El pilar de seguridad, privacidad y cumplimiento del Google Cloud Framework de arquitectura bien definida proporciona recomendaciones para ayudarte a diseñar, implementar y operar cargas de trabajo en la nube que cumplan con tus requisitos de seguridad, privacidad y cumplimiento.

Este documento está diseñado para ofrecer estadísticas valiosas y satisfacer las necesidades de una variedad de profesionales y de ingenieros de seguridad. En la siguiente tabla, se describen los públicos previstos para este documento:

Público	Qué proporciona este documento
Directores de seguridad de la información (CISO), líderes de unidades de negocio y administradores de TI	Un marco general para establecer y mantener la excelencia de la seguridad en la nube y garantizar una visión integral de las áreas de seguridad para tomar decisiones fundamentadas sobre las inversiones en seguridad.
Arquitectos e ingenieros de seguridad	Prácticas de seguridad clave para las fases de diseño y operativas que ayudan a garantizar que las soluciones se diseñen para la seguridad, la eficiencia y la escalabilidad.
Equipos de DevSecOps	Orientación para incorporar controles de seguridad generales para planificar la automatización que permite una infraestructura segura y confiable.
Funcionarios de cumplimiento y administradores de riesgos	Recomendaciones de seguridad clave para seguir un enfoque estructurado de la administración de riesgos con protecciones que ayudan a cumplir con las obligaciones de cumplimiento.

Para garantizar que tus Google Cloud cargas de trabajo cumplan con tus requisitos de seguridad, privacidad y cumplimiento, todas las partes interesadas de tu organización deben adoptar un enfoque colaborativo. Además, debes reconocer que la seguridad en la nube es una responsabilidad que compartes entre tú y Google. Para obtener más información, consulta Responsabilidades compartidas y destino compartido en Google Cloud.

Las recomendaciones de este pilar se agrupan en principios de seguridad básicos. Cada recomendación basada en principios se asigna a una o más de las áreas de enfoque de seguridad en la nube de implementación clave que podrían ser fundamentales para tu organización. En cada recommendation, se destaca la guía sobre el uso y la configuración de los productos y las funciones deGoogle Cloud para ayudar a mejorar la posición de seguridad de tu organización.

Principios básicos

Las recomendaciones de este pilar se agrupan en los siguientes principios básicos de seguridad. Cada principio de este pilar es importante. Según los requisitos de tu organización y carga de trabajo, puedes priorizar ciertos principios.

• Implementa la seguridad según el diseño: Integra las consideraciones de seguridad de la nube y de la red a partir de la fase de diseño inicial de tus aplicaciones y tu infraestructura. Google Cloud proporciona planes y recomendaciones de arquitectura para ayudarte a aplicar este principio.
• Implementa la confianza cero: Usa un enfoque de nunca confiar, siempre verificar, en el que se otorga acceso a los recursos en función de la verificación continua de la confianza. Google Cloudrespalda este principio a través de productos como Chrome Enterprise Premium y el Proxy basado en identidades (IAP).
• Implementa la seguridad de detección temprana de errores: Implementa controles de seguridad al principio del ciclo de vida de desarrollo de software. Evita los defectos de seguridad antes de realizar cambios en el sistema. Detecta y corrige errores de seguridad de forma anticipada, rápida y confiable después de que se confirman los cambios del sistema. Google Cloud admite este principio a través de productos como Cloud Build, la Autorización Binaria y Artifact Registry.
• Implementa una defensa cibernética preventiva: Adopta un enfoque proactivo de la seguridad mediante la implementación de medidas fundamentales sólidas, como la inteligencia sobre amenazas. Este enfoque te ayuda a crear una base para una detección y respuesta de amenazas más eficaces. El enfoque deGoogle Cloudpara los controles de seguridad en capas se alinea con este principio.
• Usa la IA de forma segura y responsable: Desarrolla e implementa sistemas de IA de forma responsable y segura. Las recomendaciones para este principio están alineadas con la orientación de la perspectiva de la IA y el AA del Framework de arquitectura bien definida y del Secure AI Framework (SAIF) de Google.
• Usa la IA para la seguridad: Usa las capacidades de IA para mejorar tus sistemas y procesos de seguridad existentes a través de Gemini en seguridad y las capacidades generales de seguridad de la plataforma. Usa la IA como herramienta para aumentar la automatización del trabajo de corrección y garantizar la higiene de la seguridad para que otros sistemas sean más seguros.
• Satisface las necesidades regulatorias, de cumplimiento y de privacidad: Satisface las reglamentaciones, los estándares de cumplimiento y los requisitos de privacidad específicos de la industria. Google Cloud te ayuda a cumplir con estas obligaciones a través de productos como Assured Workloads, el servicio de políticas de la organización y nuestro centro de recursos de cumplimiento.

Mentalidad de seguridad de la organización

Una mentalidad organizacional centrada en la seguridad es fundamental para una adopción y operación exitosas de la nube. Esta mentalidad debe estar profundamente arraigada en la cultura de tu organización y reflejarse en sus prácticas, que se guían por los principios de seguridad básicos, como se describió anteriormente.

Una mentalidad de seguridad organizacional enfatiza que debes pensar en la seguridad durante el diseño del sistema, asumir la confianza cero y, además, integrar funciones de seguridad en todo el proceso de desarrollo. Con esta mentalidad, también piensas de forma proactiva sobre las medidas de defensa cibernética, usas la IA de forma segura y consideras tus requisitos de cumplimiento normativo, de privacidad y de cumplimiento. Si adoptas estos principios, tu organización puede cultivar una cultura que prioriza la seguridad, aborda las amenazas de forma proactiva, protege los recursos valiosos y ayuda a garantizar un uso responsable de la tecnología.

Áreas de enfoque de la seguridad en la nube

En esta sección, se describen las áreas en las que debes enfocarte cuando planificas, implementas y administras la seguridad de tus aplicaciones, sistemas y datos. Las recomendaciones de cada principio de este pilar son relevantes para una o más de estas áreas de enfoque. En el resto de este documento, las recomendaciones especifican las áreas de enfoque de seguridad correspondientes para brindar mayor claridad y contexto.

Área de enfoque	Actividades y componentes	Productos, funciones y soluciones Google Cloud relacionados
Seguridad de la infraestructura	Infraestructura de red segura Encripta los datos en tránsito y en reposo. Controla el flujo de tráfico. Servicios de IaaS y PaaS seguros Protege contra el acceso no autorizado.	Políticas de firewall Controles del servicio de VPC Google Cloud Armor Cloud Next Generation Firewall Proxy web seguro
Administración de identidades y accesos	Usa controles de autenticación, autorización y acceso. Administrar identidades en la nube Administrar las políticas de administración de identidades y accesos	Cloud Identity Servicio de administración de identidades y accesos (IAM) de Google Federación de identidades de personal Federación de identidades para cargas de trabajo
Seguridad de los datos	Almacena los datos de forma Google Cloud segura. Controla el acceso a los datos. Descubre y clasifica los datos. Diseña los controles necesarios, como la encriptación, los controles de acceso y la prevención de pérdida de datos. Protege los datos en reposo, en tránsito y en uso.	Servicio de IAM de Google Sensitive Data Protection Controles del servicio de VPC Cloud KMS Procesamiento confidencial
Seguridad de la IA y el AA	Aplica controles de seguridad en diferentes capas de la infraestructura y la canalización de la IA y el AA. Garantiza la seguridad del modelo.	SAIF de Google Model Armor
Operaciones de seguridad (SecOps)	Adopta una plataforma y un conjunto de prácticas de SecOps modernos para lograr una administración de incidentes, una detección de amenazas y unos procesos de respuesta eficaces. Supervisa los sistemas y las aplicaciones de forma continua para detectar eventos de seguridad.	Google Security Operations
Seguridad para aplicaciones	Protege las aplicaciones contra vulnerabilidades y ataques de software.	Artifact Registry Artifact Analysis Autorización binaria Software de código abierto garantizado Google Cloud Armor Web Security Scanner
Administración, riesgo y cumplimiento de la nube	Establece políticas, procedimientos y controles para administrar los recursos de la nube de forma eficaz y segura.	Servicio de políticas de la organización Cloud Asset Inventory Security Command Center Enterprise Resource Manager
Registro, auditoría y supervisión	Analizar los registros para identificar posibles amenazas Hacer un seguimiento y registrar las actividades del sistema para el análisis de cumplimiento y seguridad	Cloud Logging Cloud Monitoring Registros de auditoría de Cloud Registros de flujo de VPC

Colaboradores

Autores:

• Wade Holmes | Director de Soluciones Globales
• Hector Diaz | Arquitecto de seguridad en la nube
• Carlos Leonardo Rosario | Especialista en seguridad de Google Cloud
• John Bacon | Arquitecto de Soluciones para Socios
• Sachin Kalra | Gerente global de Soluciones de seguridad

Otros colaboradores:

• Anton Chuvakin | Asesor de seguridad, Oficina del director de seguridad de la información
• Daniel Lees | Arquitecto de Seguridad en la Nube
• Filipe Gracio, PhD | Ingeniero de Atención al cliente
• Gary Harmson | Ingeniero de Atención al cliente
• Gino Pelliccia | Arquitecto principal
• Jose Andrade | Ingeniero de Atención al cliente de infraestructura empresarial
• Autor: Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Laura Hyatt | Arquitecto de nube empresarial
• Marwan Al Shawi | Ingeniero de Atención al Cliente para Socios
• Nicolas Pintaux | Ingeniero de Atención al cliente, especialista en modernización de aplicaciones
• Noah McDonald | Consultor de seguridad en la nube
• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
• Radhika Kanakam | Gerente sénior de programas, GTM de Cloud
• Susan Wu | Gerente de Productos Salientes

Implementa la seguridad según el diseño

Este principio del pilar de seguridad del Google Cloud framework bien diseñado proporciona recomendaciones para incorporar funciones, controles y prácticas de seguridad sólidas en el diseño de tus aplicaciones, servicios y plataformas en la nube. Desde la ideación hasta las operaciones, la seguridad es más eficaz cuando se incorpora como parte integral de cada etapa del proceso de diseño.

Descripción general de los principios

Como se explica en la descripción general del compromiso de Google con la seguridad por diseño, seguro de forma predeterminada y seguro por diseño suelen usarse indistintamente, pero representan enfoques distintos para crear sistemas seguros. Ambos enfoques tienen como objetivo minimizar las vulnerabilidades y mejorar la seguridad, pero difieren en el alcance y la implementación:

• Seguro de forma predeterminada: Se enfoca en garantizar que la configuración predeterminada de un sistema esté configurada en un modo seguro, lo que minimiza la necesidad de que los usuarios o administradores realicen acciones para proteger el sistema. El objetivo de este enfoque es proporcionar un nivel de seguridad básico para todos los usuarios.
• Seguridad por diseño: Destaca la incorporación proactiva de consideraciones de seguridad durante el ciclo de vida de desarrollo de un sistema. Este enfoque consiste en anticipar posibles amenazas y vulnerabilidades con anticipación y tomar decisiones de diseño que mitiguen los riesgos. Este enfoque implica usar prácticas de programación seguras, realizar revisiones de seguridad y, además, incorporar la seguridad en todo el proceso de diseño. El enfoque de seguridad integrada es una filosofía general que guía el proceso de desarrollo y ayuda a garantizar que la seguridad no sea una idea adicional, sino una parte integral del diseño de un sistema.

Recomendaciones

Para implementar el principio de seguridad por diseño en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Elige componentes del sistema que ayuden a proteger tus cargas de trabajo
• Compila un enfoque de seguridad en capas
• Usa infraestructura y servicios endurecidos y certificados
• Encriptación de datos en reposo y en tránsito

Elige componentes del sistema que ayuden a proteger tus cargas de trabajo

Esta recomendación es relevante para todas las áreas de enfoque.

Una decisión fundamental para una seguridad eficaz es la selección de componentes del sistema sólidos, incluidos los componentes de hardware y software, que constituyen tu plataforma, solución o servicio. Para reducir la superficie de ataque de seguridad y limitar el daño potencial, también debes considerar cuidadosamente los patrones de implementación de estos componentes y sus configuraciones.

En el código de tu aplicación, te recomendamos que uses bibliotecas, abstracciones y frameworks de aplicaciones simples, seguras y confiables para eliminar clases de vulnerabilidades. Para buscar vulnerabilidades en las bibliotecas de software, puedes usar herramientas de terceros. También puedes usar software de código abierto garantizado, que ayuda a reducir los riesgos de tu cadena de suministro de software mediante el uso de paquetes de software de código abierto (OSS) que Google usa y protege.

Tu infraestructura debe usar opciones de redes, almacenamiento y procesamiento que admitan operaciones seguras y se alineen con tus requisitos de seguridad y niveles de aceptación de riesgos. La seguridad de la infraestructura es importante para las cargas de trabajo internas y las orientadas a Internet.

Si quieres obtener información sobre otras soluciones de Google que admiten esta recomendación, consulta Cómo implementar la seguridad de desplazamiento hacia la izquierda.

Compila un enfoque de seguridad en capas

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la IA y el AA
• Seguridad de la infraestructura
• Administración de identidades y accesos
• Seguridad de los datos

Te recomendamos que implementes la seguridad en cada capa de la aplicación y la pila de infraestructura mediante un enfoque de defensa en profundidad.

Usa las funciones de seguridad en cada componente de tu plataforma. Para limitar el acceso y identificar los límites del posible impacto (es decir, el radio de explosión) en caso de un incidente de seguridad, haz lo siguiente:

• Simplifica el diseño del sistema para adaptarlo a la flexibilidad siempre que sea posible.
• Documenta los requisitos de seguridad de cada componente.
• Incorpora un mecanismo seguro y sólido para abordar los requisitos de resiliencia y recuperación.

Cuando diseñes las capas de seguridad, realiza una evaluación de riesgos para determinar las funciones de seguridad que necesitas para cumplir con los requisitos de seguridad internos y los requisitos regulatorios externos. Te recomendamos que uses un marco de trabajo de evaluación de riesgos estándar de la industria que se aplique a los entornos de nube y que sea relevante para tus requisitos regulatorios. Por ejemplo, Cloud Security Alliance (CSA) proporciona Cloud Controls Matrix (CCM). La evaluación de riesgos te proporciona un catálogo de riesgos y los controles de seguridad correspondientes para mitigarlos.

Cuando realices la evaluación de riesgos, recuerda que tienes un acuerdo de responsabilidad compartida con tu proveedor de servicios en la nube. Por lo tanto, los riesgos en un entorno de nube difieren de los riesgos en un entorno local. Por ejemplo, en un entorno local, debes mitigar las vulnerabilidades de la pila de hardware. En cambio, en un entorno de nube, el proveedor de servicios en la nube asume estos riesgos. Además, recuerda que los límites de las responsabilidades compartidas difieren entre los servicios de IaaS, PaaS y SaaS de cada proveedor de servicios en la nube.

Después de identificar los posibles riesgos, debes diseñar y crear un plan de mitigación que use controles técnicos, administrativos y operativos, así como protecciones contractuales y certificaciones de terceros. Además, un método de modelado de amenazas, como el método de modelado de amenazas de aplicaciones de OWASP, te ayuda a identificar posibles brechas y a sugerir acciones para abordarlas.

Usa servicios y una infraestructura endurecida y certificada

Esta recomendación es relevante para todas las áreas de enfoque.

Un programa de seguridad maduro mitiga las vulnerabilidades nuevas, como se describe en los boletines de seguridad. El programa de seguridad también debe proporcionar una solución para corregir las vulnerabilidades en las implementaciones existentes y proteger las imágenes de la VM y del contenedor. Puedes usar guías de endurecimiento específicas para el SO y la aplicación de tus imágenes, así como comparativas como la que proporciona el Center for Internet Security (CIS).

Si usas imágenes personalizadas para tus VMs de Compute Engine, debes aplicarles parches por tu cuenta. Como alternativa, puedes usar las imágenes de SO seleccionadas que proporciona Google, a las que se les aplican parches con regularidad. Para ejecutar contenedores en VMs de Compute Engine, usa las imágenes de SO optimizadas para contenedores seleccionadas por Google. Google aplica parches a estas imágenes y las actualiza con regularidad.

Si usas GKE, te recomendamos que habilites las actualizaciones automáticas de nodos para que Google actualice los nodos del clúster con los últimos parches. Google administra los planos de control de GKE, que se actualizan y se parchan automáticamente. Para reducir aún más la superficie de ataque de tus contenedores, puedes usar imágenes sin distro. Las imágenes distroless son ideales para aplicaciones sensibles a la seguridad, microservicios y situaciones en las que es fundamental minimizar el tamaño de la imagen y la superficie de ataque.

Para cargas de trabajo sensibles, usa la VM protegida, que evita que se cargue código malicioso durante el ciclo de inicio de la VM. Las instancias de VM protegidas proporcionan seguridad de inicio, supervisan la integridad y usan el Módulo de plataforma de confianza virtual (vTPM).

Para ayudar a proteger el acceso SSH, el Acceso al SO permite que tus empleados se conecten a tus VMs mediante permisos de Identity and Access Management (IAM) como fuente de información, en lugar de depender de las claves SSH. Por lo tanto, no es necesario que administres claves SSH en toda la organización. El Acceso al SO vincula el acceso de un administrador a su ciclo de vida de empleado, de modo que, cuando los empleados cambian de rol o abandonan tu organización, su acceso se revoca con su cuenta. El Acceso al SO también admite la autenticación de dos factores de Google, que agrega una capa de seguridad adicional contra los ataques de apropiación de cuentas.

En GKE, las instancias de aplicación se ejecutan dentro de contenedores de Docker. Para habilitar un perfil de riesgo definido y evitar que los empleados realicen cambios en los contenedores, asegúrate de que tus contenedores sean inmutables y sin estado. El principio de inmutabilidad significa que tus empleados no modifican el contenedor ni acceden a él de forma interactiva. Si se debe cambiar el contenedor, compila una imagen nueva y vuelve a implementarla. Habilita el acceso SSH a los contenedores subyacentes solo en situaciones de depuración específicas.

Para ayudar a proteger de forma global las configuraciones de tu entorno, puedes usar políticas de la organización para establecer restricciones o límites en los recursos que afectan el comportamiento de tus activos en la nube. Por ejemplo, puedes definir las siguientes políticas de la organización y aplicarlas de forma global en una Google Cloud organización o de forma selectiva a nivel de una carpeta o un proyecto:

• Inhabilita la asignación de direcciones IP externas a las VMs.
• Restringe la creación de recursos a ubicaciones geográficas específicas.
• Inhabilita la creación de cuentas de servicio o sus claves.

Encriptación de datos en reposo y en tránsito

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la infraestructura
• Seguridad de los datos

La encriptación de datos es un control fundamental para proteger la información sensible y es una parte clave de la administración de datos. Una estrategia de protección de datos eficaz incluye el control de acceso, la segmentación de datos y la residencia geográfica, la auditoría y la implementación de encriptación que se basa en una evaluación cuidadosa de los requisitos.

De forma predeterminada, Google Cloud encripta los datos del cliente almacenados en reposo, sin que debas realizar ninguna acción. Además de la encriptación predeterminada,Google Cloud proporciona opciones para la encriptación de sobre y la administración de claves de encriptación. Debes identificar las soluciones que se adapten mejor a tus requisitos de generación, almacenamiento y rotación de claves, ya sea que elijas las claves para tu almacenamiento, procesamiento o cargas de trabajo de macrodatos. Por ejemplo, las claves de encriptación administradas por el cliente (CMEK) se pueden crear en Cloud Key Management Service (Cloud KMS). Las CMEK pueden estar basadas en software o protegidas por HSM para cumplir con tus requisitos regulatorios o de cumplimiento, como la necesidad de rotar las claves de encriptación con regularidad. Autokey de Cloud KMS te permite automatizar el aprovisionamiento y la asignación de CMEK. Además, puedes usar Cloud External Key Manager (Cloud EKM) para incorporar tus propias claves que provienen de un sistema de administración de claves de terceros.

Te recomendamos que los datos estén encriptados durante el tránsito. Google encripta y autentica los datos en tránsito en una o más capas de red cuando los datos se transfieren fuera de los límites físicos que Google no controla o que no actúan en su nombre. Se encripta todo el tráfico de VM a VM dentro de una red de VPC y entre redes de VPC con intercambio de tráfico. Puedes usar MACsec para encriptar el tráfico a través de conexiones de Cloud Interconnect. IPsec proporciona encriptación para el tráfico a través de las conexiones de Cloud VPN. Puedes proteger el tráfico de aplicación a aplicación en la nube con funciones de seguridad como parámetros de configuración de TLS y mTLS en Apigee y Cloud Service Mesh para aplicaciones alojadas en contenedores.

De forma predeterminada, Google Cloud encripta los datos en reposo y en tránsito a través de la red. Sin embargo, los datos no se encriptan de forma predeterminada mientras están en uso en la memoria. Si tu organización maneja datos confidenciales, debes mitigar las amenazas que comprometen la confidencialidad y la integridad de la aplicación o los datos en la memoria del sistema. Para mitigar estas amenazas, puedes usar la computación confidencial, que proporciona un entorno de ejecución confiable para tus cargas de trabajo de procesamiento. Para obtener más información, consulta Descripción general de Confidential VMs.

Implementa la confianza cero

Este principio del pilar de seguridad del Google Cloud Framework de arquitectura bien diseñada te ayuda a garantizar una seguridad integral en todas tus cargas de trabajo en la nube. El principio de confianza cero hace hincapié en las siguientes prácticas:

• Elimina la confianza implícita
• Aplica el principio de privilegio mínimo al control de acceso
• Aplicación forzosa de la validación explícita de todas las solicitudes de acceso
• Adoptar una mentalidad de suposición de incumplimiento para permitir la verificación continua y la supervisión de la postura de seguridad

Descripción general de los principios

El modelo de confianza cero cambia el enfoque de la seguridad basada en el perímetro a un enfoque en el que ningún usuario o dispositivo se considera inherentemente confiable. En cambio, cada solicitud de acceso debe verificarse, independientemente de su origen. Este enfoque implica autenticar y autorizar a todos los usuarios y dispositivos, validar su contexto (ubicación y postura del dispositivo) y otorgar acceso de privilegio mínimo solo a los recursos necesarios.

La implementación del modelo de confianza cero ayuda a tu organización a mejorar su postura de seguridad, ya que minimiza el impacto de posibles violaciones y protege los datos y las aplicaciones sensibles contra el acceso no autorizado. El modelo de confianza cero te ayuda a garantizar la confidencialidad, integridad y disponibilidad de los datos y los recursos en la nube.

Recomendaciones

Para implementar el modelo de confianza cero en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Proteger la red
• Verifica cada intento de acceso de forma explícita
• Supervisa y mantén tu red

Protege la red

Esta recomendación es relevante para el siguiente área de enfoque: seguridad de la infraestructura.

La transición de la seguridad convencional basada en el perímetro a un modelo de confianza cero requiere varios pasos. Es posible que tu organización ya haya integrado ciertos controles de confianza cero en su postura de seguridad. Sin embargo, un modelo de confianza cero no es un producto o una solución únicos. En cambio, es una integración integral de prácticas recomendadas y varias capas de seguridad. En esta sección, se describen las recomendaciones y técnicas para implementar la confianza cero para la seguridad de la red.

• Control de acceso: Aplica controles de acceso basados en la identidad y el contexto del usuario con soluciones como Chrome Enterprise Premium y Identity-Aware Proxy (IAP). De esta manera, trasladas la seguridad del perímetro de la red a los usuarios y dispositivos individuales. Este enfoque habilita el control de acceso detallado y reduce la superficie de ataque.
• Seguridad de la red: Asegura las conexiones de red entre tus entornos locales, Google Cloudy de múltiples nubes.
  • Usa los métodos de conectividad privada de Cloud Interconnect y VPN de IPsec.
  • Para ayudar a proteger el acceso a los Google Cloud servicios y las APIs, usa Private Service Connect.
  • Para ayudar a proteger el acceso saliente de las cargas de trabajo implementadas en GKE Enterprise, usa las puertas de enlace de salida de Cloud Service Mesh.
• Diseño de red: Evita posibles riesgos de seguridad borrando las redes predeterminadas en proyectos existentes y, luego, inhabilita la creación de redes predeterminadas en proyectos nuevos.
  • Para evitar conflictos, planifica tu red y la asignación de direcciones IP con cuidado.
  • Para aplicar un control de acceso eficaz, limita la cantidad de redes de nube privada virtual (VPC) por proyecto.
• Segmentación: Aísla las cargas de trabajo, pero mantén la administración de red centralizada.
  • Para segmentar tu red, usa VPC compartida.
  • Define políticas y reglas de firewall a nivel de organización, carpeta y red de VPC.
  • Para evitar el robo de datos, establece perímetros seguros alrededor de los datos y servicios sensibles con los Controles del servicio de VPC.
• Seguridad del perímetro: Protege contra ataques DDoS y amenazas de aplicaciones web.
  • Para protegerte contra amenazas, usa Google Cloud Armor.
  • Configura políticas de seguridad para permitir, denegar o redireccionar el tráfico en el bordeGoogle Cloud .
• Automatización: Automatiza el aprovisionamiento de infraestructura con la adopción de los principios de infraestructura como código (IaC) y el uso de herramientas como Terraform, Jenkins y Cloud Build. La IaC ayuda a garantizar configuraciones de seguridad coherentes, implementaciones simplificadas y reversiones rápidas en caso de problemas.
• Base segura: Establece un entorno de aplicación seguro con el plano de base empresarial. Este modelo proporciona orientación prescriptiva y secuencias de comandos de automatización para ayudarte a implementar las prácticas recomendadas de seguridad y configurar tus recursos deGoogle Cloud de forma segura.

Verifica cada intento de acceso de forma explícita

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Administración de identidades y accesos
• Operaciones de seguridad (SecOps)
• Registro, auditoría y supervisión

Implementa mecanismos de autenticación y autorización sólidos para cualquier usuario, dispositivo o servicio que intente acceder a tus recursos en la nube. No dependas de la ubicación ni del perímetro de red como control de seguridad. No confíes automáticamente en ningún usuario, dispositivo o servicio, incluso si ya está dentro de la red. En cambio, cada intento de acceso a los recursos debe autenticarse y autorizarse de forma rigurosa. Debes implementar medidas de verificación de identidad sólidas, como la autenticación de varios factores (MFA). También debes asegurarte de que las decisiones de acceso se basen en políticas detalladas que tengan en cuenta varios factores contextuales, como el rol del usuario, la posición del dispositivo y la ubicación.

Para implementar esta recomendación, usa los siguientes métodos, herramientas y tecnologías:

• Administración de identidad unificada: Usa un solo proveedor de identidad (IdP) para garantizar una administración de identidad coherente en toda tu organización.
  • Google Cloud admite la federación con la mayoría de los IdP, incluido Active Directory local. La federación te permite extender tu infraestructura de administración de identidades existente a Google Cloud y habilitar el inicio de sesión único (SSO) para los usuarios.
  • Si no tienes un IdP existente, considera usar Cloud Identity Premium o Google Workspace.
• Permisos limitados de la cuenta de servicio: Usa las cuentas de servicio con cuidado y cumple con el principio de privilegio mínimo.
  • Otorga solo los permisos necesarios para que cada cuenta de servicio realice sus tareas designadas.
  • Usa la federación de Workload Identity para las aplicaciones que se ejecutan en Google Kubernetes Engine (GKE) o fuera deGoogle Cloud para acceder a los recursos de forma segura.
• Procesos sólidos: Actualiza tus procesos de identidad para que se alineen con las prácticas recomendadas de seguridad en la nube.
  • Para garantizar el cumplimiento de los requisitos regulatorios, implementa la administración de identidades para hacer un seguimiento del acceso, los riesgos y los incumplimientos de políticas.
  • Revisa y actualiza tus procesos existentes para otorgar roles y permisos de control de acceso y auditarlos.
• Autenticación reforzada: Implementa el SSO para la autenticación de los usuarios y la MFA para las cuentas con privilegios.
  • Google Cloud admite varios métodos de MFA, incluidas las llaves de seguridad Titan, para mejorar la seguridad.
  • Para la autenticación de cargas de trabajo, usa OAuth 2.0 o tokens web JSON (JWT) firmados.
• Privilegio mínimo: Minimiza el riesgo de acceso no autorizado y violaciones de la seguridad de los datos aplicando los principios de privilegio mínimo y separación de tareas.
  • Evita el aprovisionamiento excesivo del acceso de los usuarios.
  • Considera implementar el acceso con privilegios justo a tiempo para las operaciones sensibles.
• Registro: Habilita el registro de auditoría para las actividades de acceso a los datos y del administrador.
  • Para el análisis y la detección de amenazas, escanea los registros con Security Command Center Enterprise o Google Security Operations.
  • Configura las políticas de retención de registros adecuadas para equilibrar las necesidades de seguridad con los costos de almacenamiento.

Supervisa y mantén tu red

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Registro, auditoría y supervisión
• Seguridad para aplicaciones
• Operaciones de seguridad (SecOps)
• Seguridad de la infraestructura

Cuando planifiques y, luego, implementes medidas de seguridad, asume que un atacante ya está dentro de tu entorno. Este enfoque proactivo implica usar las siguientes variadas herramientas y técnicas para proporcionar visibilidad de tu red:

• Registro y supervisión centralizados: Recopila y analiza los registros de seguridad de todos tus recursos de la nube a través de la supervisión y el registro centralizados.

  • Establece modelos de referencia para el comportamiento normal de la red, detecta anomalías y identifica posibles amenazas.
  • Analizar de forma continua los flujos de tráfico de red para identificar patrones sospechosos y posibles ataques

• Estadísticas sobre el rendimiento y la seguridad de la red: Usa herramientas como Network Analyzer. Supervisa el tráfico en busca de protocolos inusuales, conexiones inesperadas o aumentos repentinos en la transferencia de datos, que podrían indicar actividad maliciosa.

• Análisis y solución de vulnerabilidades: Analiza tu red y tus aplicaciones en busca de vulnerabilidades con regularidad.

  • Usa Web Security Scanner, que puede identificar automáticamente vulnerabilidades en tus instancias, contenedores y clústeres de GKE de Compute Engine.
  • Prioriza la corrección según la gravedad de las vulnerabilidades y su posible impacto en tus sistemas.

• Detección de intrusiones: Supervisa el tráfico de red en busca de actividad maliciosa y bloquea automáticamente eventos sospechosos o recibe alertas sobre ellos con Cloud IDS y el servicio de prevención de intrusiones de Cloud NGFW.

• Análisis de seguridad: Considera implementar Google SecOps para correlacionar eventos de seguridad de varias fuentes, proporcionar un análisis en tiempo real de las alertas de seguridad y facilitar la respuesta a incidentes.

• Parámetros de configuración coherentes: Asegúrate de tener parámetros de configuración de seguridad coherentes en toda la red con las herramientas de administración de configuración.

Implementa la seguridad temprana

Este principio del pilar de seguridad del Google Cloud framework de arquitectura bien definida te ayuda a identificar controles prácticos que puedes implementar al principio del ciclo de vida de desarrollo de software para mejorar tu postura de seguridad. Proporciona recomendaciones que te ayudan a implementar controles de seguridad preventivos y controles de seguridad posteriores a la implementación.

Descripción general de los principios

La seguridad de detección temprana de errores significa adoptar prácticas de seguridad al principio del ciclo de vida del desarrollo de software. Este principio tiene los siguientes objetivos:

• Evita los defectos de seguridad antes de realizar cambios en el sistema. Implementa barreras de seguridad preventivas y adopta prácticas como la infraestructura como código (IaC), la política como código y las verificaciones de seguridad en la canalización de CI/CD. También puedes usar otras funciones específicas de la plataforma, como el Servicio de políticas de la organización y los clústeres de GKE endurecidos en Google Cloud.
• Detecta y corrige errores de seguridad de forma anticipada, rápida y confiable después de confirmar los cambios del sistema. Adopta prácticas como revisiones de código, análisis de vulnerabilidades después de la implementación y pruebas de seguridad.

Los principios de seguridad de Implementar la seguridad de forma inherente y de detección temprana están relacionados, pero difieren en el alcance. El principio de seguridad por diseño te ayuda a evitar fallas de diseño fundamentales que requerirían la reestructuración de todo el sistema. Por ejemplo, un ejercicio de modelado de amenazas revela que el diseño actual no incluye una política de autorización y que todos los usuarios tendrían el mismo nivel de acceso sin ella. La seguridad de desplazamiento hacia la izquierda te ayuda a evitar defectos de implementación (errores y parámetros de configuración incorrectos) antes de que se apliquen los cambios y permite realizar correcciones rápidas y confiables después de la implementación.

Recomendaciones

Para implementar el principio de seguridad de desplazamiento hacia la izquierda en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Adopta controles de seguridad preventivos
• Automatiza el aprovisionamiento y la administración de recursos en la nube
• Automatiza las versiones de aplicaciones seguras
• Asegúrate de que las implementaciones de la aplicación sigan los procesos aprobados
• Cómo buscar vulnerabilidades conocidas antes de la implementación de la aplicación
• Supervisa el código de la aplicación en busca de vulnerabilidades conocidas

Adopta controles de seguridad preventivos

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Administración de identidades y accesos
• Administración, riesgo y cumplimiento de la nube

Los controles de seguridad preventivos son fundamentales para mantener una postura de seguridad sólida en la nube. Estos controles te ayudan a mitigar los riesgos de forma proactiva. Puedes evitar configuraciones incorrectas y acceso no autorizado a los recursos, permitir que los desarrolladores trabajen de manera eficiente y ayudar a garantizar el cumplimiento de los estándares de la industria y las políticas internas.

Los controles de seguridad preventivos son más eficaces cuando se implementan con la infraestructura como código (IaC). Con la IaC, los controles de seguridad preventivos pueden incluir verificaciones más personalizadas en el código de la infraestructura antes de que se implementen los cambios. Cuando se combinan con la automatización, los controles de seguridad preventivos pueden ejecutarse como parte de las verificaciones automáticas de tu canalización de CI/CD.

Los siguientes productos y Google Cloud funciones pueden ayudarte a implementar controles preventivos en tu entorno:

• Restricciones del Servicio de políticas de la organización: Configura restricciones predefinidas y personalizadas con control centralizado.
• Controles del servicio de VPC: Crea perímetros alrededor de tus Google Cloud servicios.
• Identity and Access Management (IAM), Privileged Access Manager y principal access boundary policies: Restringen el acceso a los recursos.
• Policy Controller y Open Policy Agent (OPA): Aplica restricciones de IaC en tu canalización de CI/CD y evita configuraciones incorrectas de la nube.

IAM te permite autorizar quién puede actuar sobre recursos específicos en función de los permisos. Para obtener más información, consulta Control de acceso a los recursos de la organización con IAM.

El Servicio de políticas de la organización te permite establecer restricciones en los recursos para especificar cómo se pueden configurar. Por ejemplo, puedes usar una política de la organización para hacer lo siguiente:

• Limitar el uso compartido de recursos según el dominio.
• Limitar el uso de cuentas de servicio.
• Restringe la ubicación física de los recursos recién creados.

Además de usar políticas de la organización, puedes restringir el acceso a los recursos con los siguientes métodos:

• Etiquetas con IAM: Asigna una etiqueta a un conjunto de recursos y, luego, configura la definición de acceso para la etiqueta, en lugar de definir los permisos de acceso en cada recurso.
• Condiciones de IAM: Definen el control de acceso condicional basado en atributos para los recursos.
• Defensa en profundidad: Usa los Controles del servicio de VPC para restringir aún más el acceso a los recursos.

Para obtener más información sobre la administración de recursos, consulta Elige una jerarquía de recursos para tu Google Cloud zona de destino.

Automatiza el aprovisionamiento y la administración de recursos de la nube

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad para aplicaciones
• Administración, riesgo y cumplimiento de la nube

Automatizar el aprovisionamiento y la administración de recursos y cargas de trabajo de la nube es más efectivo cuando también adoptas la IaC declarativa, en lugar de las secuencias de comandos imperativas. La IaC no es una herramienta ni una práctica de seguridad por sí sola, pero te ayuda a mejorar la seguridad de tu plataforma. Adoptar la IaC te permite crear una infraestructura repetible y le proporciona a tu equipo de operaciones un estado conocido. La IaC también mejora la eficiencia de las reversiones, los cambios de auditoría y la solución de problemas.

Cuando se combina con canalizaciones y automatización de CI/CD, la IaC también te brinda la posibilidad de adoptar prácticas como políticas como código con herramientas como OPA. Puedes auditoría los cambios de infraestructura a lo largo del tiempo y ejecutar verificaciones automáticas en el código de la infraestructura antes de que se implementen los cambios.

Para automatizar la implementación de la infraestructura, puedes usar herramientas como Config Controller, Terraform, Jenkins y Cloud Build. Para ayudarte a compilar un entorno de aplicación seguro con la IaC y la automatización,Google Cloud proporciona el plano de bases empresariales. Este modelo es el diseño definido de Google que sigue todas nuestras configuraciones y prácticas recomendadas. El modelo proporciona instrucciones paso a paso para configurar e implementar tu topología de Google Cloud con Terraform y Cloud Build.

Puedes modificar las secuencias de comandos del plano de base de la empresa para configurar un entorno que siga las recomendaciones de Google y cumpla con tus propios requisitos de seguridad. Puedes desarrollar el plan con planos adicionales o diseñar tu propia automatización. ElGoogle Cloud Architecture Center proporciona otros modelos que se pueden implementar sobre el modelo de bases empresariales. Los siguientes son algunos ejemplos de estos esquemas:

• Implementa una plataforma para desarrolladores empresariales en Google Cloud
• Implementa una arquitectura segura sin servidores con Cloud Run
• Crea e implementa modelos de IA generativa y aprendizaje automático en una empresa
• Importa datos de Google Cloud a un almacén de datos seguro de BigQuery
• Implementa capacidades de supervisión y telemetría de red en Google Cloud

Automatiza las versiones de aplicaciones seguras

Esta recomendación es relevante para el siguiente área de enfoque: seguridad de la aplicación.

Sin herramientas automatizadas, puede ser difícil implementar, actualizar y aplicar parches a entornos de aplicaciones complejos para cumplir con los requisitos de seguridad coherentes. Te recomendamos que compiles canalizaciones de CI/CD automatizadas para tu ciclo de vida de desarrollo de software (SDLC). Las canalizaciones de CI/CD automatizadas te ayudan a quitar errores manuales, proporcionar ciclos de reacción de desarrollo estandarizados y habilitar iteraciones de productos eficientes. La entrega continua es una de las prácticas recomendadas que recomienda el framework de DORA.

Automatizar los lanzamientos de aplicaciones con canalizaciones de CI/CD ayuda a mejorar tu posibilidad de detectar y corregir errores de seguridad de forma anticipada, rápida y confiable. Por ejemplo, puedes analizar vulnerabilidades de seguridad automáticamente cuando se crean artefactos, limitar el alcance de las revisiones de seguridad y revertir a una versión conocida y segura. También puedes definir políticas para diferentes entornos (como entornos de desarrollo, prueba o producción) de modo que solo se implementen los artefactos verificados.

Para ayudarte a automatizar los lanzamientos de aplicaciones y a incorporar verificaciones de seguridad en tu canalización de CI/CD, Google Cloud proporciona varias herramientas, comoCloud Build,Cloud Deploy,Web Security Scanner yBinary Authorization.

Para establecer un proceso que verifique varios requisitos de seguridad en tu SDLC, usa el marco de trabajo de Niveles de cadena de suministro para artefactos de software (SLSA) que definió Google. La SLSA requiere verificaciones de seguridad para el código fuente, el proceso de compilación y el origen del código. Muchos de estos requisitos se pueden incluir en una canalización de CI/CD automatizada. Para comprender cómo Google aplica estas prácticas de forma interna, consulta el enfoque deGoogle Cloudpara el cambio.

Asegúrese de que las implementaciones de la aplicación sigan los procesos aprobados

Esta recomendación es relevante para el siguiente área de enfoque: seguridad de la aplicación.

Si un atacante pone en riesgo tu canalización de CI/CD, toda la pila de aplicaciones puede verse afectada. Para ayudar a proteger la canalización, debes aplicar un proceso de aprobación establecido antes de implementar el código en producción.

Si usas Google Kubernetes Engine (GKE), GKE Enterprise o Cloud Run, puedes establecer un proceso de aprobación mediante la autorización binaria. La autorización binaria adjunta firmas configurables a las imágenes del contenedor. Estas firmas (también llamadas certificaciones) ayudan a validar la imagen. En el momento de la implementación, la autorización binaria usa estas certificaciones para determinar si se completó un proceso. Por ejemplo, puedes usar la autorización binaria para realizar las siguientes acciones:

• Verificar que un sistema de compilación específico o una canalización de CI hayan creado una imagen de contenedor.
• Validar que una imagen de contenedor cumpla con la política de firma de vulnerabilidades.
• Verificar que una imagen de contenedor pase los criterios para ascender al siguiente entorno de implementación, por ejemplo, desde el desarrollo hasta el control de calidad

Con la Autorización binaria, puedes aplicar la política de que solo se ejecute código de confianza en tus plataformas de destino.

Escanea en busca de vulnerabilidades conocidas antes de la implementación de la aplicación

Esta recomendación es relevante para el siguiente área de enfoque: seguridad de la aplicación.

Te recomendamos que uses herramientas automatizadas que puedan realizar análisis de vulnerabilidades de forma continua en artefactos de la aplicación antes de que se implementen en la producción.

En el caso de las aplicaciones en contenedores, usa Artifact Analysis para ejecutar análisis de vulnerabilidades de imágenes de contenedores de forma automática. Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. El análisis extrae información sobre los paquetes del sistema en el contenedor. Después del análisis inicial, Artifact Analysis supervisa continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar vulnerabilidades nuevas. Cuando Artifact Analysis recibe información nueva y actualizada sobre vulnerabilidades de la fuente de vulnerabilidades, hace lo siguiente:

• Actualiza los metadatos de las imágenes analizadas para mantenerlas actualizadas.
• Crea casos de vulnerabilidades nuevos para las notas nuevas.
• Borra los casos de vulnerabilidades que ya no son válidos.

Supervise el código de la aplicación en busca de vulnerabilidades conocidas

Esta recomendación es relevante para el siguiente área de enfoque: seguridad de la aplicación.

Usa herramientas automatizadas para supervisar constantemente el código de la aplicación en busca de vulnerabilidades conocidas, como OWASP Top 10. Para obtener más información sobre los Google Cloud productos y las funciones que admiten las técnicas de mitigación de las 10 principales amenazas de OWASP, consultalas 10 opciones de mitigación de OWASP en Google Cloud.

Usa Web Security Scanner para identificar las vulnerabilidades de seguridad en las aplicaciones web de App Engine, Compute Engine y GKE. El scanner rastrea tu aplicación, sigue todos los vínculos dentro del alcance de las URLs de inicio y trata de ejecutar la mayor cantidad posible de controladores de eventos y entradas del usuario. Puede analizar y detectar automáticamente las vulnerabilidades comunes, entre las que se incluyen secuencias de comandos entre sitios, inyección de código, contenido mixto y bibliotecas desactualizadas o inseguras. Web Security Scanner proporciona una identificación temprana de estos tipos de vulnerabilidades sin distraerte con falsos positivos.

Además, si usas GKE Enterprise para administrar flotas de clústeres de Kubernetes, el panel de postura de seguridad muestra recomendaciones prácticas y bien definidas para ayudarte a mejorar la postura de seguridad de tu flota.

Implementa una defensa cibernética preventiva

Este principio del pilar de seguridad del Google Cloud framework bien diseñado proporciona recomendaciones para crear programas de defensa cibernética sólidos como parte de tu estrategia de seguridad general.

Este principio enfatiza el uso de la inteligencia de amenazas para guiar de forma proactiva tus esfuerzos en las funciones principales de defensa cibernética, como se define en The Defender's Advantage: Una guía para activar la defensa cibernética.

Descripción general de los principios

Cuando defiendes tu sistema contra ciberataques, tienes una ventaja significativa y poco aprovechada contra los atacantes. Como afirma el fundador de Mandiant, “deberías saber más sobre tu empresa, tus sistemas, tu topología y tu infraestructura que cualquier atacante. Esta es una ventaja increíble". Para ayudarte a usar esta ventaja inherente, en este documento se proporcionan recomendaciones sobre prácticas de defensa cibernética estratégicas y proactivas que se asignan al marco de trabajo de Defender's Advantage.

Recomendaciones

Para implementar una ciberdefensa preventiva para tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Cómo integrar las funciones de la defensa cibernética
• Usa la función de inteligencia en todos los aspectos de la defensa cibernética
• Comprende y aprovecha la ventaja de tu defensor
• Valida y mejora tus defensas de forma continua
• Administra y coordina las iniciativas de defensa cibernética

Integra las funciones de la defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

El framework de The Defender's Advantage identifica seis funciones críticas de la defensa cibernética: Inteligencia, Detección, Respuesta, Validación, Caza y Control de misión. Cada función se enfoca en una parte única de la misión de defensa cibernética, pero estas funciones deben estar bien coordinadas y trabajar juntas para proporcionar una defensa eficaz. Enfócate en crear un sistema integrado y sólido en el que cada función admita a las demás. Si necesitas un enfoque por etapas para la adopción, considera el siguiente orden sugerido. Según el nivel de madurez de tu nube actual, la topología de recursos y el panorama de amenazas específico, es posible que desees priorizar ciertas funciones.

1. Inteligencia: La función Inteligencia guía a todas las demás funciones. Comprender el panorama de amenazas, incluidos los atacantes más probables, sus tácticas, técnicas y procedimientos (TTP), y el posible impacto, es fundamental para priorizar las acciones en todo el programa. La función de inteligencia es responsable de la identificación de las partes interesadas, la definición de los requisitos de inteligencia, la recopilación, el análisis y la difusión de datos, la automatización y la creación de un perfil de ciberamenaza.
2. Detectar y responder: Estas funciones conforman el núcleo de la defensa activa, que implica identificar y abordar la actividad maliciosa. Estas funciones son necesarias para actuar en función de la información que recopila la función de inteligencia. La función Detect requiere un enfoque metódico que alinee las detecciones con las TTP de los atacantes y garantice un registro sólido. La función de respuesta debe enfocarse en la clasificación inicial, la recopilación de datos y la solución de incidentes.
3. Validación: La función de validación es un proceso continuo que garantiza que el ecosistema de control de seguridad esté actualizado y funcione según lo diseñado. Esta función garantiza que tu organización comprenda la superficie de ataque, sepa dónde existen vulnerabilidades y mida la eficacia de los controles. La validación de la seguridad también es un componente importante del ciclo de vida de la ingeniería de detección y se debe usar para identificar brechas de detección y crear detecciones nuevas.
4. Búsqueda: La función de búsqueda implica buscar de forma proactiva amenazas activas dentro de un entorno. Esta función se debe implementar cuando tu organización tenga un nivel de madurez de referencia en las funciones de detección y respuesta. La función Caza expande las capacidades de detección y ayuda a identificar brechas y debilidades en los controles. La función de búsqueda debe basarse en amenazas específicas. Esta función avanzada se beneficia de una base de capacidades sólidas de inteligencia, detección y respuesta.
5. Control de misión: La función Control de misión actúa como el centro central que conecta todas las demás funciones. Esta función es responsable de la estrategia, la comunicación y la acción decisiva en todo tu programa de defensa cibernética. Garantiza que todas las funciones funcionen juntas y que estén alineadas con los objetivos comerciales de tu organización. Debes enfocarte en establecer una comprensión clara del propósito de la función de Mission Control antes de usarla para conectar las otras funciones.

Usa la función de inteligencia en todos los aspectos de la defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

Esta recomendación destaca la función de inteligencia como una parte fundamental de un programa de defensa cibernética sólido. La inteligencia sobre amenazas proporciona información sobre los agentes de amenazas, sus TTP y los indicadores de compromiso (IoC). Este conocimiento debe informar y priorizar las acciones en todas las funciones de defensa cibernética. Un enfoque basado en la inteligencia te ayuda a alinear las defensas para enfrentar las amenazas que tienen más probabilidades de afectar a tu organización. Este enfoque también ayuda con la asignación y priorización eficientes de los recursos.

Los siguientes Google Cloud productos y funciones te ayudan a aprovechar la información sobre amenazas para guiar tus operaciones de seguridad. Usa estas funciones para identificar y priorizar posibles amenazas, vulnerabilidades y riesgos, y, luego, planificar e implementar las acciones adecuadas.

• Google Security Operations (Google SecOps) te ayuda a almacenar y analizar datos de seguridad de forma centralizada. Usa Google SecOps para asignar registros a un modelo común, enriquecerlos y vincularlos a cronogramas para obtener una vista integral de los ataques. También puedes crear reglas de detección, configurar coincidencias de IoC y realizar actividades de búsqueda de amenazas. La plataforma también proporciona detecciones seleccionadas, que son reglas predefinidas y administradas para ayudar a identificar amenazas. Google SecOps también se puede integrar con la inteligencia de primera línea de Mandiant. Google SecOps integra de forma única la IA líder en la industria, junto con la inteligencia sobre amenazas de Mandiant y Google VirusTotal. Esta integración es fundamental para la evaluación de amenazas y para comprender quién está apuntando a tu organización y el posible impacto.

• Security Command Center Enterprise, que se basa en la IA de Google, permite a los profesionales de la seguridad evaluar, investigar y responder de manera eficiente a los problemas de seguridad en varios entornos de nube. Entre los profesionales de seguridad que pueden beneficiarse de Security Command Center, se incluyen analistas del centro de operaciones de seguridad (SOC), analistas de vulnerabilidad y postura, y administradores de cumplimiento. Security Command Center Enterprise enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades. Esta solución les proporciona a los equipos la información que necesitan para abordar las vulnerabilidades de alto riesgo y solucionar las amenazas activas.

• Chrome Enterprise Premium ofrece protección de datos y contra amenazas, lo que ayuda a proteger a los usuarios contra riesgos de robo de datos y evita que el software malicioso ingrese a los dispositivos administrados por la empresa. Chrome Enterprise Premium también proporciona visibilidad sobre la actividad no segura o potencialmente no segura que puede ocurrir en el navegador.

• La supervisión de red, a través de herramientas como Network Intelligence Center, proporciona visibilidad del rendimiento de la red. La supervisión de red también puede ayudarte a detectar patrones de tráfico inusuales o cantidades de transferencia de datos que podrían indicar un ataque o un intento de robo de datos.

Comprende y aprovecha la ventaja de tu defensor

Esta recomendación es relevante para todas las áreas de enfoque.

Como se mencionó anteriormente, tienes una ventaja sobre los atacantes cuando tienes una comprensión profunda de tu empresa, tus sistemas, tu topología y tu infraestructura. Para aprovechar esta ventaja de conocimiento, usa estos datos sobre tus entornos durante la planificación de la defensa cibernética.

Google Cloud proporciona las siguientes funciones para ayudarte a obtener visibilidad de forma proactiva, identificar amenazas, comprender los riesgos y responder de manera oportuna para mitigar posibles daños:

• Chrome Enterprise Premium te ayuda a mejorar la seguridad de los dispositivos empresariales, ya que protege a los usuarios contra riesgos de robo de datos. Extiende los servicios de Sensitive Data Protection al navegador y evita el software malicioso. También ofrece funciones como la protección contra software malicioso y phishing para ayudar a evitar la exposición a contenido no seguro. Además, te brinda control sobre la instalación de extensiones para ayudar a evitar extensiones inseguras o no verificadas. Estas funciones te ayudan a establecer una base segura para tus operaciones.

• Security Command Center Enterprise proporciona un motor de riesgos continuo que ofrece análisis y administración de riesgos integrales y continuos. La función del motor de riesgo enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades para ayudar a solucionar los problemas con rapidez. Security Command Center permite a tu organización identificar debilidades de forma proactiva y, luego, implementar mitigaciones.

• Google SecOps centraliza los datos de seguridad y proporciona registros enriquecidos con cronogramas. Esto permite a los defensores identificar de forma proactiva las intrusiones activas y adaptar las defensas en función del comportamiento de los atacantes.

• La supervisión de red ayuda a identificar la actividad irregular de la red que podría indicar un ataque y proporciona indicadores anticipados que puedes usar para tomar medidas. Para proteger tus datos de manera proactiva contra el robo, supervisa de forma continua la extracción de datos y usa las herramientas proporcionadas.

Valida y mejora tus defensas de forma continua

Esta recomendación es relevante para todas las áreas de enfoque.

Esta recomendación enfatiza la importancia de las pruebas dirigidas y la validación continua de los controles para comprender las fortalezas y debilidades de toda la superficie de ataque. Esto incluye validar la efectividad de los controles, las operaciones y el personal a través de métodos como los siguientes:

• Pruebas de penetración
• Ejercicios de equipo rojo-azul y equipo púrpura
• Ejercicios de mesa

También debes buscar amenazas de forma activa y usar los resultados para mejorar la detección y la visibilidad. Usa las siguientes herramientas para probar y validar de forma continua tus defensas contra amenazas reales:

• Security Command Center Enterprise proporciona un motor de riesgo continuo para evaluar las vulnerabilidades y priorizar la remediación, lo que permite una evaluación continua de tu postura de seguridad general. Cuando priorizas los problemas, Security Command Center Enterprise te ayuda a garantizar que los recursos se usen de forma eficaz.

• Google SecOps ofrece detecciones seleccionadas y de búsqueda de amenazas que te permiten identificar de forma proactiva las debilidades de tus controles. Esta función permite realizar pruebas continuas y mejorar tu capacidad para detectar amenazas.

• Chrome Enterprise Premium proporciona funciones de protección de datos y contra amenazas que pueden ayudarte a abordar amenazas nuevas y cambiantes, y actualizar de forma continua tus defensas contra riesgos de robo de datos y software malicioso.

• Cloud Next Generation Firewall (Cloud NGFW) proporciona supervisión de red y supervisión de robo de datos. Estas funciones pueden ayudarte a validar la eficacia de tu postura de seguridad actual y a identificar posibles debilidades. La supervisión de robo de datos te ayuda a validar la solidez de los mecanismos de protección de datos de tu organización y a realizar ajustes proactivos cuando sea necesario. Cuando integras los hallazgos de amenazas de la NGFW de Cloud con Security Command Center y Google SecOps, puedes optimizar la detección de amenazas basadas en la red, optimizar la respuesta a las amenazas y automatizar los planes de acción. Para obtener más información sobre esta integración, consulta Cómo unificar tus defensas en la nube: Security Command Center y Cloud NGFW Enterprise.

Administrar y coordinar los esfuerzos de defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

Como se describió antes en Cómo integrar las funciones de la defensa cibernética, la función de Control de misión interconecta las otras funciones del programa de defensa cibernética. Esta función permite la coordinación y la administración unificada en todo el programa. También te ayuda a coordinar con otros equipos que no trabajan en la seguridad cibernética. La función de Control de misiones promueve la capacitación y la responsabilidad, facilita la agilidad y la experiencia, y fomenta la responsabilidad y la transparencia.

Los siguientes productos y funciones pueden ayudarte a implementar la función Control de la misión:

• Security Command Center Enterprise actúa como un centro central para coordinar y gestionar tus operaciones de ciberdefensa. Combina herramientas, equipos y datos, junto con las capacidades de respuesta integradas de Google SecOps. Security Command Center proporciona una visibilidad clara del estado de seguridad de tu organización y permite identificar errores de configuración de seguridad en diferentes recursos.
• Google SecOps proporciona una plataforma para que los equipos respondan a las amenazas a través de la asignación de registros y la creación de cronogramas. También puedes definir reglas de detección y buscar amenazas.
• Google Workspace y Chrome Enterprise Premium te ayudan a administrar y controlar el acceso de los usuarios finales a recursos sensibles. Puedes definir controles de acceso detallados en función de la identidad del usuario y el contexto de una solicitud.
• La supervisión de red proporciona estadísticas sobre el rendimiento de los recursos de red. Puedes importar estadísticas de supervisión de red a Security Command Center y Google SecOps para la supervisión centralizada y la correlación con otros datos basados en cronogramas. Esta integración te ayuda a detectar y responder a posibles cambios en el uso de la red causados por actividades dañinas.
• La supervisión de la extracción de datos ayuda a identificar posibles incidentes de pérdida de datos. Con esta función, puedes movilizar de manera eficiente un equipo de respuesta a incidentes, evaluar los daños y limitar la extracción de datos adicional. También puedes mejorar las políticas y los controles actuales para garantizar la protección de los datos.

Resumen del producto

En la siguiente tabla, se enumeran los productos y las funciones que se describen en este documento y se asignan a las recomendaciones y las capacidades de seguridad asociadas.

Google Cloud producto	Recomendaciones aplicables
Google SecOps	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Permite la búsqueda de amenazas y la coincidencia de IoC, y se integra con Mandiant para una evaluación integral de amenazas. Comprende y aprovecha la ventaja de tu defensor: Proporciona detecciones seleccionadas y centraliza los datos de seguridad para la identificación proactiva de vulneraciones. Valida y mejora tus defensas de forma continua: Permite la prueba y mejora continuas de las capacidades de detección de amenazas. Administra y coordina los esfuerzos de defensa cibernética a través de Mission Control: Proporciona una plataforma para la respuesta a amenazas, el análisis de registros y la creación de cronogramas.
Security Command Center Enterprise	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Usa la IA para evaluar el riesgo, priorizar las vulnerabilidades y proporcionar estadísticas prácticas para la solución. Comprende y aprovecha la ventaja de tu defensor: Ofrece un análisis de riesgos integral, una priorización de vulnerabilidades y una identificación proactiva de las debilidades. Valida y mejora tus defensas de forma continua: Proporciona una evaluación continua de la postura de seguridad y una priorización de recursos. Administra y coordina los esfuerzos de defensa cibernética a través del control de la misión: Actúa como un centro central para administrar y coordinar las operaciones de defensa cibernética.
Chrome Enterprise Premium	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Protege a los usuarios de los riesgos de robo de datos, evita el software malicioso y proporciona visibilidad de la actividad no segura del navegador. Comprende y aprovecha la ventaja de tu defensor: Mejora la seguridad de los dispositivos empresariales a través de la protección de datos, la prevención de software malicioso y el control sobre las extensiones. Valida y mejora tus defensas de forma continua: Se abordan amenazas nuevas y en evolución a través de actualizaciones continuas de las defensas contra riesgos de robo de datos y software malicioso. Administra y coordina las iniciativas de defensa cibernética a través del control de la misión: Administra y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Google Workspace	Administra y coordina las iniciativas de defensa cibernética a través del control de la misión: Administra y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Network Intelligence Center	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Proporciona visibilidad del rendimiento de la red y detecta patrones de tráfico o transferencias de datos inusuales.
Cloud NGFW	Valida y mejora tus defensas de forma continua: Optimiza la detección y la respuesta ante amenazas basadas en la red a través de la integración con Security Command Center y Google SecOps.

Usa la IA de forma segura y responsable

Este principio del pilar de seguridad del Google Cloud framework bien estructurado proporciona recomendaciones para ayudarte a proteger tus sistemas de IA. Estas recomendaciones se alinean con el framework de IA segura (SAIF) de Google, que proporciona un enfoque práctico para abordar las preocupaciones de seguridad y riesgo de los sistemas de IA. El SAIF es un marco conceptual que tiene como objetivo proporcionar estándares para toda la industria para desarrollar e implementar IA de manera responsable.

Descripción general de los principios

Para garantizar que tus sistemas de IA cumplan con los requisitos de seguridad, privacidad y cumplimiento, debes adoptar una estrategia integral que comience con el diseño inicial y se extienda a la implementación y las operaciones. Para implementar esta estrategia integral, aplica los seis elementos principales de SAIF.

Google utiliza la IA para mejorar las medidas de seguridad, como identificar amenazas, automatizar tareas de seguridad y mejorar las capacidades de detección, a la vez que mantiene a las personas involucradas en las decisiones críticas.

Google enfatiza un enfoque colaborativo para mejorar la seguridad de la IA. Este enfoque implica asociarse con clientes, industrias y gobiernos para mejorar los lineamientos del SAIF y ofrecer recursos prácticos y prácticos.

Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:

• Recomendaciones para usar la IA de forma segura
• Recomendaciones para la gobernanza de la IA

Recomendaciones para usar la IA de forma segura

Para usar la IA de forma segura, necesitas controles de seguridad básicos y controles de seguridad específicos de la IA. En esta sección, se proporciona una descripción general de las recomendaciones para garantizar que tus implementaciones de IA y de AA cumplan con los requisitos de seguridad, privacidad y cumplimiento de tu organización. Para obtener una descripción general de los principios y las recomendaciones arquitectónicos específicos de las cargas de trabajo de IA y AA en Google Cloud, consulta la perspectiva de IA y AA en el Framework de arquitectura bien diseñada.

Define objetivos y requisitos claros para el uso de la IA

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Administración, riesgo y cumplimiento de la nube
• Seguridad de la IA y el AA

Esta recomendación se alinea con el elemento de SAIF sobre la contextualización de los riesgos del sistema de IA en los procesos comerciales circundantes. Cuando diseñas y evolucionas sistemas de IA, es importante comprender tus objetivos comerciales, riesgos y requisitos de cumplimiento específicos.

Mantén la seguridad de los datos y evita pérdidas o manejos inadecuados

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la infraestructura
• Administración de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el AA

Esta recomendación se alinea con los siguientes elementos de la SAIF:

• Expande medidas de seguridad sólidas en el ecosistema de IA. Este elemento incluye la recopilación, el almacenamiento, el control de acceso y la protección contra el envenenamiento de datos.
• Contextualiza los riesgos del sistema de IA. Enfatiza la seguridad de los datos para respaldar los objetivos comerciales y el cumplimiento.

Mantén las canalizaciones de IA seguras y resistentes a la manipulación

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la infraestructura
• Administración de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el AA

Esta recomendación se alinea con los siguientes elementos de la SAIF:

• Expande medidas de seguridad sólidas en el ecosistema de IA. Como elemento clave para establecer un sistema de IA seguro, protege tu código y tus artefactos de modelos.
• Adapta los controles para crear ciclos de retroalimentación más rápidos. Debido a que es importante para la mitigación y la respuesta ante incidentes, haz un seguimiento de tus activos y ejecuciones de canalización.

Implementa apps en sistemas seguros con herramientas y artefactos seguros

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la infraestructura
• Administración de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el AA

El uso de sistemas seguros, herramientas y artefactos validados en aplicaciones basadas en IA se alinea con el elemento SAIF sobre la expansión de bases de seguridad sólidas al ecosistema de IA y la cadena de suministro. Para abordar esta recomendación, sigue estos pasos:

• Implementa un entorno seguro para el entrenamiento y la implementación de AA
• Usa imágenes de contenedor validadas
• Aplica los lineamientos de los Niveles de cadena de suministro para artefactos de software (SLSA)

Protege y supervisa las entradas

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Registro, auditoría y supervisión
• Operaciones de seguridad
• Seguridad de la IA y el AA

Esta recomendación se alinea con el elemento del SAIF sobre la ampliación de la detección y la respuesta para incorporar la IA al universo de amenazas de una organización. Para evitar problemas, es fundamental administrar las instrucciones de los sistemas de IA generativa, supervisar las entradas y controlar el acceso de los usuarios.

Recomendaciones para la gobernanza de la IA

Todas las recomendaciones de esta sección son relevantes para el siguiente área de enfoque: Administración, riesgos y cumplimiento de la nube.

Google Cloud ofrece un conjunto sólido de herramientas y servicios que puedes usar para compilar sistemas de IA responsables y éticos. También ofrecemos un marco de políticas, procedimientos y consideraciones éticas que pueden guiar el desarrollo, la implementación y el uso de sistemas de IA.

Como se refleja en nuestras recomendaciones, el enfoque de Google para la gobernanza de la IA se basa en los siguientes principios:

• Equidad
• Transparencia
• Responsabilidad
• Privacidad
• Seguridad

Usa indicadores de equidad

Vertex AI puede detectar sesgos durante el proceso de recopilación de datos o la evaluación posterior al entrenamiento. Vertex AI proporciona métricas de evaluación de modelos, como el sesgo de los datos y el sesgo del modelo, para ayudarte a evaluar si tu modelo tiene sesgos.

Estas métricas se relacionan con la equidad en diferentes categorías, como el origen étnico, el género y la clase. Sin embargo, interpretar las desviaciones estadísticas no es un ejercicio sencillo, ya que las diferencias entre las categorías pueden no ser un resultado de un sesgo o un indicador de daño.

Usar Vertex Explainable AI

Para comprender cómo toman decisiones los modelos de IA, usa Vertex Explainable AI. Esta función te ayuda a identificar posibles sesgos que podrían estar ocultos en la lógica del modelo.

Esta función de explicabilidad está integrada en BigQuery ML y Vertex AI, que proporcionan explicaciones basadas en atributos. Puedes realizar la explicación en BigQuery ML o registrar tu modelo en Vertex AI y realizar la explicación allí.

Realizar un seguimiento de linaje de datos

Hacer un seguimiento del origen y la transformación de los datos que se usan en tus sistemas de IA Este seguimiento te ayuda a comprender el recorrido de los datos y a identificar posibles fuentes de sesgo o error.

El linaje de datos es una función de Dataplex que te permite hacer un seguimiento de cómo los datos se mueven a través de tus sistemas: de dónde provienen, a dónde se pasan y qué transformaciones se les aplican.

Establece la responsabilidad

Establece una responsabilidad clara para el desarrollo, la implementación y los resultados de tu sistema de IA.

Usa Cloud Logging para registrar los eventos y las decisiones clave que toman tus sistemas de IA. Los registros proporcionan un registro de auditoría para ayudarte a comprender el rendimiento del sistema y a identificar las áreas que se pueden mejorar.

Usa Error Reporting para analizar de forma sistemática los errores que cometen los sistemas de IA. Este análisis puede revelar patrones que apuntan a sesgos subyacentes o áreas en las que el modelo necesita mayor refinamiento.

Implementa la privacidad diferencial

Durante el entrenamiento del modelo, agrega ruido a los datos para dificultar la identificación de datos individuales, pero permite que el modelo aprenda de manera eficaz. Con SQL en BigQuery, puedes transformar los resultados de una consulta con agregaciones diferencialmente privadas.

Usa la IA para la seguridad

Este principio del pilar de seguridad del Google Cloud Framework de arquitectura bien definida proporciona recomendaciones para usar la IA y ayudarte a mejorar la seguridad de tus cargas de trabajo en la nube.

Debido a la creciente cantidad y sofisticación de los ciberataques, es importante aprovechar el potencial de la IA para ayudar a mejorar la seguridad. La IA puede ayudar a reducir la cantidad de amenazas, disminuir el esfuerzo manual que requieren los profesionales de seguridad y compensar la escasez de expertos en el dominio de la seguridad cibernética.

Descripción general de los principios

Usa las capacidades de la IA para mejorar tus sistemas y procesos de seguridad existentes. Puedes usar Gemini en Seguridad así como las capacidades intrínsecas de IA integradas en los Google Cloud servicios.

Estas capacidades de IA pueden transformar la seguridad, ya que proporcionan asistencia en todas las etapas del ciclo de vida de la seguridad. Por ejemplo, puedes usar la IA para lo siguiente:

• Analiza y explica el código potencialmente malicioso sin ingeniería inversa.
• Reducir el trabajo repetitivo para los profesionales de la seguridad cibernética
• Usa lenguaje natural para generar consultas y también interactuar con datos de eventos de seguridad.
• Muestra información contextual.
• Ofrece recomendaciones para respuestas rápidas.
• Ayudar en la solución de eventos
• Resume las alertas de alta prioridad de parámetros de configuración incorrectos y vulnerabilidades, destaca los posibles impactos y recomienda mitigaciones.

Niveles de autonomía de seguridad

La IA y la automatización pueden ayudarte a lograr mejores resultados de seguridad cuando te enfrentes a amenazas de ciberseguridad en constante evolución. Cuando usas la IA para la seguridad, puedes lograr mayores niveles de autonomía para detectar y evitar amenazas, y mejorar tu postura de seguridad general. Google define cuatro niveles de autonomía cuando usas la IA para la seguridad y describe el papel cada vez más importante de la IA en la asistencia y, en última instancia, en la dirección de las tareas de seguridad:

1. Manual: Las personas ejecutan todas las tareas de seguridad (prevenir, detectar, priorizar y responder) durante todo el ciclo de vida de la seguridad.
2. Asistida: Las herramientas de IA, como Gemini, aumentan la productividad humana a través de la generación de estadísticas, la recopilación de información y la formulación de recomendaciones.
3. Semiautónomo: La IA asume la responsabilidad principal de muchas tareas de seguridad y delega a las personas solo cuando es necesario.
4. Autonómico: La IA actúa como un asistente de confianza que impulsa el ciclo de vida de la seguridad según los objetivos y las preferencias de tu organización, con una intervención humana mínima.

Recomendaciones

En las siguientes secciones, se describen las recomendaciones para usar la IA en la seguridad. En las secciones, también se indica cómo las recomendaciones se alinean con los elementos principales del Framework de IA segura (SAIF) de Google y cómo son relevantes para los niveles de autonomía de seguridad.

• Mejora la detección y la respuesta a amenazas con la IA
• Simplifica la seguridad tanto para expertos como para otros
• Automatiza las tareas de seguridad que consumen tiempo con la IA
• Incorpora la IA en los procesos de administración y gobernanza de riesgos
• Implementa prácticas de desarrollo seguras para los sistemas de IA

Mejora la detección y respuesta de amenazas con IA

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Operaciones de seguridad (SecOps)
• Registro, auditoría y supervisión

La IA puede analizar grandes volúmenes de datos de seguridad, ofrecer estadísticas sobre el comportamiento de los agentes de amenazas y automatizar el análisis de código potencialmente malicioso. Esta recomendación está alineada con los siguientes elementos del SAIF:

• Amplifica la detección y la respuesta para incorporar la IA al universo de las amenazas de tu organización.
• Automatiza las defensas para seguir el ritmo de las amenazas existentes y nuevas.

Según tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: La IA ayuda con el análisis y la detección de amenazas.
• Semiautónoma: La IA asume más responsabilidad en la tarea de seguridad.

Google Threat Intelligence, que usa IA para analizar el comportamiento de los agentes de amenazas y el código malicioso, puede ayudarte a implementar esta recomendación.

Simplifica la seguridad tanto para expertos como para otros

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Operaciones de seguridad (SecOps)
• Administración, riesgo y cumplimiento de la nube

Las herramientas potenciadas por IA pueden resumir alertas y recomendar mitigaciones, y estas capacidades pueden hacer que la seguridad sea más accesible para un rango más amplio de personal. Esta recomendación está alineada con los siguientes elementos de la SAIF:

• Automatiza las defensas para seguir el ritmo de las amenazas existentes y nuevas.
• Estandariza los controles del nivel de la plataforma para garantizar una seguridad coherente en toda la organización.

Según tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: La IA te ayuda a mejorar la accesibilidad de la información de seguridad.
• Semiautónoma: La IA ayuda a que las prácticas de seguridad sean más eficaces para todos los usuarios.

Gemini en Security Command Center puede proporcionar resúmenes de alertas de parámetros de configuración incorrectos y vulnerabilidades.

Automatiza las tareas de seguridad que consumen tiempo con la IA

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de la infraestructura
• Operaciones de seguridad (SecOps)
• Seguridad para aplicaciones

La IA puede automatizar tareas como analizar software malicioso, generar reglas de seguridad y identificar parámetros de configuración incorrectos. Estas capacidades pueden ayudar a reducir la carga de trabajo de los equipos de seguridad y acelerar los tiempos de respuesta. Esta recomendación está alineada con el elemento de SAIF sobre la automatización de las defensas para seguir el ritmo de las amenazas existentes y nuevas.

Según tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: La IA te ayuda a automatizar tareas.
• Semiautónomo: La IA asume la responsabilidad principal de las tareas de seguridad y solo solicita asistencia humana cuando es necesario.

Gemini en Google SecOps puede ayudar a automatizar tareas de alta demanda, ya que asiste a los analistas, recupera el contexto relevante y hace recomendaciones para los próximos pasos.

Incorpora la IA en los procesos de administración y gobernanza de riesgos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Puedes usar la IA para crear un inventario de modelos y perfiles de riesgo. También puedes usar la IA para implementar políticas de privacidad de los datos, riesgos cibernéticos y riesgos de terceros. Esta recomendación está alineada con el elemento de SAIF sobre la contextualización de los riesgos del sistema de IA en los procesos comerciales circundantes.

Según tu implementación, esta recomendación puede ser relevante para el nivel de autonomía semiautónoma. En este nivel, la IA puede organizar agentes de seguridad que ejecutan procesos para lograr tus objetivos de seguridad personalizados.

Implementar prácticas de desarrollo seguras para los sistemas de IA

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad para aplicaciones
• Seguridad de la IA y el AA

Puedes usar la IA para codificar de forma segura, limpiar datos de entrenamiento y validar herramientas y artefactos. Esta recomendación está alineada con el elemento del SAIF sobre la expansión de bases sólidas de seguridad en el ecosistema de la IA.

Esta recomendación puede ser relevante para todos los niveles de autonomía de seguridad, ya que se debe tener un sistema de IA seguro para que se pueda usar de manera eficaz para la seguridad. La recomendación es más relevante para el nivel asistido, en el que la IA mejora las prácticas de seguridad.

Para implementar esta recomendación, sigue los lineamientos de Niveles de cadena de suministro para artefactos de software (SLSA) para artefactos de IA y usa imágenes de contenedor validadas.

Cumple con las necesidades reglamentarias, de cumplimiento y de privacidad

Este principio del pilar de seguridad del Google Cloud Framework de arquitectura bien definida te ayuda a identificar y cumplir con los requisitos regulatorios, de cumplimiento y de privacidad para las implementaciones en la nube. Estos requisitos influyen en muchas de las decisiones que debes tomar sobre los controles de seguridad que se deben usar para tus cargas de trabajo enGoogle Cloud.

Descripción general de los principios

Cumplir con las necesidades reglamentarias, de cumplimiento y de privacidad es un desafío inevitable para todas las empresas. Los requisitos normativos de la nube dependen de varios factores, incluidos los siguientes:

• Las leyes y reglamentaciones que se aplican a las ubicaciones físicas de tu organización
• Las leyes y reglamentaciones que se aplican a las ubicaciones físicas de tus clientes
• Los requisitos reglamentarios de tu industria

Las reglamentaciones de privacidad definen cómo puedes obtener, procesar, almacenar y administrar los datos de tus usuarios. Tú eres el propietario de tus datos, incluidos los que recibes de tus usuarios. Por lo tanto, muchos controles de privacidad son tu responsabilidad, incluidos los controles para cookies, la administración de sesiones y la obtención del permiso del usuario.

Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:

• Recomendaciones para abordar los riesgos organizacionales
• Recomendaciones para abordar las obligaciones regulatorias y de cumplimiento
• Recomendaciones para administrar la soberanía de tus datos
• Recomendaciones para abordar los requisitos de privacidad

Recomendaciones para abordar los riesgos organizacionales

En esta sección, se proporcionan recomendaciones para ayudarte a identificar y abordar los riesgos de tu organización.

Identifica los riesgos para tu organización

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Antes de crear e implementar recursos en Google Cloud, completa una evaluación de riesgo. Esta evaluación debe determinar las funciones de seguridad que necesitas para cumplir con los requisitos de seguridad internos y los requisitos regulatorios externos.

La evaluación de riesgos te proporciona un catálogo de riesgos específicos de la organización y te informa sobre la capacidad de tu organización para detectar y contrarrestar las amenazas de seguridad. Debes realizar un análisis de riesgos inmediatamente después de la implementación y cada vez que haya cambios en las necesidades de tu empresa, los requisitos normativos o las amenazas para tu organización.

Como se menciona en el principio Implementa la seguridad por diseño, los riesgos de seguridad en un entorno de nube difieren de los riesgos locales. Esta diferencia se debe al modelo de responsabilidad compartida en la nube, que varía según el servicio (IaaS, PaaS o SaaS) y el uso. Usa un framework de evaluación de riesgos específico de la nube, como la Matriz de controles en la nube (CCM). Usa el modelado de amenazas, como el modelado de amenazas de aplicaciones de OWASP, para identificar y abordar las vulnerabilidades. Si necesitas ayuda de expertos con las evaluaciones de riesgos, comunícate con tu representante de cuentas de Google o consulta el directorio de socios de Google Cloud.

Después de catalogar los riesgos, debes determinar cómo abordarlos, es decir, si deseas aceptarlos, evitarlos, transferirlos o mitigarlos. Para conocer los controles de mitigación que puedes implementar, consulta la siguiente sección sobre cómo mitigar tus riesgos.

Reduce los riesgos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Cuando adoptas nuevos servicios de nube pública, puedes mitigar los riesgos mediante controles técnicos, protecciones contractuales y verificaciones o certificaciones de terceros.

Los controles técnicos son funciones y tecnologías que usas para proteger tu entorno. Estos incluyen controles de seguridad integrados en la nube, como firewalls y registros. Los controles técnicos también pueden incluir el uso de herramientas de terceros para reforzar o respaldar tu estrategia de seguridad. Existen dos categorías de controles técnicos:

• Puedes implementar los controles de seguridad de Google Cloudpara ayudarte a mitigar los riesgos que se aplican a tu entorno. Por ejemplo, puedes proteger la conexión entre tus redes locales y tus redes de nube con Cloud VPN y Cloud Interconnect.
• Google tiene controles internos sólidos y realiza auditorías para proteger los datos de clientes del acceso de usuarios con información privilegiada. Nuestros registros de auditoría te proporcionan registros casi en tiempo real del acceso de los administradores de Google en Google Cloud.

Las protecciones contractuales hacen referencia a los compromisos legales realizados por nosotros en relación con los servicios deGoogle Cloud . Google se compromete a mantener y expandir la cartera de cumplimiento. En el Anexo de Tratamiento de Datos de Cloud (CDPA), se describen nuestros compromisos con respecto al procesamiento y la seguridad de tus datos. En el CDPA, también se describen los controles de acceso que limitan el acceso de los ingenieros de asistencia de Google a los entornos de los clientes y se describe nuestro riguroso proceso de registro y aprobación. Te recomendamos que revises los controles contractuales de Google Cloudcon tus expertos legales y normativos, y verifiques que cumplan con tus requisitos. Si necesitas más información, comunícate con tu representante técnico de cuenta.

Las verificaciones o certificaciones de terceros hacen referencia a que un proveedor externo audite al proveedor de servicios en la nube para asegurarse de que cumpla con los requisitos de cumplimiento. Por ejemplo, para obtener información sobre las Google Cloud certificación con respecto a los lineamientos de la norma ISO/IEC 27017, consulta ISO/IEC 27017: Cumplimiento. Para ver las Google Cloud certificaciones y cartas de certificación actuales, consulta el Centro de recursos de cumplimiento.

Recomendaciones para abordar las obligaciones de cumplimiento y reglamentarias

Un recorrido de cumplimiento típico tiene tres etapas: evaluación, solución de brechas y supervisión continua. En esta sección, se proporcionan recomendaciones que puedes usar durante cada una de estas etapas.

Evalúa tus necesidades de cumplimiento

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La evaluación del cumplimiento comienza con una revisión exhaustiva de todas las obligaciones normativas y cómo tu empresa las implementa. Para ayudarte con la evaluación de los servicios de Google Cloud , usa el Centro de recursos de cumplimiento. En este sitio, se proporciona información sobre lo siguiente:

• Asistencia de servicio para varias normativas
• Google Cloud certificaciones y declaraciones

Para comprender mejor el ciclo de vida del cumplimiento en Google y cómo se pueden cumplir tus requisitos, puedes comunicarte con el equipo de ventas para solicitar ayuda a un especialista en cumplimiento de Google. También puedes comunicarte con tu administrador deGoogle Cloud cuentas para solicitar un seminario de cumplimiento.

Para obtener más información sobre las herramientas y los recursos que puedes usar para administrar la seguridad y el cumplimiento de las Google Cloud cargas de trabajo, consulta Garantiza el cumplimiento en la nube.

Automatiza la implementación de los requisitos de cumplimiento

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

Para ayudarte a cumplir con las normativas cambiantes, determina si puedes automatizar la forma en que implementas los requisitos de cumplimiento. Puedes usar las funciones enfocadas en el cumplimiento que proporciona Google Cloud y los esquemas que usan configuraciones recomendadas para un régimen de cumplimiento en particular.

Assured Workloads se basa en los controles de Google Cloud para ayudarte a cumplir con tus obligaciones de cumplimiento. Assured Workloads te permite hacer lo siguiente:

• Selecciona tu régimen de cumplimiento. Luego, la herramienta establece automáticamente los controles de acceso del personal de referencia para el régimen seleccionado.
• Establece la ubicación de tus datos con políticas de la organización para que tus datos en reposo y recursos solo permanezcan en esa región.
• Selecciona la opción de administración de claves (como el período de rotación de claves) que mejor se adapte a tus requisitos de cumplimiento y seguridad.
• Selecciona los criterios de acceso para el personal de Atención al cliente de Google para cumplir con ciertos requisitos normativos, como FedRAMP Moderate. Por ejemplo, puedes seleccionar si el personal de Atención al cliente de Google completó las verificaciones de antecedentes adecuadas.
• Usa servicios que sean propiedad de Google y Google-owned and Google-managed encryption key que cumplan con FIPS-140-2 y admitan el cumplimiento de FedRAMP Moderate. Para agregar una capa de control y separación de obligaciones adicionales, puedes usar claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre las claves, consulta Cómo encriptar datos en reposo y en tránsito.

Además de Assured Workloads, puedes usar Google Cloud plantillas que sean relevantes para tu régimen de cumplimiento. Puedes modificar estos esquemas para incorporar tus políticas de seguridad en las implementaciones de infraestructura.

Para ayudarte a crear un entorno que admita tus requisitos de cumplimiento, los planes y las guías de soluciones de Google incluyen configuraciones recomendadas y proporcionan módulos de Terraform. En la siguiente tabla, se enumeran los esquemas que abordan la seguridad y la alineación con los requisitos de cumplimiento.

Requisito	Planos y guías de soluciones
FedRAMP	Google Cloud Guía de implementación de FedRAMP Configura una carga de trabajo de tres niveles alineada con FedRAMP en Google Cloud
HIPAA	Protege los datos de atención médica en Google Cloud Configura una carga de trabajo que cumpla con la HIPAA mediante Data Protection Toolkit

Supervisa el cumplimiento

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Administración, riesgo y cumplimiento de la nube
• Registro, supervisión y auditoría

La mayoría de las reglamentaciones requieren que supervises actividades particulares, incluidas las actividades relacionadas con el acceso. Para ayudarte con la supervisión, puedes usar lo siguiente:

• Transparencia de acceso: Consulta registros casi en tiempo real cuando los Google Cloud administradores acceden a tu contenido.
• Registro de reglas de firewall: Registra las conexiones TCP y UDP dentro de una red de VPC para cualquier regla que crees. Estos registros pueden ser útiles para auditar el acceso a la red o proporcionar una advertencia temprana de que la red se está usando de manera no aprobada.
• Registros de flujo de VPC: Registran los flujos de tráfico de red que envían o reciben las instancias de VM.
• Security Command Center Premium: Supervisa el cumplimiento de varios estándares.
• OSSEC (o cualquier otra herramienta de código abierto): Registra la actividad de las personas que tienen acceso de administrador a tu entorno.
• Key Access Justifications: Consulta los motivos de una solicitud de acceso a las claves.
• Notificaciones de Security Command Center: Recibe alertas cuando se produzcan problemas de incumplimiento. Por ejemplo, recibe alertas cuando los usuarios inhabilitan la verificación en dos pasos o cuando las cuentas de servicio tienen privilegios excesivos. También puedes configurar la solución automática para notificaciones específicas.

Recomendaciones para administrar la soberanía de tus datos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía de los datos te proporciona un mecanismo para evitar que Google acceda a tus datos. Solo apruebas el acceso para los comportamientos del proveedor que aceptas como necesarios. Por ejemplo, puedes administrar la soberanía de los datos de las siguientes maneras:

• Almacena y administra claves de encriptación fuera de la nube.
• Otorga acceso a estas claves según justificaciones de acceso detalladas.
• Protege los datos en uso con la computación confidencial.

Administra tu soberanía operativa

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía operativa te garantiza que el personal de Google no pueda poner en riesgo tus cargas de trabajo. Por ejemplo, puedes administrar la soberanía operativa de las siguientes maneras:

• Restringe la implementación de recursos nuevos en regiones de proveedores específicas.
• Limita el acceso del personal de Google según atributos predefinidos como su ciudadanía o ubicación geográfica.

Administra la soberanía del software

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La soberanía del software te brinda garantías de que puedes controlar la disponibilidad de tus cargas de trabajo y ejecutarlas donde lo desees. Además, puedes tener este control sin depender de un solo proveedor de servicios en la nube ni estar atado a él. La soberanía del software incluye la capacidad de sobrevivir a los eventos que requieren que cambies con rapidez dónde se implementan las cargas de trabajo y qué nivel de conexión externa está permitido.

Por ejemplo, para ayudarte a administrar tu soberanía de software, Google Cloud admite implementaciones híbridas y de múltiples nubes. Además, GKE Enterprise te permite implementar y administrar tus aplicaciones en entornos locales y en la nube. Si eliges implementaciones locales por motivos de soberanía de los datos, Google Distributed Cloud es una combinación de hardware y software que lleva Google Cloud a tu centro de datos.

Recomendaciones para abordar los requisitos de privacidad

Google Cloud incluye los siguientes controles que promueven la privacidad:

• Encriptación predeterminada de todos los datos cuando están en reposo, en tránsito y mientras se procesan.
• Protege contra el acceso de usuarios con información privilegiada.
• Compatibilidad con varias regulaciones de privacidad.

En las siguientes recomendaciones, se abordan controles adicionales que puedes implementar. Para obtener más información, consulta el Centro de recursos de privacidad.

Controla la residencia de los datos

Esta recomendación es relevante para el siguiente área de enfoque: Administración, riesgo y cumplimiento en la nube.

La residencia de datos describe dónde se almacenan los datos en reposo. Los requisitos de residencia de datos varían según los objetivos de diseño del sistema, las preocupaciones normativas de la industria, la ley nacional, las implicaciones fiscales e incluso la cultura.

El control de la residencia de los datos comienza con lo siguiente:

• Comprender el tipo de datos y su ubicación
• Determinar los riesgos que existen para tus datos y qué leyes y regulaciones se aplican
• Controlar dónde se almacenan tus datos o a dónde se dirigen

Para ayudarte a cumplir con los requisitos de residencia de datos, Google Cloud te permite controlar dónde se almacenan tus datos, cómo se accede a ellos y cómo se procesan. Puedes usar las políticas de ubicación de recursos para restringir en qué lugar se crean los recursos y limitar dónde se replican los datos entre las regiones. Puedes usar la propiedad de ubicación de un recurso para identificar dónde se implementa el servicio y quién lo mantiene. Para obtener más información, consulta Servicios compatibles con las ubicaciones de los recursos.

Clasifica tus datos confidenciales

Esta recomendación es relevante para la siguiente área de enfoque: Seguridad de los datos.

Debes definir qué datos son confidenciales y, luego, asegurarte de que estén protegidos de forma correcta. Los datos confidenciales pueden incluir números de tarjetas de crédito, direcciones, números de teléfono y otra información de identificación personal (PII). Con Sensitive Data Protection, puedes configurar las clasificaciones adecuadas. Luego, puedes etiquetar y asignar tokens a los datos antes de almacenarlos en Google Cloud. Además, Dataplex ofrece un servicio de catálogo que proporciona una plataforma para almacenar, administrar y acceder a tus metadatos. Para obtener más información y un ejemplo de clasificación y desidentificación de datos, consulta Desidentificación y reidentificación de PII con Sensitive Data Protection.

Bloquea el acceso a los datos sensibles

Esta recomendación es relevante para las siguientes áreas de enfoque:

• Seguridad de los datos
• Administración de identidades y accesos

Coloca datos sensibles en su propio perímetro de servicio con los Controles del servicio de VPC. Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de copia o transferencia de datos no autorizadas (robo de datos) de los servicios administrados por Google. Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de los servicios administrados por Google y controlar el movimiento de datos en el perímetro. Establece controles de acceso de Identity and Access Management (IAM) de Google para esos datos. Configura la autenticación de varios factores (MFA) para todos los usuarios que requieran acceso a datos sensibles.

Responsabilidades compartidas y destino compartido en Google Cloud

En este documento, se describen las diferencias entre el modelo de responsabilidad compartida y el destino compartido en Google Cloud. Se analizan los desafíos y matices del modelo de responsabilidad compartida. En este documento, se describe qué es el destino compartido y cómo nos asociamos con los clientes para abordar las comprobaciones de seguridad en la nube.

Comprender el modelo de responsabilidad compartida es importante para determinar cómo proteger mejor tus datos y cargas de trabajo en Google Cloud. El modelo de responsabilidad compartida describe las tareas que tienes en cuanto a la seguridad en la nube y cómo estas tareas son diferentes para los proveedores de servicios en la nube.

Sin embargo, comprender la responsabilidad compartida puede ser un desafío. El modelo requiere una mejor comprensión de cada servicio que usas, las opciones de configuración que proporciona cada servicio y lo que Google Cloudhace para proteger el servicio. Cada servicio tiene un perfil de configuración diferente, y puede ser difícil determinar la mejor configuración de seguridad. Google considera que el modelo de responsabilidad compartida deja de ayudar a los clientes de Cloud a lograr mejores resultados de seguridad. En lugar de la responsabilidad compartida, creemos en el destino compartido.

El destino compartido incluye la creación y la operación de una plataforma de nube confiable para tus cargas de trabajo. Proporcionamos asesoramiento de prácticas recomendadas, código de infraestructura certificado y seguro que puedes usar para implementar tus cargas de trabajo de manera segura. Lanzamos soluciones que combinan varios servicios de Google Cloud para resolver problemas de seguridad complejos y ofrecemos opciones de seguros innovadoras que te ayudarán a medir y mitigar los riesgos que debes aceptar. El destino compartido nos hace interactuar de forma más estrecha contigo a medida que proteges tus recursos enGoogle Cloud.

Responsabilidad compartida

Eres el experto en conocer los requisitos normativos y de seguridad de tu empresa, y conocer los requisitos de protección de tus datos y recursos confidenciales. Cuando ejecutas las cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que necesitas configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:

• Tus obligaciones de cumplimiento de la reglamentación
• Los estándares de seguridad y el plan de administración de riesgos de tu organización
• Los requisitos de seguridad de tus clientes y proveedores

Definido por las cargas de trabajo

Tradicionalmente, las responsabilidades se definen en función del tipo de carga de trabajo que ejecutas y los servicios en la nube que necesitas. Los servicios en la nube incluyen las siguientes categorías:

Servicio de Cloud	Descripción
Infraestructura como servicio (IaaS)	Los servicios de IaaS incluyen los siguientes:Compute Engine, Cloud Storage y servicios de Herramientas de redes, comoCloud VPN, Cloud Load Balancing y Cloud DNS. IaaS ofrece servicios de procesamiento, almacenamiento y redes a pedido de pago por uso. Puedes usar IaaS si planeas migrar una carga de trabajo local existente a la nube mediante lift-and-shift, o si deseas ejecutar la aplicación en VMs específicas, mediante bases de datos específicas o las configuraciones de red. En la IaaS, la mayor parte de las responsabilidades de seguridad son tuyas, y nuestras responsabilidades se centran en la infraestructura subyacente y la seguridad física.
Plataforma como servicio (PaaS)	Los servicios de PaaS incluyen App Engine, Google Kubernetes Engine (GKE) y BigQuery. La PaaS proporciona el entorno de ejecución en el que puedes desarrollar y ejecutar tus aplicaciones. Puedes usar PaaS si compilas una aplicación (como un sitio web) y deseas enfocarte en el desarrollo y no en la infraestructura subyacente. En PaaS, somos responsables de más controles que en IaaS. Por lo general, esto variará según los servicios y las funciones que uses. Compartes la responsabilidad con nosotros para la administración de IAM y los controles a nivel de la aplicación. Eres responsable de la seguridad de tus datos y de la protección de los clientes.
Software como servicio (SaaS)	Las aplicaciones de SaaS incluyen aplicaciones de Google Workspace, Google Security Operations y de SaaS de terceros disponibles en Google Cloud Marketplace. El SaaS proporciona aplicaciones en línea a las que puedes suscribirte o pagar de alguna manera. Puedes usar aplicaciones de SaaS cuando tu empresa no tiene la experiencia interna o el requisito empresarial de compilar la aplicación, pero requiere la capacidad de procesar cargas de trabajo. En SaaS, somos responsables de la mayor parte de las responsabilidades de seguridad. Eres responsable de los controles de acceso y los datos que eliges almacenar en la aplicación.
Función como servicio (FaaS) o sin servidores	La FaaS proporciona la plataforma para que los desarrolladores ejecuten código pequeño de un solo propósito (llamado funciones) que se ejecuta en respuesta a eventos particulares. Debes usar FaaS cuando deseas que ocurran acciones concretas en función de un evento determinado. Por ejemplo, puedes crear una función que se ejecute cada vez que se suban datos a Cloud Storage para que se puedan clasificar. FaaS tiene una lista de responsabilidades compartidas similar a la de SaaS. Cloud Run Functions es una aplicación de FaaS.

En el siguiente diagrama, se muestran los servicios en la nube y se define cómo se comparten las responsabilidades entre el proveedor de servicios en la nube y el cliente.

Como se muestra en el diagrama, el proveedor de servicios en la nube siempre es responsable de la red y la infraestructura subyacentes, y los clientes siempre son responsables de sus datos y políticas de acceso.

Definido por el sector y el marco regulatorio

Varios sectores tienen marcos regulatorios que definen los controles de seguridad que se deben implementar. Cuando trasladas tus cargas de trabajo a la nube, debes tener en cuenta lo siguiente:

• Qué controles de seguridad son tu responsabilidad
• Qué controles de seguridad están disponibles como parte de la oferta en la nube
• Qué controles de seguridad predeterminados se heredan

Los controles de seguridad heredados (como nuestros controles de infraestructura predeterminados y de infraestructura) son controles que puedes proporcionar como parte de la evidencia de tu posición de seguridad a los auditores y los reguladores. Por ejemplo, las Normas de seguridad de los datos de la industria de tarjetas de pago (PCI DSS) definen las reglamentaciones para los procesadores de pagos. Cuando trasladas tu negocio a la nube, estas reglamentaciones se comparten entre tú y el CSP. Para comprender cómo se comparten las responsabilidades de PCI DSS entre tú yGoogle Cloud, consulta Google Cloud: Matriz de responsabilidad compartida de PCI DSS.

Como otro ejemplo, en los Estados Unidos, la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) estableció estándares para manejar la información de salud personal (PHI) electrónica. El CSP y tú también comparten estas responsabilidades. Para obtener más información sobre cómo Google Cloud cumple con nuestras responsabilidades en virtud de la HIPAA, consulta HIPAA: Cumplimiento.

Otras industrias (por ejemplo, finanzas o fabricación) también tienen reglamentaciones que definen cómo se pueden recopilar, procesar y almacenar los datos. Para obtener más información sobre la responsabilidad compartida relacionada con estos temas y cómoGoogle Cloud cumple con nuestras responsabilidades, consulta el Centro de recursos de cumplimiento.

Definido por ubicación

Según la situación de tu empresa, es posible que debas considerar tus responsabilidades según la ubicación de las oficinas comerciales, los clientes y los datos. Los diferentes países y regiones crearon reglamentaciones que informan cómo puedes procesar y almacenar los datos de tus clientes. Por ejemplo, si tu empresa tiene clientes que residen en la Unión Europea, es posible que tu empresa deba cumplir con los requisitos que se describen en el Reglamento General de Protección de Datos (RGPD) y es posible que debas mantener los datos de tus clientes en la UE. En esta circunstancia, usted es responsable de garantizar que los datos que recopila permanezcan en las regiones deGoogle Cloud en la UE. Para obtener más información sobre cómo cumplimos nuestras obligaciones del RGPD, consulta RGPD y Google Cloud.

Para obtener información sobre los requisitos relacionados con tu región, consulta Ofertas de cumplimiento. Si tu situación es particularmente complicada, te recomendamos que hables con nuestro equipo de ventas o uno de nuestros socios para ayudarte a evaluar tus responsabilidades de seguridad.

Desafíos para la responsabilidad compartida

Aunque la responsabilidad compartida ayuda a definir los roles de seguridad que tú o el proveedor de servicios en la nube tienen, confiar en la responsabilidad compartida aún puede crear desafíos. Considere estas situaciones:

• La mayoría de las violaciones de la seguridad de la nube son el resultado directo de una configuración incorrecta (que se muestra como número 3 en el informe Pandemic 11 de Cloud Security Alliance), y se espera que esta tendencia aumente. Los productos de Cloud cambian de forma constante, y se lanzan nuevos con regularidad. Mantenerse al día con cambios constantes puede parecer abrumador. Los clientes necesitan proveedores de servicios en la nube para proporcionarles prácticas recomendadas para mantenerse al día con el cambio, comenzando con las prácticas recomendadas de forma predeterminada y con una configuración segura de referencia.
• Si bien dividir los elementos por servicios en la nube es útil, muchas empresas tienen cargas de trabajo que requieren varios tipos de servicios en la nube. En esta circunstancia, debes considerar cómo interactúan los diversos controles de seguridad de estos servicios, incluido si se superponen entre sí y entre los servicios. Por ejemplo, es posible que tengas una aplicación local que migres a Compute Engine, uses Google Workspace para el correo electrónico corporativo y también ejecutes BigQuery a fin de analizar datos a fin de mejorar tus productos.
• Tu negocio y tus mercados cambian constantemente; a medida que cambian las normativas, a medida que ingresas a nuevos mercados o cuando adquieres otras empresas. Es posible que tus mercados nuevos tengan requisitos diferentes, y tu nueva adquisición podría alojar sus cargas de trabajo en otra nube. Si deseas administrar los cambios frecuentes, debes volver a evaluar de forma constante el perfil de riesgo y poder implementar controles nuevos con rapidez.
• Cómo y dónde administrar tus claves de encriptación de datos es una decisión importante que está vinculada con tus responsabilidades para proteger tus datos. La opción que elijas depende de tus requisitos normativos, ya sea que ejecutes un entorno de nube híbrida o aún tengas un entorno local, y la sensibilidad de los datos que procesas y el almacenamiento.
• La administración de incidentes es un área importante que, a menudo, no se tiene en cuenta, y donde tus responsabilidades y las del proveedor de servicios en la nube no se definen con facilidad. Muchos incidentes requieren una estrecha colaboración y asistencia del proveedor de servicios en la nube para investigarlos y mitigarlos. Otros incidentes pueden ser el resultado de recursos en la nube mal configurados o de credenciales robadas, y puede ser muy difícil garantizar que cumplas con las prácticas recomendadas para proteger los recursos y las cuentas.
• Las amenazas persistentes avanzadas (APT) y las vulnerabilidades nuevas pueden afectar tus cargas de trabajo de maneras que quizás no tengas en cuenta cuando comiences tu transformación en la nube. Es difícil garantizar que estés al tanto del panorama cambiante y quién es responsable de la mitigación de amenazas, en especial si tu empresa no tiene un equipo de seguridad grande.

Destino compartido

Desarrollamos el destino compartido en Google Cloud para comenzar a abordar los desafíos que no aborda el modelo de responsabilidad compartida. El destino compartido se enfoca en cómo todas las partes pueden interactuar mejor para mejorar la seguridad de forma continua. El destino compartido se basa en el modelo de responsabilidad compartida porque considera la relación entre el proveedor de servicios en la nube y el cliente como una asociación continua para mejorar la seguridad.

El destino compartido consiste en que asumamos la responsabilidad de hacer que Google Cloudsea más seguro. El destino compartido incluye ayudarte a comenzar a usar una zona de destino segura y ser claro y transparente sobre los controles de seguridad, la configuración y las prácticas recomendadas asociadas. Esto incluye ayudarte a cuantificar y administrar mejor tu riesgo con seguros cibernéticos a través de nuestro Programa de protección contra riesgos. Con el destino compartido, queremos evolucionar del marco de trabajo de responsabilidad compartida estándar a un modelo mejor que te ayude a proteger tu empresa y generar confianza en Google Cloud.

En las siguientes secciones, se describen varios componentes del destino compartido.

Obtén ayuda para comenzar

Un componente clave del destino compartido son los recursos que proporcionamos para ayudarte a comenzar, en una configuración segura en Google Cloud. Comenzar con una configuración segura reduce el problema de los parámetros de configuración incorrectos, que es la causa raíz de la mayoría de las violaciones de seguridad.

Nuestros recursos incluyen lo siguiente:

• Plano de bases empresariales que analiza las principales inquietudes de seguridad y nuestras recomendaciones principales.

• Planos seguros que te permiten implementar y mantener soluciones seguras mediante la infraestructura como código (IaC). Los Blueprints tienen habilitadas nuestras recomendaciones de seguridad de forma predeterminada. Los equipos de seguridad de Google crean muchos planos y estos se administran como productos. Esta asistencia significa que se actualizan con regularidad, se someten a un proceso de prueba riguroso y reciben certificaciones de grupos de prueba externos. Los planos incluyen el plano de las bases empresariales y el plano del almacén de datos seguro.

• Google Cloud Prácticas recomendadas del framework de arquitectura bien diseñada que abordan las recomendaciones principales para incorporar la seguridad en tus diseños. El framework de arquitectura bien diseñada incluye una sección de seguridad y una zona de la comunidad que puedes usar para conectarte con expertos y pares.

• Guías de navegación de la zona de destino que te guiarán a través de las decisiones principales que debes tomar para crear una base segura en tus cargas de trabajo, incluida la jerarquía de recursos, la integración de identidades, la seguridad y la administración de claves, y la estructura de red.

Programa de protección contra riesgos

El destino compartido también incluye el Programa de protección contra riesgos (actualmente en versión preliminar), que te ayuda a usar la potencia de Google Cloud como una plataforma para administrar el riesgo, en lugar de solo ver cargas de trabajo en la nube como otra fuente de riesgo que necesitas administrar. El Programa de protección contra riesgos es una colaboración entre Google Cloud y dos empresas líderes de seguros cibernéticos, Munich Re y Allianz Global & Corporate Speciality.

El Programa de protección contra riesgos incluye el administrador de riesgos, que proporciona estadísticas basadas en datos que puedes usar para comprender mejor tu posición de seguridad en la nube. Si buscas cobertura de seguros cibernéticos, puedes compartir estas estadísticas del administrador de riesgos directamente con nuestros socios de seguros para obtener una cotización. Para obtener más información, consulta Google Cloud Programa de protección contra riesgos ahora en versión preliminar.

Ayuda con la implementación y la administración

El destino compartido también te ayuda con la administración continua de tu entorno. Por ejemplo, enfocamos nuestros esfuerzos en productos como los siguientes:

• Assured Workloads, que te ayuda a cumplir con tus obligaciones de cumplimiento.
• Security Command Center Premium, que usa inteligencia de amenazas, detección de amenazas, análisis web y otros métodos avanzados para supervisar y detectar amenazas. También proporciona una forma de resolver muchas de estas amenazas de forma rápida y automática.
• Políticas de la organización y configuración de recursos que te permiten establecer políticas en toda tu jerarquía de carpetas y proyectos.
• Herramientas de Policy Intelligence que te ofrecen estadísticas sobre el acceso a cuentas y recursos.
• Confidential Computing, que te permite encriptar los datos en uso.
• Controles soberanos de los socios, que está disponible en ciertos países y ayuda a aplicar los requisitos de residencia de datos.

Aplicación de la responsabilidad compartida y el destino compartido

Como parte de tu proceso de planificación, considera las siguientes acciones para ayudarte a comprender e implementar los controles de seguridad adecuados:

• Crea una lista de los tipos de cargas de trabajo que alojarás enGoogle Cloudy si requieren servicios IaaS, PaaS y SaaS. Puedes usar el diagrama de responsabilidad compartida como una lista de tareas para asegurarte de conocer los controles de seguridad que debes considerar.
• Crea una lista de requisitos normativos que debes cumplir y accede a recursos en el Centro de recursos de cumplimiento relacionados con esos requisitos.
• Revisa la lista de planos y arquitecturas disponibles en el Centro de arquitectura para ver los controles de seguridad que necesitas para las cargas de trabajo determinadas. Los planos proporcionan una lista de los controles recomendados y el código de IaC que necesitas para implementar esa arquitectura.
• Usa la documentación de la zona de destino y las recomendaciones de la guía de bases empresariales para diseñar una jerarquía de recursos y una arquitectura de red que cumpla con tus requisitos. Puedes usar los planos de carga de trabajo bien definidos, como el de almacén de datos seguro, para acelerar el proceso de desarrollo.
• Después de implementar tus cargas de trabajo, verifica que cumplas con tus responsabilidades de seguridad mediante servicios como Risk Manager, Assured Workloads, las herramientas de Policy Intelligence y Security Command Center Premium.

Para obtener más información, consulta el informe "CISO's Guide to Cloud Transformation" (Guía de CISO para la transformación a la nube).

¿Qué sigue?

• Revisa los principios básicos de seguridad.
• Mantente al día con los recursos de destino compartidos.
• Familiarízate con los planos disponibles, incluidos el plano de bases de seguridad y los ejemplos de carga de trabajo, como el almacén de datos seguro.
• Obtén más información sobre el destino compartido.
• Obtén información sobre nuestra infraestructura segura subyacente en la descripción general del diseño de seguridad de la infraestructura de Google.
• Obtén información para implementar las prácticas recomendadas del marco de trabajo de seguridad cibernética de NIST en Google Cloud (PDF).