de defesa cibernética

Esta recomendação é relevante para todas as áreas de foco.

Conforme descrito anteriormente em Integre as funções de defesa cibernética, a função de controlo da missão interliga as outras funções do programa de defesa cibernética. Esta função permite a coordenação e a gestão unificada em todo o programa. Também ajuda a coordenar com outras equipas que não trabalham em cibersegurança. A função de controlo da missão promove a capacitação e a responsabilidade, facilita a agilidade e a especialização, e impulsiona a responsabilidade e a transparência.

Os seguintes produtos e funcionalidades podem ajudar a implementar a função de controlo de missão:

  • O Security Command Center Enterprise funciona como um centro central para coordenar e gerir as suas operações de ciberdefesa. Reúne ferramentas, equipas e dados, juntamente com as capacidades de resposta do Google SecOps incorporadas. O Security Command Center oferece uma visibilidade clara do estado de segurança da sua organização e permite a identificação de configurações incorretas de segurança em diferentes recursos.
  • O Google SecOps oferece uma plataforma para as equipas responderem a ameaças mapeando registos e criando linhas cronológicas. Também pode definir regras de deteção e pesquisar ameaças.
  • O Google Workspace e o Chrome Enterprise Premium ajudam a gerir e controlar o acesso do utilizador final a recursos confidenciais. Pode definir controlos de acesso detalhados com base na identidade do utilizador e no contexto de um pedido.
  • A monitorização da rede fornece estatísticas sobre o desempenho dos recursos de rede. Pode importar estatísticas de monitorização de rede para o Security Command Center e o Google SecOps para monitorização e correlação centralizadas com outros pontos de dados baseados na cronologia. Esta integração ajuda a detetar e responder a potenciais alterações de utilização da rede causadas por atividade maliciosa.
  • A monitorização da exfiltração de dados ajuda a identificar possíveis incidentes de perda de dados. Com esta funcionalidade, pode mobilizar de forma eficiente uma equipa de resposta a incidentes, avaliar os danos e limitar a exfiltração de dados adicional. Também pode melhorar as políticas e os controlos atuais para garantir a proteção de dados.

Resumo do produto

A tabela seguinte apresenta os produtos e as funcionalidades descritos neste documento e mapeia-os para as recomendações e as capacidades de segurança associadas.

Google Cloud produto Recomendações aplicáveis
Google SecOps Use a função de inteligência em todos os aspetos da defesa cibernética: Permite a procura de ameaças e a correspondência de IoC, e integra-se com o Mandiant para uma avaliação abrangente de ameaças.

Compreenda e tire partido da vantagem do seu defensor: fornece deteções preparadas e centraliza os dados de segurança para a identificação proativa de comprometimentos.

Valide e melhore continuamente as suas defesas: Permite o teste e a melhoria contínuos das capacidades de deteção de ameaças.

Faça a gestão e coordene os esforços de ciberdefesa através do Mission Control: oferece uma plataforma para resposta a ameaças, análise de registos e criação de cronologias.

Security Command Center Enterprise Use a função de inteligência em todos os aspetos da defesa cibernética: usa a IA para avaliar o risco, priorizar vulnerabilidades e fornecer estatísticas acionáveis para remediação.

Compreenda e tire partido da vantagem do seu defensor: oferece uma análise de risco abrangente, priorização de vulnerabilidades e identificação proativa de pontos fracos.

Valide e melhore as suas defesas continuamente: oferece uma avaliação contínua da postura de segurança e priorização de recursos.

Gerir e coordenar os esforços de defesa cibernética através do Mission Control: funciona como um centro central para gerir e coordenar operações de defesa cibernética.

Chrome Enterprise Premium Use a função de inteligência em todos os aspetos da defesa cibernética: Protege os utilizadores contra riscos de exfiltração, impede software malicioso e oferece visibilidade da atividade do navegador não segura.

Compreenda e tire partido da vantagem do seu defensor: melhora a segurança dos dispositivos empresariais através da proteção de dados, da prevenção de software malicioso e do controlo das extensões.

Valide e melhore continuamente as suas defesas: Aborda ameaças novas e em evolução através de atualizações contínuas às defesas contra riscos de exfiltração e software malicioso.

Gerir e coordenar os esforços de defesa cibernética através do Mission Control: gerir e controlar o acesso do utilizador final a recursos confidenciais, incluindo controlos de acesso detalhados.

Google Workspace Gerir e coordenar os esforços de defesa cibernética através do Mission Control: gerir e controlar o acesso do utilizador final a recursos confidenciais, incluindo controlos de acesso detalhados.
Network Intelligence Center Use a função de inteligência em todos os aspetos da defesa cibernética: Oferece visibilidade sobre o desempenho da rede e deteta padrões de tráfego ou transferências de dados invulgares.
Cloud NGFW Valide e melhore as suas defesas continuamente: Otimiza a deteção e a resposta a ameaças baseadas na rede através da integração com o Security Command Center e o Google SecOps.

Use a IA de forma segura e responsável

Este princípio no pilar de segurança do Google Cloud Well-Architected Framework fornece recomendações para ajudar a proteger os seus sistemas de IA. Estas recomendações estão alinhadas com a Secure AI Framework (SAIF) da Google, que oferece uma abordagem prática para resolver as preocupações de segurança e risco dos sistemas de IA. A SAIF é uma framework concetual que visa fornecer normas para toda a indústria para criar e implementar a IA de forma responsável.

Vista geral do princípio

Para ajudar a garantir que os seus sistemas de IA cumprem os requisitos de segurança, privacidade e conformidade, tem de adotar uma estratégia holística que comece com a conceção inicial e se estenda à implementação e às operações. Pode implementar esta estratégia holística aplicando os seis elementos fundamentais da SAIF.

A Google usa a IA para melhorar as medidas de segurança, como a identificação de ameaças, a automatização de tarefas de segurança e a melhoria das capacidades de deteção, ao mesmo tempo que mantém a intervenção humana para decisões críticas.

A Google enfatiza uma abordagem colaborativa para o desenvolvimento da segurança da IA. Esta abordagem envolve parcerias com clientes, indústrias e governos para melhorar as diretrizes da SAIF e oferecer recursos práticos e acionáveis.

As recomendações para implementar este princípio estão agrupadas nas seguintes secções:

Recomendações para usar a IA em segurança

Para usar a IA de forma segura, precisa de controlos de segurança fundamentais e controlos de segurança específicos da IA. Esta secção oferece uma vista geral das recomendações para garantir que as suas implementações de IA e ML cumprem os requisitos de segurança, privacidade e conformidade da sua organização. Para uma vista geral dos princípios e recomendações de arquitetura específicos das cargas de trabalho de IA e ML no Google Cloud, consulte aperspetiva de IA e ML no Well-Architected Framework.

Defina objetivos e requisitos claros para a utilização da IA

Esta recomendação é relevante para as seguintes áreas de foco:

  • Governança, risco e conformidade na nuvem
  • Segurança de IA e ML

Esta recomendação está alinhada com o elemento da SAIF sobre a contextualização dos riscos dos sistemas de IA nos processos empresariais circundantes. Quando concebe e desenvolve sistemas de IA, é importante compreender os seus objetivos de negócio específicos, riscos e requisitos de conformidade.

Mantenha os dados seguros e evite a perda ou o manuseamento indevido

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança das infraestruturas
  • Gestão de identidade e de acesso
  • Segurança dos dados
  • Segurança para aplicações
  • Segurança de IA e ML

Esta recomendação está alinhada com os seguintes elementos da SAIF:

  • Expanda bases de segurança sólidas para o ecossistema de IA. Este elemento inclui a recolha de dados, o armazenamento, o controlo de acesso e a proteção contra a contaminação de dados.
  • Contextualize os riscos dos sistemas de IA. Realce a segurança dos dados para apoiar os objetivos empresariais e a conformidade.

Mantenha os pipelines de IA seguros e robustos contra adulteração

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança das infraestruturas
  • Gestão de identidade e de acesso
  • Segurança dos dados
  • Segurança para aplicações
  • Segurança de IA e ML

Esta recomendação está alinhada com os seguintes elementos da SAIF:

  • Expanda bases de segurança sólidas para o ecossistema de IA. Como elemento fundamental para estabelecer um sistema de IA seguro, proteja o seu código e os artefactos do modelo.
  • Adapte os controlos para ciclos de feedback mais rápidos. Porque é importante para a mitigação e a resposta a incidentes, acompanhe os seus recursos e execuções de pipelines.

Implemente apps em sistemas seguros através de ferramentas e artefactos seguros

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança das infraestruturas
  • Gestão de identidade e de acesso
  • Segurança dos dados
  • Segurança para aplicações
  • Segurança de IA e ML

A utilização de sistemas seguros e ferramentas e artefactos validados em aplicações baseadas em IA está alinhada com o elemento da SAIF sobre a expansão de bases de segurança sólidas para o ecossistema de IA e a cadeia de fornecimento. Esta recomendação pode ser resolvida através dos seguintes passos:

Proteja e monitorize entradas

Esta recomendação é relevante para as seguintes áreas de foco:

  • Registo, auditoria e monitorização
  • Operações de segurança
  • Segurança de IA e ML

Esta recomendação está alinhada com o elemento SAIF sobre a extensão da deteção e da resposta para introduzir a IA no universo de ameaças de uma organização. Para evitar problemas, é fundamental gerir os comandos para sistemas de IA generativa, monitorizar as entradas e controlar o acesso dos utilizadores.

Recomendações para a governação da IA

Todas as recomendações nesta secção são relevantes para a seguinte área de foco: Governança, risco e conformidade na nuvem.

Google Cloud oferece um conjunto robusto de ferramentas e serviços que pode usar para criar sistemas de IA responsáveis e éticos. Também oferecemos uma framework de políticas, procedimentos e considerações éticas que podem orientar o desenvolvimento, a implementação e a utilização de sistemas de IA.

Conforme refletido nas nossas recomendações, a abordagem da Google à governação da IA é orientada pelos seguintes princípios:

  • Imparcialidade
  • Transparência
  • Responsabilidade
  • Privacidade
  • Segurança

Use indicadores de equidade

A Vertex AI pode detetar parcialidade durante a recolha de dados ou o processo de avaliação pós-preparação. O Vertex AI fornece métricas de avaliação de modelos como tendências nos dados e tendências nos modelos para ajudar a avaliar o seu modelo quanto a tendências.

Estas métricas estão relacionadas com a equidade em diferentes categorias, como raça, género e classe. No entanto, a interpretação dos desvios estatísticos não é um exercício simples, uma vez que as diferenças entre categorias podem não ser o resultado de parcialidade ou um sinal de dano.

Use o Vertex Explainable AI

Para compreender como os modelos de IA tomam decisões, use a Vertex Explainable AI. Esta funcionalidade ajuda a identificar potenciais parcialidades que podem estar ocultas na lógica do modelo.

Esta funcionalidade de explicabilidade está integrada com o BigQuery ML e o Vertex AI, que fornecem explicações baseadas em caraterísticas. Pode realizar a explicabilidade no BigQuery ML ou registar o seu modelo no Vertex AI e realizar a explicabilidade no Vertex AI.

Acompanhe a linhagem de dados

Monitorize a origem e a transformação dos dados usados nos seus sistemas de IA. Este acompanhamento ajuda a compreender o percurso dos dados e a identificar potenciais origens de parcialidade ou erro.

A linhagem de dados é uma funcionalidade do catálogo universal do Dataplex que lhe permite acompanhar a forma como os dados se movem nos seus sistemas: de onde vêm, para onde são transmitidos e que transformações lhes são aplicadas.

Estabeleça a responsabilidade

Estabeleça uma responsabilidade clara pelo desenvolvimento, implementação e resultados dos seus sistemas de IA.

Use o Cloud Logging para registar eventos principais e decisões tomadas pelos seus sistemas de IA. Os registos fornecem uma trilha de auditoria para ajudar a compreender o desempenho do sistema e identificar áreas de melhoria.

Use os relatórios de erros para analisar sistematicamente os erros cometidos pelos sistemas de IA. Esta análise pode revelar padrões que apontam para preconceitos subjacentes ou áreas onde o modelo precisa de mais refinamento.

Implemente a privacidade diferencial

Durante a preparação do modelo, adicione ruído aos dados para dificultar a identificação de pontos de dados individuais, mas permitir que o modelo aprenda de forma eficaz. Com o SQL no BigQuery, pode transformar os resultados de uma consulta com agregações diferencialmente privadas.

Use a IA para segurança

Este princípio no pilar de segurança da Google Cloud estrutura bem arquitetada fornece recomendações para usar a IA para ajudar a melhorar a segurança das suas cargas de trabalho na nuvem.

Devido ao número crescente e à sofisticação dos ciberataques, é importante tirar partido do potencial da IA para ajudar a melhorar a segurança. A IA pode ajudar a reduzir o número de ameaças, o esforço manual exigido pelos profissionais de segurança e a compensar a escassez de especialistas no domínio da cibersegurança.

Vista geral do princípio

Use as capacidades de IA para melhorar os seus sistemas e processos de segurança existentes. Pode usar o Gemini in Security bem como as capacidades de IA intrínsecas incorporadas nos Google Cloud serviços.

Estas capacidades de IA podem transformar a segurança, oferecendo assistência em todas as fases do ciclo de vida da segurança. Por exemplo, pode usar a IA para fazer o seguinte:

  • Analise e explique código potencialmente malicioso sem engenharia reversa.
  • Reduzir o trabalho repetitivo para os profissionais de cibersegurança.
  • Use a linguagem natural para gerar consultas e interagir com dados de eventos de segurança.
  • Apresentar informações contextuais.
  • Oferecer recomendações para respostas rápidas.
  • Ajudar na remediação de eventos.
  • Resumir alertas de alta prioridade para configurações incorretas e vulnerabilidades, realçar potenciais impactos e recomendar mitigações.

Níveis de autonomia de segurança

A IA e a automatização podem ajudar a alcançar melhores resultados de segurança quando lida com ameaças de cibersegurança em constante evolução. Ao usar a IA para segurança, pode alcançar níveis mais elevados de autonomia para detetar e impedir ameaças, bem como melhorar a sua postura de segurança geral. A Google define quatro níveis de autonomia quando usa a IA para segurança e descreve a função crescente da IA na assistência e, eventualmente, na liderança de tarefas de segurança:

  1. Manual: os humanos executam todas as tarefas de segurança (impedir, detetar, priorizar e responder) em todo o ciclo de vida da segurança.
  2. Assistida: as ferramentas de IA, como o Gemini, aumentam a produtividade humana resumindo informações, gerando estatísticas e fazendo recomendações.
  3. Semi-autónoma: a IA assume a responsabilidade principal por muitas tarefas de segurança e delega-as a humanos apenas quando necessário.
  4. Autónomo: a IA atua como um assistente fidedigno que impulsiona o ciclo de vida da segurança com base nos objetivos e nas preferências da sua organização, com uma intervenção humana mínima.

Recomendações

As secções seguintes descrevem as recomendações para usar a IA para segurança. As secções também indicam como as recomendações se alinham com os elementos fundamentais da Secure AI Framework (SAIF) da Google e como são relevantes para os níveis de autonomia de segurança.

Melhore a deteção e a resposta a ameaças com a IA

Esta recomendação é relevante para as seguintes áreas de foco:

  • Operações de segurança (SecOps)
  • Registo, auditoria e monitorização

A IA pode analisar grandes volumes de dados de segurança, oferecer estatísticas sobre o comportamento dos autores de ameaças e automatizar a análise de código potencialmente malicioso. Esta recomendação está alinhada com os seguintes elementos da SAIF:

  • Alargue a deteção e a resposta para introduzir a IA no universo de ameaças da sua organização.
  • Automatize as defesas para acompanhar o ritmo das ameaças existentes e novas.

Consoante a sua implementação, esta recomendação pode ser relevante para os seguintes níveis de autonomia:

  • Assistida: a IA ajuda na análise e deteção de ameaças.
  • Semi-autónoma: a IA assume mais responsabilidade pela tarefa de segurança.

A Google Threat Intelligence, que usa a IA para analisar o comportamento dos autores de ameaças e o código malicioso, pode ajudar a implementar esta recomendação.

Simplifique a segurança para especialistas e não especialistas

Esta recomendação é relevante para as seguintes áreas de foco:

  • Operações de segurança (SecOps)
  • Governança, risco e conformidade na nuvem

As ferramentas com tecnologia de IA podem resumir alertas e recomendar mitigações, e estas capacidades podem tornar a segurança mais acessível a um maior número de pessoas. Esta recomendação está alinhada com os seguintes elementos da SAIF:

  • Automatize as defesas para acompanhar o ritmo das ameaças existentes e novas.
  • Harmonize os controlos ao nível da plataforma para garantir uma segurança consistente em toda a organização.

Consoante a sua implementação, esta recomendação pode ser relevante para os seguintes níveis de autonomia:

  • Assistida: a IA ajuda a melhorar a acessibilidade das informações de segurança.
  • Semiautónoma: a IA ajuda a tornar as práticas de segurança mais eficazes para todos os utilizadores.

O Gemini no Security Command Center pode fornecer resumos de alertas de configurações incorretas e vulnerabilidades.

Automatize tarefas de segurança demoradas com IA

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança das infraestruturas
  • Operações de segurança (SecOps)
  • Segurança para aplicações

A IA pode automatizar tarefas como analisar software malicioso, gerar regras de segurança e identificar erros de configuração. Estas capacidades podem ajudar a reduzir a carga de trabalho das equipas de segurança e acelerar os tempos de resposta. Esta recomendação está alinhada com o elemento da SAIF sobre a automatização das defesas para acompanhar o ritmo das ameaças existentes e novas.

Consoante a sua implementação, esta recomendação pode ser relevante para os seguintes níveis de autonomia:

  • Assistido: a IA ajuda a automatizar tarefas.
  • Semi-autónoma: a IA assume a responsabilidade principal pelas tarefas de segurança e só pede assistência humana quando necessário.

O Gemini no Google SecOps pode ajudar a automatizar tarefas de alta intensidade, assistindo os analistas, obtendo contexto relevante e fazendo recomendações para os passos seguintes.

Incorpore a IA nos processos de gestão de riscos e governação

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

Pode usar a IA para criar um inventário de modelos e perfis de risco. Também pode usar a IA para implementar políticas de privacidade de dados, risco cibernético e risco de terceiros. Esta recomendação está alinhada com o elemento da SAIF sobre a contextualização dos riscos dos sistemas de IA nos processos empresariais circundantes.

Consoante a sua implementação, esta recomendação pode ser relevante para o nível de autonomia semiautónomo. Neste nível, a IA pode orquestrar agentes de segurança que executam processos para alcançar os seus objetivos de segurança personalizados.

Implemente práticas de desenvolvimento seguras para sistemas de IA

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança para aplicações
  • Segurança de IA e ML

Pode usar a IA para programação segura, limpeza de dados de preparação e validação de ferramentas e artefactos. Esta recomendação está alinhada com o elemento da SAIF sobre a expansão de bases de segurança sólidas para o ecossistema de IA.

Esta recomendação pode ser relevante para todos os níveis de autonomia de segurança, porque é necessário ter um sistema de IA seguro antes de poder usar a IA de forma eficaz para a segurança. A recomendação é mais relevante para o nível assistido, em que as práticas de segurança são melhoradas pela IA.

Para implementar esta recomendação, siga as diretrizes dos níveis da cadeia de fornecimento para artefactos de software (SLSA) para artefactos de IA e use imagens de contentores validadas.

Cumprir as necessidades regulamentares, de conformidade e de privacidade

Este princípio no pilar de segurança da Google Cloud Well-Architected Framework ajuda a identificar e cumprir os requisitos regulamentares, de conformidade e de privacidade para implementações na nuvem. Estes requisitos influenciam muitas das decisões que tem de tomar sobre os controlos de segurança que têm de ser usados para as suas cargas de trabalho noGoogle Cloud.

Vista geral do princípio

Satisfazer as necessidades regulamentares, de conformidade e de privacidade é um desafio inevitável para todas as empresas. Os requisitos regulamentares da nuvem dependem de vários fatores, incluindo os seguintes:

  • As leis e os regulamentos aplicáveis às localizações físicas da sua organização
  • As leis e os regulamentos aplicáveis às localizações físicas dos seus clientes
  • Os requisitos regulamentares do seu setor

Os regulamentos de privacidade definem como pode obter, processar, armazenar e gerir os dados dos seus utilizadores. Os seus dados são só seus, incluindo os dados que recebe dos seus utilizadores. Por conseguinte, muitos controlos de privacidade são da sua responsabilidade, incluindo os controlos para cookies, gestão de sessões e obtenção da autorização do utilizador.

As recomendações para implementar este princípio estão agrupadas nas seguintes secções:

Recomendações para resolver riscos organizacionais

Esta secção fornece recomendações para ajudar a identificar e resolver riscos para a sua organização.

Identifique riscos para a sua organização

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

Antes de criar e implementar recursos no Google Cloud, conclua uma avaliação de riscos. Esta avaliação deve determinar as funcionalidades de segurança de que precisa para cumprir os seus requisitos de segurança internos e requisitos regulamentares externos.

A avaliação de risco fornece-lhe um catálogo de riscos específicos da organização e informa-o sobre a capacidade da sua organização para detetar e neutralizar ameaças de segurança. Tem de realizar uma análise de riscos imediatamente após a implementação e sempre que houver alterações nas necessidades da sua empresa, nos requisitos regulamentares ou nas ameaças à sua organização.

Conforme mencionado no princípio Implementar a segurança por conceção, os seus riscos de segurança num ambiente de nuvem diferem dos riscos no local. Esta diferença deve-se ao modelo de responsabilidade partilhada na nuvem, que varia consoante o serviço (IaaS, PaaS ou SaaS) e a sua utilização. Use uma framework de avaliação do risco específica da nuvem, como a Cloud Controls Matrix (CCM). Use a modelagem de ameaças, como a modelagem de ameaças de aplicações OWASP, para identificar e resolver vulnerabilidades. Para receber ajuda especializada com as avaliações de risco, contacte o representante da sua Conta Google ou consulte o Google Cloud's diretório de parceiros.

Depois de catalogar os riscos, tem de determinar como os abordar, ou seja, se quer aceitar, evitar, transferir ou mitigar os riscos. Para ver os controlos de mitigação que pode implementar, consulte a secção seguinte sobre a mitigação dos seus riscos.

Mitigue os seus riscos

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

Quando adota novos serviços de nuvem pública, pode mitigar os riscos através de controlos técnicos, proteções contratuais e validações ou atestações de terceiros.

Os controlos técnicos são funcionalidades e tecnologias que usa para proteger o seu ambiente. Estas incluem controlos de segurança na nuvem incorporados, como firewalls e registo. Os controlos técnicos também podem incluir a utilização de ferramentas de terceiros para reforçar ou apoiar a sua estratégia de segurança. Existem duas categorias de controlos técnicos:

  • Pode implementar os controlos de segurança do Google Cloudpara ajudar a mitigar os riscos que se aplicam ao seu ambiente. Por exemplo, pode proteger a ligação entre as suas redes no local e as suas redes na nuvem através do Cloud VPN e do Cloud Interconnect.
  • A Google tem controlos internos e auditorias robustos para proteção contra o acesso interno aos dados dos clientes. Os nossos registos de auditoria fornecem-lhe registos quase em tempo real do acesso de administrador da Google em Google Cloud.

As proteções contratuais referem-se aos compromissos legais assumidos por nós relativamente aos Google Cloud serviços. A Google está empenhada em manter e expandir o nosso portefólio de conformidade. A Alteração ao Tratamento de Dados do Cloud (APDC) descreve os nossos compromissos relativamente ao tratamento e à segurança dos seus dados. A CDPA também descreve os controlos de acesso que limitam o acesso dos engenheiros do Apoio técnico da Google aos ambientes dos clientes, e descreve o nosso rigoroso processo de registo e aprovação. Recomendamos que reveja os controlos contratuais da Google Cloud com os seus especialistas jurídicos e regulamentares e verifique se cumprem os seus requisitos. Se precisar de mais informações, contacte o seu representante técnico da conta.

As verificações ou atestações de terceiros referem-se a ter uma auditoria de fornecedores terceiros para garantir que o fornecedor cumpre os requisitos de conformidade. Por exemplo, para saber mais sobre as Google Cloud atestações relativas às diretrizes ISO/IEC 27017, consulte o artigo ISO/IEC 27017 – Conformidade. Para ver as Google Cloud certificações e as cartas de atestação atuais, consulte o Centro de recursos de conformidade.

Recomendações para cumprir as obrigações regulamentares e de conformidade

Um percurso de conformidade típico tem três fases: avaliação, remediação de lacunas e monitorização contínua. Esta secção fornece recomendações que pode usar durante cada uma destas fases.

Avalie as suas necessidades de conformidade

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

A avaliação da conformidade começa com uma revisão exaustiva de todas as suas obrigações regulamentares e como a sua empresa as está a implementar. Para ajudar com a sua avaliação dos serviços Google Cloud , use o centro de recursos de conformidade. Este site fornece informações sobre o seguinte:

  • Suporte de serviços para vários regulamentos
  • Google Cloud certificações e atestações

Para compreender melhor o ciclo de vida de conformidade na Google e como os seus requisitos podem ser satisfeitos, pode contactar as vendas para pedir ajuda a um especialista em conformidade da Google. Em alternativa, pode contactar o seu Google Cloud gestor de conta para pedir um workshop de conformidade.

Para mais informações sobre ferramentas e recursos que pode usar para gerir a segurança e a conformidade para cargas de trabalho, consulte o artigo Garantir a conformidade na nuvem. Google Cloud

Automatize a implementação dos requisitos de conformidade

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

Para ajudar a manter a conformidade com as regulamentações em constante mudança, determine se pode automatizar a forma como implementa os requisitos de conformidade. Pode usar capacidades focadas na conformidade que Google Cloud fornecem e planos que usam configurações recomendadas para um regime de conformidade específico.

O Assured Workloads baseia-se nos controlos do Google Cloud para ajudar a cumprir as suas obrigações de conformidade. O Assured Workloads permite-lhe fazer o seguinte:

  • Selecione o regime de conformidade. Em seguida, a ferramenta define automaticamente os controlos de acesso do pessoal de base para o regime selecionado.
  • Defina a localização dos seus dados através de políticas da organização para que os dados em repouso e os recursos permaneçam apenas nessa região.
  • Selecione a opção de gestão de chaves (como o período de rotação de chaves) que melhor cumpre os seus requisitos de segurança e conformidade.
  • Selecione os critérios de acesso para o pessoal do apoio técnico da Google cumprir determinados requisitos regulamentares, como o FedRAMP Moderate. Por exemplo, pode selecionar se o pessoal do apoio técnico da Google concluiu as verificações de antecedentes adequadas.
  • Use Google-owned and Google-managed encryption keys que estejam em conformidade com a norma FIPS-140-2 e que suportem a conformidade com a norma FedRAMP Moderate. Para uma camada adicional de controlo e para a separação de funções, pode usar chaves de encriptação geridas pelo cliente (CMEK). Para mais informações sobre chaves, consulte o artigo Encripte dados em repouso e em trânsito.

Além do Assured Workloads, pode usar Google Cloud projetos relevantes para o seu regime de conformidade. Pode modificar estes blueprints para incorporar as suas políticas de segurança nas suas implementações de infraestrutura.

Para ajudar a criar um ambiente que suporte os seus requisitos de conformidade, os planos e os guias de soluções da Google incluem configurações recomendadas e fornecem módulos do Terraform. A tabela seguinte lista os planos detalhados que abordam a segurança e o alinhamento com os requisitos de conformidade.

Requisito Projetos e guias de soluções
FedRAMP
HIPAA

Monitorize a sua conformidade

Esta recomendação é relevante para as seguintes áreas de foco:

  • Governança, risco e conformidade na nuvem
  • Registo, monitorização e auditoria

A maioria dos regulamentos exige que monitorize atividades específicas, que incluem atividades relacionadas com o acesso. Para ajudar na monitorização, pode usar o seguinte:

  • Transparência de acesso: Veja registos quase em tempo real quando os Google Cloud administradores acedem ao seu conteúdo.
  • Registo de regras de firewall: registe ligações TCP e UDP numa rede VPC para todas as regras que criar. Estes registos podem ser úteis para auditar o acesso à rede ou para fornecer um aviso prévio de que a rede está a ser usada de forma não aprovada.
  • Registos de fluxo da VPC: registam fluxos de tráfego de rede que são enviados ou recebidos por instâncias de VMs.
  • Security Command Center Premium: Monitorize a conformidade com várias normas.
  • OSSEC (ou outra ferramenta de código aberto): registe a atividade de indivíduos que tenham acesso de administrador ao seu ambiente.
  • Justificações de acesso à chave: Veja os motivos de um pedido de acesso à chave.
  • Notificações do Security Command Center: Receba alertas quando ocorrem problemas de não conformidade. Por exemplo, receba alertas quando os utilizadores desativam a validação em dois passos ou quando as contas de serviço têm privilégios excessivos. Também pode configurar a correção automática para notificações específicas.

Recomendações para gerir a soberania dos seus dados

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

A soberania dos dados oferece-lhe um mecanismo para impedir que a Google aceda aos seus dados. Aprova o acesso apenas para comportamentos de fornecedores que concorda serem necessários. Por exemplo, pode gerir a sua soberania de dados das seguintes formas:

Faça a gestão da sua soberania operacional

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

A soberania operacional oferece-lhe garantias de que o pessoal da Google não pode comprometer as suas cargas de trabalho. Por exemplo, pode gerir a soberania operacional das seguintes formas:

Faça a gestão da soberania do software

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

A soberania do software oferece-lhe garantias de que pode controlar a disponibilidade das suas cargas de trabalho e executá-las quando quiser. Além disso, pode ter este controlo sem depender nem estar bloqueado a um único fornecedor de nuvem. A soberania do software inclui a capacidade de sobreviver a eventos que requerem que altere rapidamente a localização onde as suas cargas de trabalho estão implementadas e que nível de ligação ao exterior é permitido.

Por exemplo, para ajudar a gerir a sua soberania de software, Google Cloud suporta implementações híbridas e multinuvem. Além disso, o GKE Enterprise permite-lhe gerir e implementar as suas aplicações em ambientes na nuvem e em ambientes nas instalações. Se escolher implementações no local por motivos de soberania dos dados, o Google Distributed Cloud é uma combinação de hardware e software que traz o Google Cloud para o seu centro de dados. Google Cloud

Recomendações para cumprir os requisitos de privacidade

OGoogle Cloud inclui os seguintes controlos que promovem a privacidade:

  • Encriptação predefinida de todos os dados quando estão inativos, quando estão em trânsito e enquanto estão a ser processados.
  • Salvaguardas contra o acesso privilegiado.
  • Suporte de vários regulamentos de privacidade.

As seguintes recomendações abordam controlos adicionais que pode implementar. Para mais informações, consulte o centro de recursos de privacidade.

Controle a residência dos dados

Esta recomendação é relevante para a seguinte área de foco: Governança, risco e conformidade na nuvem.

A residência dos dados descreve a localização onde os seus dados são armazenados em repouso. Os requisitos de residência dos dados variam consoante os objetivos de conceção do sistema, as preocupações regulamentares do setor, a lei nacional, as implicações fiscais e até a cultura.

O controlo da residência dos dados começa com o seguinte:

  • Compreenda o seu tipo de dados e a respetiva localização.
  • Determine que riscos existem para os seus dados e que leis e regulamentos se aplicam.
  • Controlar onde os seus dados são armazenados ou para onde são enviados.

Para ajudar a agir em conformidade com os requisitos de residência de dados, Google Cloud permite-lhe controlar onde os seus dados são armazenados, como são acedidos e como são processados. Pode usar políticas de localização de recursos para restringir o local onde os recursos são criados e limitar a localização onde os dados são replicados entre regiões. Pode usar a propriedade de localização de um recurso para identificar onde o serviço está implementado e quem o mantém. Para mais informações, consulte o artigo Serviços suportados por localizações de recursos.

Classifique os seus dados confidenciais

Esta recomendação é relevante para a seguinte área de foco: Segurança dos dados.

Tem de definir que dados são confidenciais e, depois, garantir que os dados confidenciais são adequadamente protegidos. Os dados confidenciais podem incluir números de cartões de crédito, moradas, números de telefone e outras informações de identificação pessoal (PII). Com a proteção de dados confidenciais, pode configurar classificações adequadas. Em seguida, pode identificar e criar símbolos para os seus dados antes de os armazenar no Google Cloud. Além disso, o catálogo universal do Dataplex oferece um serviço de catálogo que fornece uma plataforma para armazenar, gerir e aceder aos seus metadados. Para mais informações e um exemplo de classificação e desidentificação de dados, consulte o artigo Desidentificação e reidentificação de PII com a proteção de dados sensíveis.

Proteja o acesso a dados confidenciais

Esta recomendação é relevante para as seguintes áreas de foco:

  • Segurança dos dados
  • Gestão de identidade e de acesso

Coloque dados sensíveis no seu próprio perímetro de serviço através dos VPC Service Controls. O VPC Service Controls melhora a sua capacidade de mitigar o risco de cópia ou transferência não autorizada de dados (exfiltração de dados) de serviços geridos pela Google. Com os VPC Service Controls, configura perímetros de segurança em torno dos recursos dos seus serviços geridos pela Google para controlar o movimento de dados no perímetro. Defina controlos de acesso da gestão de identidade e de acesso (IAM) da Google para esses dados. Configure a autenticação multifator (MFA) para todos os utilizadores que necessitem de acesso a dados sensíveis.

Responsabilidades partilhadas e destino partilhado no Google Cloud

Este documento descreve as diferenças entre o modelo de responsabilidade partilhada e o destino partilhado no Google Cloud. Aborda os desafios e as nuances do modelo de responsabilidade partilhada. Este documento descreve o que é o destino partilhado e como colaboramos com os nossos clientes para resolver os desafios de segurança na nuvem.

Compreender o modelo de responsabilidade partilhada é importante para determinar a melhor forma de proteger os seus dados e cargas de trabalho no Google Cloud. O modelo de responsabilidade partilhada descreve as tarefas que tem no que diz respeito à segurança na nuvem e como estas tarefas são diferentes para os fornecedores de nuvem.

No entanto, compreender a responsabilidade partilhada pode ser desafiante. O modelo requer uma compreensão detalhada de cada serviço que utiliza, das opções de configuração que cada serviço oferece e do que Google Cloudfaz para proteger o serviço. Cada serviço tem um perfil de configuração diferente e pode ser difícil determinar a melhor configuração de segurança. A Google considera que o modelo de responsabilidade partilhada não é suficiente para ajudar os clientes da nuvem a alcançar melhores resultados de segurança. Em vez de responsabilidade partilhada, acreditamos no destino partilhado.

O destino partilhado inclui a criação e a operação de uma plataforma na nuvem fidedigna para as suas cargas de trabalho. Fornecemos orientações sobre práticas recomendadas e código de infraestrutura seguro e atestado que pode usar para implementar as suas cargas de trabalho de forma segura. Lançamos soluções que combinam vários Google Cloud serviços para resolver problemas de segurança complexos e oferecemos opções de seguros inovadoras para ajudar a medir e mitigar os riscos que tem de aceitar. O destino partilhado envolve uma interação mais próxima consigo à medida que protege os seus recursos noGoogle Cloud.

Responsabilidade partilhada

É especialista em conhecer os requisitos de segurança e regulamentares da sua empresa, bem como os requisitos para proteger os seus dados e recursos confidenciais. Quando executa as suas cargas de trabalho no Google Cloud, tem de identificar os controlos de segurança que tem de configurar no Google Cloud para ajudar a proteger os seus dados confidenciais e cada carga de trabalho. Para decidir que controlos de segurança implementar, tem de considerar os seguintes fatores:

  • As suas obrigações de conformidade regulamentar
  • Os padrões de segurança e o plano de gestão de riscos da sua organização
  • Requisitos de segurança dos seus clientes e fornecedores

Definido por cargas de trabalho

Tradicionalmente, as responsabilidades são definidas com base no tipo de carga de trabalho que está a executar e nos serviços na nuvem de que precisa. Os serviços na nuvem incluem as seguintes categorias:

Serviço na nuvem Descrição
Infraestrutura como serviço (IaaS) Os serviços de IaaS incluem o Compute Engine, o Cloud Storage e os serviços de rede, como o Cloud VPN, o Cloud Load Balancing e o Cloud DNS.

A IaaS oferece serviços de computação, armazenamento e rede a pedido com preços de pagamento conforme a utilização. Pode usar a IaaS se planear migrar uma carga de trabalho existente nas instalações para a nuvem através da técnica de lift-and-shift ou se quiser executar a sua aplicação em VMs específicas, usando bases de dados ou configurações de rede específicas.

Na IaaS, a maior parte das responsabilidades de segurança são suas, e as nossas responsabilidades centram-se na infraestrutura subjacente e na segurança física.

Plataforma como serviço (PaaS) Os serviços de PaaS incluem o App Engine, o Google Kubernetes Engine (GKE) e o BigQuery.

A PaaS fornece o ambiente de tempo de execução no qual pode desenvolver e executar as suas aplicações. Pode usar a PaaS se estiver a criar uma aplicação (como um Website) e quiser focar-se no desenvolvimento e não na infraestrutura subjacente.

Na PaaS, somos responsáveis por mais controlos do que na IaaS. Normalmente, isto varia consoante os serviços e as funcionalidades que utiliza. Partilha a responsabilidade connosco pelos controlos ao nível da aplicação e pela gestão de IAM. Continua a ser responsável pela segurança dos seus dados e pela proteção dos clientes.
Software como serviço (SaaS) As aplicações SaaS incluem o Google Workspace, o Google Security Operations e aplicações SaaS de terceiros que estão disponíveis no Google Cloud Marketplace.

O SaaS fornece aplicações online às quais pode subscrever ou pagar de alguma forma. Pode usar aplicações SaaS quando a sua empresa não tem a experiência interna ou o requisito empresarial para criar a aplicação, mas precisa da capacidade de processar cargas de trabalho.

No SaaS, somos responsáveis pela maioria das responsabilidades de segurança. Continua a ser responsável pelos seus controlos de acesso e pelos dados que optar por armazenar na aplicação.

Função como serviço (FaaS) ou sem servidor

A FaaS fornece a plataforma para os programadores executarem código pequeno e de finalidade única (denominado funções) que é executado em resposta a eventos específicos. Usaria a FaaS quando quisesse que ocorressem determinadas ações com base num evento específico. Por exemplo, pode criar uma função que é executada sempre que os dados são carregados para o Cloud Storage para que possam ser classificados.

A FaaS tem uma lista de responsabilidade partilhada semelhante à SaaS. As funções do Cloud Run são uma aplicação FaaS.

O diagrama seguinte mostra os serviços na nuvem e define como as responsabilidades são partilhadas entre o fornecedor de nuvem e o cliente.

Responsabilidades de segurança partilhadas

Conforme mostra o diagrama, o fornecedor de nuvem é sempre responsável pela rede e infraestrutura subjacentes, e os clientes são sempre responsáveis pelas respetivas políticas de acesso e dados.

Definido pela indústria e pelo quadro regulamentar

Vários setores têm quadros regulamentares que definem os controlos de segurança que têm de estar em vigor. Quando move as suas cargas de trabalho para a nuvem, tem de compreender o seguinte:

  • Quais são os controlos de segurança da sua responsabilidade
  • Que controlos de segurança estão disponíveis como parte da oferta na nuvem
  • Que controlos de segurança predefinidos são herdados

Os controlos de segurança herdados (como a nossa encriptação predefinida e os controlos de infraestrutura) são controlos que pode fornecer como parte das provas da sua postura de segurança a auditores e reguladores. Por exemplo, a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) define regulamentos para processadores de pagamentos. Quando move a sua empresa para a nuvem, estes regulamentos são partilhados entre si e o seu PSC. Para compreender como as responsabilidades da PCI DSS são partilhadas entre si e a Google Cloud, consulte o artigo Google Cloud: Matriz de responsabilidade partilhada da PCI DSS.

Outro exemplo: nos Estados Unidos, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) estabeleceu normas para o tratamento de informações de saúde pessoais eletrónicas (PHI). Estas responsabilidades também são partilhadas entre o PSC e si. Para mais informações sobre como a Google cumpre as suas responsabilidades ao abrigo da HIPAA, consulte o artigo HIPAA – Conformidade. Google Cloud

Outras indústrias (por exemplo, finanças ou produção) também têm regulamentos que definem como os dados podem ser recolhidos, tratados e armazenados. Para mais informações sobre a responsabilidade partilhada relacionada com estes aspetos e como aGoogle Cloud cumpre as suas responsabilidades, consulte o centro de recursos de conformidade.

Definido por localização

Consoante o cenário da sua empresa, pode ter de considerar as suas responsabilidades com base na localização dos escritórios da empresa, dos clientes e dos dados. Diferentes países e regiões criaram regulamentos que informam como pode processar e armazenar os dados dos seus clientes. Por exemplo, se a sua empresa tiver clientes residentes na União Europeia, pode ter de cumprir os requisitos descritos no Regulamento Geral sobre a Proteção de Dados (RGPD) e pode ser obrigada a manter os dados dos clientes na própria UE. Nesta circunstância, é responsável por garantir que os dados que recolhe permanecem nas Google Cloud regiões na UE. Para mais informações sobre como cumprimos as nossas obrigações ao abrigo do RGPD, consulte o artigo RGPD e Google Cloud.

Para informações sobre os requisitos relacionados com a sua região, consulte as Ofertas de conformidade. Se o seu cenário for particularmente complicado, recomendamos que fale com a nossa equipa de vendas ou um dos nossos parceiros para ajudar a avaliar as suas responsabilidades de segurança.

Desafios para a responsabilidade partilhada

Embora a responsabilidade partilhada ajude a definir as funções de segurança que o fornecedor de nuvem ou o cliente têm, a confiança na responsabilidade partilhada pode ainda criar desafios. Considere os seguintes cenários:

  • A maioria das violações de segurança na nuvem são o resultado direto de uma configuração incorreta (indicada como o número 3 no Pandemic 11 Report da Cloud Security Alliance) e espera-se que esta tendência aumente. Os produtos do Google Cloud estão em constante mudança e são lançados novos produtos com frequência. Acompanhar as alterações constantes pode parecer avassalador. Os clientes precisam que os fornecedores de nuvem lhes forneçam práticas recomendadas com opiniões para ajudar a acompanhar as mudanças, começando com as práticas recomendadas por predefinição e tendo uma configuração segura de base.
  • Embora a divisão de itens por serviços na nuvem seja útil, muitas empresas têm cargas de trabalho que requerem vários tipos de serviços na nuvem. Nesta circunstância, tem de considerar como vários controlos de segurança para estes serviços interagem, incluindo se se sobrepõem entre e nos serviços. Por exemplo, pode ter uma aplicação nas instalações que está a migrar para o Compute Engine, usar o Google Workspace para o email corporativo e também executar o BigQuery para analisar dados e melhorar os seus produtos.
  • A sua empresa e mercados estão em constante mudança, à medida que os regulamentos mudam, entra em novos mercados ou adquire outras empresas. Os novos mercados podem ter requisitos diferentes e a nova aquisição pode alojar as respetivas cargas de trabalho noutra nuvem. Para gerir as alterações constantes, tem de reavaliar constantemente o seu perfil de risco e conseguir implementar novos controlos rapidamente.
  • A forma e o local de gestão das suas chaves de encriptação de dados é uma decisão importante que está relacionada com as suas responsabilidades de proteção dos seus dados. A opção que escolher depende dos seus requisitos regulamentares, quer esteja a executar um ambiente de nuvem híbrida ou ainda tenha um ambiente no local, e da sensibilidade dos dados que está a processar e armazenar.
  • A gestão de incidentes é uma área importante e, muitas vezes, negligenciada, onde as suas responsabilidades e as responsabilidades do fornecedor de nuvem não são facilmente definidas. Muitos incidentes requerem uma colaboração e apoio técnico estreitos do fornecedor de serviços na nuvem para ajudar a investigá-los e mitigá-los. Outros incidentes podem resultar de recursos na nuvem mal configurados ou credenciais roubadas, e garantir que cumpre as práticas recomendadas para proteger os seus recursos e contas pode ser bastante desafiador.
  • As ameaças persistentes avançadas (APTs) e as novas vulnerabilidades podem afetar as suas cargas de trabalho de formas que pode não considerar quando inicia a sua transformação na nuvem. Garantir que se mantém a par do panorama em constante mudança e quem é responsável pela mitigação de ameaças é difícil, especialmente se a sua empresa não tiver uma grande equipa de segurança.

Destino partilhado

Desenvolvemos o destino partilhado para começar a abordar os desafios que o modelo de responsabilidade partilhada não aborda. Google Cloud O destino partilhado foca-se na forma como todas as partes podem interagir melhor para melhorar continuamente a segurança. O destino partilhado baseia-se no modelo de responsabilidade partilhada porque considera a relação entre o fornecedor de nuvem e o cliente como uma parceria contínua para melhorar a segurança.

O destino partilhado consiste em assumirmos a responsabilidade de tornar o mundo digital Google Cloud mais seguro. O destino partilhado inclui ajudar a começar com uma zona de destino segura e ser claro, assertivo e transparente acerca dos controlos, das definições e das práticas recomendadas de segurança associadas. Inclui ajuda para quantificar e gerir melhor o seu risco com a cibersegurança, através do nosso Programa de Proteção contra Riscos. Através da partilha de responsabilidade, queremos evoluir da estrutura de responsabilidade partilhada padrão para um modelo melhor que ajude a proteger a sua empresa e a criar confiança no Google Cloud.

As secções seguintes descrevem vários componentes do destino partilhado.

Ajuda para começar a usar

Um componente fundamental do destino partilhado são os recursos que fornecemos para ajudar a começar, numa configuração segura no Google Cloud. Começar com uma configuração segura ajuda a reduzir o problema das configurações incorretas, que é a causa principal da maioria das violações de segurança.

Os nossos recursos incluem o seguinte:

  • Plano de fundações empresariais que aborda as principais preocupações de segurança e as nossas principais recomendações.

  • Projetos seguros que lhe permitem implementar e manter soluções seguras através da infraestrutura como código (IaC). Os planos têm as nossas recomendações de segurança ativadas por predefinição. Muitos blueprints são criados pelas equipas de segurança da Google e geridos como produtos. Este apoio técnico significa que são atualizadas regularmente, passam por um processo de testes rigoroso e recebem atestações de grupos de testes externos. Os planos incluem o plano de bases empresariais e o plano de armazém de dados seguro.

  • Google Cloud Práticas recomendadas do Well-Architected Framework que abordam as principais recomendações para incorporar a segurança nos seus designs. O Well-Architected Framework inclui uma secção de segurança e uma zona da comunidade que pode usar para interagir com especialistas e pares.

  • Guias de navegação da zona de destino que explicam as principais decisões que tem de tomar para criar uma base segura para as suas cargas de trabalho, incluindo a hierarquia de recursos, a integração de identidades, a gestão de chaves e segurança, e a estrutura de rede.

Programa de Proteção contra Riscos

O destino partilhado também inclui o programa de proteção contra o risco (atualmente em pré-visualização), que ajuda a usar o poder do Google Cloud como uma plataforma para gerir o risco, em vez de ver as cargas de trabalho na nuvem como outra fonte de risco que tem de gerir. O Risk Protection Program é uma colaboração entre a Google e duas empresas líderes de seguros cibernéticos, a Munich Re e a Allianz Global & Corporate Speciality. Google Cloud

O Programa de proteção contra riscos inclui o centro de seguros cibernéticos, que fornece estatísticas baseadas em dados que pode usar para compreender melhor a sua postura de segurança na nuvem. Se procura cobertura de seguros cibernéticos, pode partilhar estas estatísticas do Cyber Insurance Hub diretamente com os nossos parceiros de seguros para receber um orçamento. Para mais informações, consulte o Google Cloud Programa de proteção contra riscos agora em pré-visualização.

Ajuda com a implementação e a governação

O destino partilhado também ajuda na governação contínua do seu ambiente. Por exemplo, concentramos os nossos esforços em produtos como os seguintes:

Colocar em prática a responsabilidade partilhada e o destino partilhado

Como parte do processo de planeamento, considere as seguintes ações para ajudar a compreender e implementar controlos de segurança adequados:

  • Crie uma lista do tipo de cargas de trabalho que vai alojar no Google Cloude se requerem serviços IaaS, PaaS e SaaS. Pode usar o diagrama de responsabilidade partilhada como uma lista de verificação para garantir que conhece os controlos de segurança que tem de considerar.
  • Crie uma lista de requisitos regulamentares que tem de cumprir e aceda a recursos no centro de recursos de conformidade relacionados com esses requisitos.
  • Reveja a lista de esquemas e arquiteturas disponíveis no Architecture Center para os controlos de segurança de que precisa para as suas cargas de trabalho específicas. Os esquemas fornecem uma lista de controlos recomendados e o código de IaC de que precisa para implementar essa arquitetura.
  • Use a documentação da zona de destino e as recomendações no guia de bases empresariais para conceber uma hierarquia de recursos e uma arquitetura de rede que satisfaçam os seus requisitos. Pode usar os planos detalhados de cargas de trabalho, como o data warehouse seguro, para acelerar o processo de desenvolvimento.
  • Depois de implementar as suas cargas de trabalho, verifique se está a cumprir as suas responsabilidades de segurança através de serviços como o Cyber Insurance Hub, as cargas de trabalho garantidas, as ferramentas de informações sobre políticas e o Security Command Center Premium.

Para mais informações, consulte o guia de transformação na nuvem para o CISO.

O que se segue?