En este documento, se describen las diferencias entre el modelo de responsabilidad compartida y el destino compartido en Google Cloud. Se analizan los desafíos y matices del modelo de responsabilidad compartida. En este documento, se describe qué es el destino compartido y cómo nos asociamos con los clientes para abordar las comprobaciones de seguridad en la nube.
Comprender el modelo de responsabilidad compartida es importante para determinar cómo proteger mejor tus datos y cargas de trabajo en Google Cloud. En el modelo de responsabilidad compartida, se describen las tareas que tienes en relación con la seguridad en la nube y cómo estas tareas son diferentes para los proveedores de servicios en la nube.
Sin embargo, comprender la responsabilidad compartida puede ser un desafío. El modelo requiere una mejor comprensión de cada servicio que usas, las opciones de configuración que proporciona cada servicio y lo que Google Cloud hace para proteger el servicio. Cada servicio tiene un perfil de configuración diferente y puede ser difícil determinar la mejor configuración de seguridad. Google considera que el modelo de responsabilidad compartida deja de ayudar a los clientes de Cloud a lograr mejores resultados de seguridad. En lugar de la responsabilidad compartida, creemos en el destino compartido.
El destino compartido incluye la creación y la operación de una plataforma de nube confiable para tus cargas de trabajo. Proporcionamos asesoramiento de prácticas recomendadas, código de infraestructura certificado y seguro que puedes usar para implementar tus cargas de trabajo de manera segura. Lanzamos soluciones que combinan varios servicios de Google Cloud a fin de resolver problemas de seguridad complejos y ofrecemos opciones de seguros innovadoras que te ayudarán a medir y mitigar los riesgos que debes aceptar. El destino compartido nos hace interactuar de forma más estrecha contigo a medida que proteges tus recursos en Google Cloud.
Responsabilidad compartida
Eres el experto en conocer los requisitos normativos y de seguridad de tu empresa, y conocer los requisitos de protección de tus datos y recursos confidenciales. Cuando ejecutas tus cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que necesitas configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:
- Tus obligaciones de cumplimiento de la reglamentación
- Los estándares de seguridad y el plan de administración de riesgos de tu organización
- Los requisitos de seguridad de tus clientes y proveedores
Definido por las cargas de trabajo
Por lo general, las responsabilidades se definen según el tipo de carga de trabajo que ejecutas y los servicios en la nube que necesitas. Los servicios en la nube incluyen las siguientes categorías:
| Servicio de Cloud | Descripción |
|---|---|
| Infraestructura como servicio (IaaS) | Los servicios de IaaS incluyen los siguientes:Compute Engine, Cloud Storage y servicios de Herramientas de redes, comoCloud VPN, Cloud Load Balancing y Cloud DNS.
IaaS ofrece servicios de procesamiento, almacenamiento y redes a pedido de pago por uso. Puedes usar IaaS si planeas migrar una carga de trabajo local existente a la nube mediante lift-and-shift, o si deseas ejecutar la aplicación en VMs específicas, mediante bases de datos específicas o las configuraciones de red. En IaaS, la mayoría de las responsabilidades de seguridad son tuyas, y nuestras responsabilidades se enfocan en la infraestructura subyacente y la seguridad física. |
| Plataforma como servicio (PaaS) | Los servicios de PaaS incluyen App Engine, Google Kubernetes Engine (GKE) y BigQuery.
PaaS proporciona el entorno de ejecución en el que puedes desarrollar y ejecutar tus aplicaciones. Puedes usar PaaS si compilas una aplicación (como un sitio web) y deseas enfocarte en el desarrollo y no en la infraestructura subyacente. En PaaS, somos más responsables de los controles que en IaaS, incluidos los de red. Compartes la responsabilidad con nosotros para los controles a nivel de la aplicación y la administración de IAM. Eres responsable de la seguridad de tus datos y la protección del cliente. |
| Software como servicio (SaaS) | Las aplicaciones de SaaS incluyen aplicaciones de Google Workspace, Chronicle y de SaaS de terceros disponibles en Google Cloud Marketplace.
SaaS proporciona aplicaciones en línea a las que puedes suscribirte o pagar de alguna manera. Puedes usar aplicaciones de SaaS cuando tu empresa no tiene la experiencia interna o el requisito empresarial de compilar la aplicación, pero requiere la capacidad de procesar cargas de trabajo. En SaaS, somos dueños de la mayor parte de las responsabilidades de seguridad. Eres responsable de tus controles de acceso y los datos que eliges almacenar en la aplicación. |
| Función como servicio (FaaS) o sin servidores | FaaS proporciona la plataforma para que los desarrolladores ejecuten un código pequeño y de un solo propósito (llamado funciones) que se ejecutan en respuesta a eventos particulares. Debes usar FaaS cuando deseas que ocurran acciones concretas en función de un evento determinado. Por ejemplo, puedes crear una función que se ejecute cada vez que se suban datos a Cloud Storage para que se puedan clasificar. FaaS tiene una lista de responsabilidad compartida similar a la de SaaS. Cloud Functions es una aplicación de FaaS. |
En el siguiente diagrama, se muestran los servicios en la nube y se define cómo se comparten las responsabilidades entre el proveedor de servicios en la nube y el cliente.
Como se muestra en el diagrama, el proveedor de servicios en la nube siempre es responsable de la infraestructura y la red subyacente, y los clientes siempre son responsables de sus datos y políticas de acceso.
Definido por el sector y el marco regulatorio
Varias industrias tienen frameworks regulatorios que definen los controles de seguridad que se deben implementar. Cuando transfieres tus cargas de trabajo a la nube, debes comprender lo siguiente:
- Qué controles de seguridad son tu responsabilidad
- Qué controles de seguridad están disponibles como parte de la oferta en la nube
- Qué controles de seguridad predeterminados se heredan
Los controles de seguridad heredados (como nuestros controles de infraestructura predeterminados y de infraestructura) son controles que puedes proporcionar como parte de la evidencia de tu posición de seguridad a los auditores y los reguladores. Por ejemplo, las Normas de seguridad de los datos de la industria de tarjetas de pago (PCI DSS) definen las reglamentaciones para los procesadores de pagos. Cuando trasladas tu negocio a la nube, estas reglamentaciones se comparten entre tú y el CSP. Para comprender cómo se comparten las responsabilidades de PCI DSS entre tú y Google Cloud, consulta Matriz de responsabilidad compartida de PCI DSS.
Como otro ejemplo, en los Estados Unidos, la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) estableció estándares para manejar la información de salud personal (PHI) electrónica. Estas responsabilidades también se comparten entre el CSP y tú. Para obtener más información sobre cómo Google Cloud cumple con nuestras responsabilidades en virtud de la HIPAA, consulta HIPAA: cumplimiento.
Otras industrias (por ejemplo, finanzas o fabricación) también tienen reglamentaciones que definen cómo se pueden recopilar, procesar y almacenar los datos. Para obtener más información sobre la responsabilidad compartida relacionada con estas y cómo Google Cloud cumple con nuestras responsabilidades, consulta Centro de recursos de cumplimiento.
Definido por ubicación
Según la situación de tu empresa, es posible que debas considerar tus responsabilidades según la ubicación de las oficinas comerciales, los clientes y los datos. Los diferentes países y regiones crearon reglamentaciones que informan cómo puedes procesar y almacenar los datos de tus clientes. Por ejemplo, si tu empresa tiene clientes que residen en la Unión Europea, es posible que tu empresa deba cumplir con los requisitos que se describen en el Reglamento General de Protección de Datos (RGPD) y es posible que debas mantener los datos de tus clientes en la UE. En esta circunstancia, eres responsable de garantizar que los datos que recopiles permanezcan en las regiones de Google Cloud en la UE. Para obtener más información sobre cómo cumplimos nuestras obligaciones del RGPD, consulta RGPD y Google Cloud.
Para obtener información sobre los requisitos relacionados con tu región, consulta Ofertas de cumplimiento. Si tu situación es particularmente complicada, te recomendamos que hables con nuestro equipo de ventas o uno de nuestros socios para ayudarte a evaluar tus responsabilidades de seguridad.
Desafíos para la responsabilidad compartida
Aunque la responsabilidad compartida ayuda a definir los roles de seguridad que tú o el proveedor de servicios en la nube tienen, confiar en la responsabilidad compartida aún puede crear desafíos. Considere estas situaciones:
- La mayoría de las violaciones de la seguridad de la nube son el resultado directo de una configuración incorrecta (que se muestra como número 3 en el informe Pandemic 11 de Cloud Security Alliance), y se espera que esta tendencia aumente. Los productos de Cloud cambian de forma constante, y se lanzan nuevos con regularidad. Mantenerse al día con cambios constantes puede parecer abrumador. Los clientes necesitan proveedores de servicios en la nube a fin de proporcionarles prácticas recomendadas para mantenerse al día con el cambio, a partir de las prácticas recomendadas de forma predeterminada y con una configuración segura de referencia.
- Si bien es útil dividir los elementos por servicio en la nube, muchas empresas tienen cargas de trabajo que requieren varios tipos de servicios en la nube. En esta circunstancia, debes considerar cómo interactúan varios controles de seguridad para estos servicios, incluida su superposición entre los servicios. Por ejemplo, es posible que tengas una aplicación local que migres a Compute Engine, uses Google Workspace para el correo electrónico corporativo y también ejecutes BigQuery a fin de analizar datos a fin de mejorar tus productos.
- Tu negocio y tus mercados cambian constantemente; a medida que cambian las normativas, a medida que ingresas a nuevos mercados o cuando adquieres otras empresas. Los mercados nuevos pueden tener requisitos diferentes, y la adquisición nueva puede alojar las cargas de trabajo en otra nube. Si deseas administrar los cambios frecuentes, debes volver a evaluar de forma constante el perfil de riesgo y poder implementar controles nuevos con rapidez.
- Cómo y dónde administrar las claves de encriptación de datos es una decisión importante que se relaciona con tus responsabilidades para proteger tus datos. La opción que elijas depende de tus requisitos normativos, ya sea que ejecutes un entorno de nube híbrida o aún tengas un entorno local, y la sensibilidad de los datos que procesas y el almacenamiento.
- La administración de incidentes es un área importante que, a menudo, no se tiene en cuenta, y donde tus responsabilidades y las del proveedor de servicios en la nube no se definen con facilidad. Muchos incidentes requieren una estrecha colaboración y asistencia del proveedor de servicios en la nube para investigarlos y mitigarlos. Otros incidentes pueden ser el resultado de recursos en la nube mal configurados o de credenciales robadas, y puede ser muy difícil garantizar que cumplas con las prácticas recomendadas para proteger los recursos y las cuentas.
- Las amenazas persistentes avanzadas (APT) y las vulnerabilidades nuevas pueden afectar las cargas de trabajo de formas que tal vez no consideres cuando inicias la transformación en la nube. Es difícil garantizar que estés al tanto del panorama cambiante y quién es responsable de la mitigación de amenazas, en especial si tu empresa no tiene un equipo de seguridad grande.
Destino compartido
Desarrollamos un destino compartido en Google Cloud para comenzar a abordar los desafíos que no aborda el modelo de responsabilidad compartida. El destino compartido se centra en cómo todas las partes pueden interactuar mejor para mejorar la seguridad de forma continua. El destino compartido se basa en el modelo de responsabilidad compartida, ya que considera la relación entre el proveedor de servicios en la nube y el cliente como una asociación continua para mejorar la seguridad.
El destino compartido consiste en que asumamos la responsabilidad de hacer que Google Cloud sea más seguro. El destino compartido incluye ayudarte a comenzar a usar una zona de destino segura y ser claro y transparente sobre los controles de seguridad, la configuración y las prácticas recomendadas asociadas. Incluye ayudarte a cuantificar mejor y administrar tu riesgo con el seguro cibernético mediante nuestro Programa de protección contra riesgos. Con el destino compartido, queremos evolucionar desde el framework estándar de responsabilidad compartida hasta un modelo mejor que te ayude a proteger tu empresa y generar confianza en Google Cloud.
En las siguientes secciones, se describen varios componentes del destino compartido.
Obtén ayuda para comenzar
Un componente clave del destino compartido son los recursos que proporcionamos para ayudarte a comenzar, en una configuración segura en Google Cloud. Comenzar con una configuración segura reduce el problema de los parámetros de configuración incorrectos, que es la causa raíz de la mayoría de las violaciones de seguridad.
Nuestros recursos incluyen lo siguiente:
- Bases de seguridad en las que se analizan las principales inquietudes de seguridad y nuestras principales recomendaciones.
Planos seguros que te permiten implementar y mantener soluciones seguras mediante la infraestructura como código (IaC). Los planos tienen nuestras recomendaciones de seguridad habilitadas de forma predeterminada. Los equipos de seguridad de Google crean muchos planos y se administran como productos. Esta asistencia significa que se actualizan con regularidad, pasa por un proceso de prueba riguroso y recibe certificaciones de grupos de pruebas de terceros. Los planos incluyen el plano de las bases de seguridad, el plano del almacén de datos seguro y el plano de notebooks de Vertex AI Workbench.
Las prácticas recomendadas del framework de arquitectura abordan las recomendaciones principales para incorporar seguridad en tus diseños. El framework de arquitectura incluye una sección de seguridad y una zona de la comunidad que puedes usar para conectarte con expertos y pares.
Guías de navegación de la zona de destino que te guiarán a través de las decisiones principales que necesitas tomar para crear una base segura en tus cargas de trabajo, incluida la jerarquía de recursos, la integración de identidades, la seguridad y la administración de claves y la estructura de red.
Programa de Protección Contra Riesgos
El destino compartido también incluye el Programa de protección contra riesgos (actualmente en vista previa), que te ayuda a usar la potencia de Google Cloud como una plataforma para administrar el riesgo, en lugar de solo ver cargas de trabajo en la nube como otra fuente de riesgo que necesitas administrar. El Programa de protección contra riesgos es una colaboración entre Google Cloud y dos empresas líderes de seguros cibernéticos, Munich Re y Allianz Global & Corporate Speciality.
El Programa de protección contra riesgos incluye Risk Manager, que proporciona estadísticas basadas en datos que puedes usar para comprender mejor tu posición de seguridad en la nube. Si buscas cobertura de seguros cibernéticos, puedes compartir estas estadísticas desde el administrador de riesgos directamente con nuestros socios de seguros para obtener una cotización. Si deseas obtener más información, consulta Programa de protección contra riesgos de Google Cloud ahora en versión preliminar.
Ayuda con la implementación y la administración
El destino compartido también ayuda a administrar de forma continua el entorno. Por ejemplo, enfocamos los esfuerzos en productos como los siguientes:
- Assured Workloads, que te ayuda a cumplir con las obligaciones de cumplimiento.
- Security Command Center Premium, que usa inteligencia de amenazas, detección de amenazas, análisis web y otros métodos avanzados para supervisar y detectar amenazas. También proporciona una manera de resolver muchas de estas amenazas con rapidez y de forma automática.
- Políticas de la organización y configuración de recursos que te permiten configurar políticas en toda tu jerarquía de carpetas y proyectos.
- Herramientas de Policy Intelligence que te ofrecen estadísticas sobre el acceso a cuentas y recursos.
- Confidential Computing, que te permite encriptar los datos en uso.
- Sovereign Cloud, que está disponible en Alemania y, además, implementa los requisitos de residencia de datos.
Aplicación de la responsabilidad compartida y el destino compartido
Como parte de tu proceso de planificación, considera las siguientes acciones para ayudarte a comprender e implementar los controles de seguridad adecuados:
- Crea una lista de los tipos de cargas de trabajo que alojarás en Google Cloud y si requieren servicios IaaS, PaaS y SaaS. Puedes usar el diagrama de responsabilidad compartida como una lista de tareas para asegurarte de conocer los controles de seguridad que debes tener en cuenta.
- Crea una lista de requisitos normativos que debes cumplir y accede a los recursos en el Centro de recursos de cumplimiento que se relacionan con esos requisitos.
- Revisa la lista de planos y arquitecturas disponibles en el Centro de arquitectura a fin de ver los controles de seguridad que necesitas para las cargas de trabajo determinadas. Los planos proporcionan una lista de controles recomendados y el código de IaC que necesitas para implementar esa arquitectura.
- Usa la documentación de la zona de destino y las recomendaciones de la guía de bases de seguridad para diseñar una jerarquía de recursos y una arquitectura de red que cumpla con tus requisitos. Puedes usar los planos de la carga de trabajo revisadas, como el almacén de datos seguro, para acelerar el proceso de desarrollo.
- Después de implementar tus cargas de trabajo, verifica que cumplas con tus responsabilidades de seguridad mediante servicios como Risk Manager, Assured Workloads, las herramientas de Policy Intelligence y Security Command Center Premium.
Si deseas obtener más información, consulta el documento sobre la guía de CISO para la transformación de Cloud.
¿Qué sigue?
- Consulta Principios de seguridad (siguiente documento de esta serie).
- Familiarízate con los planos disponibles, incluidos los planos de base de seguridad y los ejemplos de cargas de trabajo, como el almacén de datos seguro.
- Obtén más información sobre el destino compartido.
- Obtén información sobre nuestra infraestructura segura subyacente en la descripción general del diseño de seguridad de la infraestructura de Google.
- Lee cómo implementar las prácticas recomendadas del framework de seguridad cibernética NIST en Google Cloud (PDF).