Responsabilidades compartidas y destino compartido en Google Cloud

Last reviewed 2023-08-21 UTC

En este documento, se describen las diferencias entre el modelo de responsabilidad compartida y el destino compartido en Google Cloud. Se analizan los desafíos y matices del modelo de responsabilidad compartida. En este documento, se describe qué es el destino compartido y cómo nos asociamos con los clientes para abordar las comprobaciones de seguridad en la nube.

Comprender el modelo de responsabilidad compartida es importante para determinar cómo proteger mejor tus datos y cargas de trabajo en Google Cloud. El modelo de responsabilidad compartida describe las tareas que tienes en cuanto a la seguridad en la nube y cómo estas tareas son diferentes para los proveedores de servicios en la nube.

Sin embargo, comprender la responsabilidad compartida puede ser un desafío. El modelo requiere una mejor comprensión de cada servicio que usas, las opciones de configuración que proporciona cada servicio y lo que Google Cloudhace para proteger el servicio. Cada servicio tiene un perfil de configuración diferente, y puede ser difícil determinar la mejor configuración de seguridad. Google considera que el modelo de responsabilidad compartida deja de ayudar a los clientes de Cloud a lograr mejores resultados de seguridad. En lugar de la responsabilidad compartida, creemos en el destino compartido.

El destino compartido incluye la creación y la operación de una plataforma de nube confiable para tus cargas de trabajo. Proporcionamos asesoramiento de prácticas recomendadas, código de infraestructura certificado y seguro que puedes usar para implementar tus cargas de trabajo de manera segura. Lanzamos soluciones que combinan varios servicios de Google Cloud para resolver problemas de seguridad complejos y ofrecemos opciones de seguros innovadoras que te ayudarán a medir y mitigar los riesgos que debes aceptar. El destino compartido nos hace interactuar de forma más estrecha contigo a medida que proteges tus recursos enGoogle Cloud.

Responsabilidad compartida

Eres el experto en conocer los requisitos normativos y de seguridad de tu empresa, y conocer los requisitos de protección de tus datos y recursos confidenciales. Cuando ejecutas las cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que necesitas configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:

  • Tus obligaciones de cumplimiento de la reglamentación
  • Los estándares de seguridad y el plan de administración de riesgos de tu organización
  • Los requisitos de seguridad de tus clientes y proveedores

Definido por las cargas de trabajo

Tradicionalmente, las responsabilidades se definen en función del tipo de carga de trabajo que ejecutas y los servicios en la nube que necesitas. Los servicios en la nube incluyen las siguientes categorías:

Servicio de Cloud Descripción
Infraestructura como servicio (IaaS) Los servicios de IaaS incluyen los siguientes:Compute Engine, Cloud Storage y servicios de Herramientas de redes, comoCloud VPN, Cloud Load Balancing y Cloud DNS.

IaaS ofrece servicios de procesamiento, almacenamiento y redes a pedido de pago por uso. Puedes usar IaaS si planeas migrar una carga de trabajo local existente a la nube mediante lift-and-shift, o si deseas ejecutar la aplicación en VMs específicas, mediante bases de datos específicas o las configuraciones de red.

En la IaaS, la mayor parte de las responsabilidades de seguridad son tuyas, y nuestras responsabilidades se centran en la infraestructura subyacente y la seguridad física.

Plataforma como servicio (PaaS) Los servicios de PaaS incluyen App Engine, Google Kubernetes Engine (GKE) y BigQuery.

La PaaS proporciona el entorno de ejecución en el que puedes desarrollar y ejecutar tus aplicaciones. Puedes usar PaaS si compilas una aplicación (como un sitio web) y deseas enfocarte en el desarrollo y no en la infraestructura subyacente.

En PaaS, somos responsables de más controles que en IaaS. Por lo general, esto variará según los servicios y las funciones que uses. Compartes la responsabilidad con nosotros para la administración de IAM y los controles a nivel de la aplicación. Eres responsable de la seguridad de tus datos y la protección de los clientes.

Software como servicio (SaaS) Las aplicaciones de SaaS incluyen aplicaciones de Google Workspace, Google Security Operations y de SaaS de terceros disponibles en Google Cloud Marketplace.

El SaaS proporciona aplicaciones en línea a las que puedes suscribirte o pagar de alguna manera. Puedes usar aplicaciones de SaaS cuando tu empresa no tiene la experiencia interna o el requisito empresarial de compilar la aplicación, pero requiere la capacidad de procesar cargas de trabajo.

En SaaS, somos responsables de la mayor parte de las responsabilidades de seguridad. Eres responsable de los controles de acceso y los datos que eliges almacenar en la aplicación.

Función como servicio (FaaS) o sin servidores

La FaaS proporciona la plataforma para que los desarrolladores ejecuten código pequeño de un solo propósito (llamado funciones) que se ejecuta en respuesta a eventos particulares. Debes usar FaaS cuando deseas que ocurran acciones concretas en función de un evento determinado. Por ejemplo, puedes crear una función que se ejecute cada vez que se suban datos a Cloud Storage para que se puedan clasificar.

FaaS tiene una lista de responsabilidades compartidas similar a la de SaaS. Funciones de Cloud Run es una aplicación de FaaS.

En el siguiente diagrama, se muestran los servicios en la nube y se define cómo se comparten las responsabilidades entre el proveedor de servicios en la nube y el cliente.

Responsabilidades de seguridad compartida

Como se muestra en el diagrama, el proveedor de servicios en la nube siempre es responsable de la red y la infraestructura subyacentes, y los clientes siempre son responsables de sus datos y políticas de acceso.

Definido por el sector y el marco regulatorio

Varios sectores tienen marcos regulatorios que definen los controles de seguridad que se deben implementar. Cuando trasladas tus cargas de trabajo a la nube, debes tener en cuenta lo siguiente:

  • Qué controles de seguridad son tu responsabilidad
  • Qué controles de seguridad están disponibles como parte de la oferta en la nube
  • Qué controles de seguridad predeterminados se heredan

Los controles de seguridad heredados (como nuestros controles de infraestructura predeterminados y de infraestructura) son controles que puedes proporcionar como parte de la evidencia de tu posición de seguridad a los auditores y los reguladores. Por ejemplo, las Normas de seguridad de los datos de la industria de tarjetas de pago (PCI DSS) definen las reglamentaciones para los procesadores de pagos. Cuando trasladas tu negocio a la nube, estas reglamentaciones se comparten entre tú y el CSP. Para comprender cómo se comparten las responsabilidades de PCI DSS entre tú yGoogle Cloud, consulta Google Cloud: Matriz de responsabilidad compartida de PCI DSS.

Como otro ejemplo, en los Estados Unidos, la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) estableció estándares para manejar la información de salud personal (PHI) electrónica. El CSP y tú también comparten estas responsabilidades. Para obtener más información sobre cómo Google Cloud cumple con nuestras responsabilidades en virtud de la HIPAA, consulta HIPAA: Cumplimiento.

Otras industrias (por ejemplo, finanzas o fabricación) también tienen reglamentaciones que definen cómo se pueden recopilar, procesar y almacenar los datos. Para obtener más información sobre la responsabilidad compartida relacionada con estos temas y cómoGoogle Cloud cumple con nuestras responsabilidades, consulta el Centro de recursos de cumplimiento.

Definido por ubicación

Según la situación de tu empresa, es posible que debas considerar tus responsabilidades según la ubicación de las oficinas comerciales, los clientes y los datos. Los diferentes países y regiones crearon reglamentaciones que informan cómo puedes procesar y almacenar los datos de tus clientes. Por ejemplo, si tu empresa tiene clientes que residen en la Unión Europea, es posible que tu empresa deba cumplir con los requisitos que se describen en el Reglamento General de Protección de Datos (RGPD) y es posible que debas mantener los datos de tus clientes en la UE. En esta circunstancia, usted es responsable de garantizar que los datos que recopila permanezcan en las regiones deGoogle Cloud en la UE. Para obtener más información sobre cómo cumplimos nuestras obligaciones del RGPD, consulta RGPD y Google Cloud.

Para obtener información sobre los requisitos relacionados con tu región, consulta Ofertas de cumplimiento. Si tu situación es particularmente complicada, te recomendamos que hables con nuestro equipo de ventas o uno de nuestros socios para ayudarte a evaluar tus responsabilidades de seguridad.

Desafíos para la responsabilidad compartida

Aunque la responsabilidad compartida ayuda a definir los roles de seguridad que tú o el proveedor de servicios en la nube tienen, confiar en la responsabilidad compartida aún puede crear desafíos. Considere estas situaciones:

  • La mayoría de las violaciones de la seguridad de la nube son el resultado directo de una configuración incorrecta (que se muestra como número 3 en el informe Pandemic 11 de Cloud Security Alliance), y se espera que esta tendencia aumente. Los productos de Cloud cambian de forma constante, y se lanzan nuevos con regularidad. Mantenerse al día con cambios constantes puede parecer abrumador. Los clientes necesitan proveedores de servicios en la nube para proporcionarles prácticas recomendadas para mantenerse al día con el cambio, comenzando con las prácticas recomendadas de forma predeterminada y con una configuración segura de referencia.
  • Si bien dividir los elementos por servicios en la nube es útil, muchas empresas tienen cargas de trabajo que requieren varios tipos de servicios en la nube. En esta circunstancia, debes considerar cómo interactúan los diversos controles de seguridad de estos servicios, incluido si se superponen entre sí y entre los servicios. Por ejemplo, es posible que tengas una aplicación local que migres a Compute Engine, uses Google Workspace para el correo electrónico corporativo y también ejecutes BigQuery a fin de analizar datos a fin de mejorar tus productos.
  • Tu negocio y tus mercados cambian constantemente; a medida que cambian las normativas, a medida que ingresas a nuevos mercados o cuando adquieres otras empresas. Es posible que tus mercados nuevos tengan requisitos diferentes, y tu nueva adquisición podría alojar sus cargas de trabajo en otra nube. Si deseas administrar los cambios frecuentes, debes volver a evaluar de forma constante el perfil de riesgo y poder implementar controles nuevos con rapidez.
  • Cómo y dónde administrar tus claves de encriptación de datos es una decisión importante que está vinculada con tus responsabilidades para proteger tus datos. La opción que elijas depende de tus requisitos normativos, ya sea que ejecutes un entorno de nube híbrida o aún tengas un entorno local, y la sensibilidad de los datos que procesas y el almacenamiento.
  • La administración de incidentes es un área importante que, a menudo, no se tiene en cuenta, y donde tus responsabilidades y las del proveedor de servicios en la nube no se definen con facilidad. Muchos incidentes requieren una estrecha colaboración y asistencia del proveedor de servicios en la nube para investigarlos y mitigarlos. Otros incidentes pueden ser el resultado de recursos en la nube mal configurados o de credenciales robadas, y puede ser muy difícil garantizar que cumplas con las prácticas recomendadas para proteger los recursos y las cuentas.
  • Las amenazas persistentes avanzadas (APT) y las vulnerabilidades nuevas pueden afectar tus cargas de trabajo de maneras que quizás no tengas en cuenta cuando comiences tu transformación en la nube. Es difícil garantizar que estés al tanto del panorama cambiante y quién es responsable de la mitigación de amenazas, en especial si tu empresa no tiene un equipo de seguridad grande.

Destino compartido

Desarrollamos el destino compartido en Google Cloud para comenzar a abordar los desafíos que no aborda el modelo de responsabilidad compartida. El destino compartido se enfoca en cómo todas las partes pueden interactuar mejor para mejorar la seguridad de forma continua. El destino compartido se basa en el modelo de responsabilidad compartida porque considera la relación entre el proveedor de servicios en la nube y el cliente como una asociación continua para mejorar la seguridad.

El destino compartido consiste en que asumamos la responsabilidad de hacer que Google Cloudsea más seguro. El destino compartido incluye ayudarte a comenzar a usar una zona de destino segura y ser claro y transparente sobre los controles de seguridad, la configuración y las prácticas recomendadas asociadas. Esto incluye ayudarte a cuantificar y administrar mejor tu riesgo con seguros cibernéticos a través de nuestro Programa de protección contra riesgos. Con el destino compartido, queremos evolucionar del marco de trabajo de responsabilidad compartida estándar a un modelo mejor que te ayude a proteger tu empresa y generar confianza en Google Cloud.

En las siguientes secciones, se describen varios componentes del destino compartido.

Obtén ayuda para comenzar

Un componente clave del destino compartido son los recursos que proporcionamos para ayudarte a comenzar, en una configuración segura en Google Cloud. Comenzar con una configuración segura reduce el problema de los parámetros de configuración incorrectos, que es la causa raíz de la mayoría de las violaciones de seguridad.

Nuestros recursos incluyen lo siguiente:

  • Plano de bases empresariales que analiza las principales inquietudes de seguridad y nuestras recomendaciones principales.
  • Planos seguros que te permiten implementar y mantener soluciones seguras mediante la infraestructura como código (IaC). Los Blueprints tienen habilitadas nuestras recomendaciones de seguridad de forma predeterminada. Los equipos de seguridad de Google crean muchos planos y estos se administran como productos. Esta asistencia significa que se actualizan con regularidad, se someten a un proceso de prueba riguroso y reciben certificaciones de grupos de prueba externos. Los planos incluyen el plano de las bases empresariales y el plano del almacén de datos seguro.

  • Prácticas recomendadas del framework de arquitectura que abordan las recomendaciones principales para incorporar la seguridad en tus diseños. El framework de arquitectura incluye una sección de seguridad y una zona de la comunidad que puedes usar para conectarte con expertos y pares.

  • Guías de navegación de la zona de destino que te guiarán a través de las decisiones principales que debes tomar para crear una base segura en tus cargas de trabajo, incluida la jerarquía de recursos, la integración de identidades, la seguridad y la administración de claves, y la estructura de red.

Programa de protección contra riesgos

El destino compartido también incluye el Programa de protección contra riesgos (actualmente en versión preliminar), que te ayuda a usar la potencia de Google Cloud como una plataforma para administrar el riesgo, en lugar de solo ver cargas de trabajo en la nube como otra fuente de riesgo que necesitas administrar. El Programa de protección contra riesgos es una colaboración entre Google Cloud y dos empresas líderes de seguros cibernéticos, Munich Re y Allianz Global & Corporate Speciality.

El Programa de protección contra riesgos incluye el administrador de riesgos, que proporciona estadísticas basadas en datos que puedes usar para comprender mejor tu posición de seguridad en la nube. Si buscas cobertura de seguros cibernéticos, puedes compartir estas estadísticas del administrador de riesgos directamente con nuestros socios de seguros para obtener una cotización. Para obtener más información, consulta Google Cloud Programa de protección contra riesgos ahora en versión preliminar.

Ayuda con la implementación y la administración

El destino compartido también te ayuda con la administración continua de tu entorno. Por ejemplo, enfocamos nuestros esfuerzos en productos como los siguientes:

Aplicación de la responsabilidad compartida y el destino compartido

Como parte de tu proceso de planificación, considera las siguientes acciones para ayudarte a comprender e implementar los controles de seguridad adecuados:

  • Crea una lista de los tipos de cargas de trabajo que alojarás enGoogle Cloudy si requieren servicios IaaS, PaaS y SaaS. Puedes usar el diagrama de responsabilidad compartida como una lista de tareas para asegurarte de conocer los controles de seguridad que debes considerar.
  • Crea una lista de requisitos normativos que debes cumplir y accede a recursos en el Centro de recursos de cumplimiento relacionados con esos requisitos.
  • Revisa la lista de planos y arquitecturas disponibles en el Centro de arquitectura para ver los controles de seguridad que necesitas para las cargas de trabajo determinadas. Los planos proporcionan una lista de los controles recomendados y el código de IaC que necesitas para implementar esa arquitectura.
  • Usa la documentación de la zona de destino y las recomendaciones de la guía de bases empresariales para diseñar una jerarquía de recursos y una arquitectura de red que cumpla con tus requisitos. Puedes usar los planos de carga de trabajo bien definidos, como el de almacén de datos seguro, para acelerar el proceso de desarrollo.
  • Después de implementar tus cargas de trabajo, verifica que cumplas con tus responsabilidades de seguridad mediante servicios como Risk Manager, Assured Workloads, las herramientas de Policy Intelligence y Security Command Center Premium.

Para obtener más información, consulta el informe "CISO's Guide to Cloud Transformation" (Guía de CISO para la transformación a la nube).

¿Qué sigue?