Plano de bases de seguridad

En esta guía, se presenta una vista bien definida de las prácticas recomendadas de seguridad de Google Cloud, organizadas para permitir que los usuarios las adopten o las adapten y, luego, las implementen de forma automática en sus propiedades en Google Cloud. Este documento puede resultarte útil si eres un director de seguridad de la información, un administrador de seguridad o un director de riesgo o cumplimiento.

La adopción de la nube continúa acelerando sus operaciones, y cada vez más empresas pasan de investigar el uso de la infraestructura de nube pública a brindar servicios de producción a sus clientes a través de nubes públicas. De manera convencional, la seguridad en las nubes públicas difiere de forma intrínseca de la infraestructura de los clientes porque hay una definición de responsabilidad compartida para la seguridad entre el cliente y el proveedor de servicios en la nube. En la Figura 1.1.1, se muestra una matriz de la responsabilidad de seguridad compartida convencional para las cargas de trabajo en la nube.

Figura 1.1.1 Responsabilidades de seguridad compartida

Figura 1.1.1 Responsabilidades de seguridad compartida

Las ofertas de productos y servicios de Google Cloud varían desde la plataforma como servicio (PaaS) clásica hasta la infraestructura como servicio (IaaS) y el software como servicio (SaaS). Como se muestra en la Figura 1.1.1, los límites de responsabilidad convencionales entre tú y el proveedor de servicios en la nube cambian según los servicios que seleccionaste. Como parte de su responsabilidad compartida para la seguridad, los proveedores de servicios en la nube pública deben permitirte comenzar con una base sólida y segura, como mínimo. Los proveedores deben potenciar y facilitar la comprensión y ejecución de tu parte del modelo de responsabilidad compartida.

El catálogo de ofertas de Google Cloud sigue creciendo con rapidez. Cada servicio de Google Cloud expone una amplia gama de opciones de configuración y controles a fin de que puedas personalizarlo para que se adapte a tus necesidades empresariales y de seguridad. En la creación y configuración de tu infraestructura central, nuestro objetivo es ayudarte a comenzar más rápido y de manera más segura mediante la codificación de prácticas recomendadas de seguridad clave de Google Cloud en este plano de las bases de seguridad bien definido. Luego, puedes compilar a partir de una base segura y confiable y optimizar los controles o aprovechar la orientación de seguridad adicional específica del servicio de nuestros planos de postura.

En Google, con nuestro anuncio reciente para el Programa de Protección de Riesgos, buscamos hacer aún más y pasar de un modelo tradicional de responsabilidad compartida entre los clientes y sus proveedores de servicios en la nube al destino compartido. En este enfoque, somos socios activos para realizar la implementación de manera segura en nuestra plataforma y no solo para definir dónde termina nuestra responsabilidad.

Comienza con la seguridad en mente

La seguridad en la nube es diferente de la seguridad local debido a la combinación de los siguientes factores:

  • Las diferencias en las formas primitivas de seguridad, la visibilidad y los puntos de control dentro de la infraestructura, los productos y los servicios
  • Las nuevas metodologías de desarrollo nativas de la nube, como la creación de contenedores y DevOps
  • La velocidad y la variedad continuas de productos y servicios nuevos de la nube y cómo se pueden consumir
  • Los cambios culturales en la forma en que las organizaciones implementan, administran y operan sistemas
  • La comprensión y distribución del riesgo entre los clientes y los proveedores de servicios en la nube

Debes tomar muchas decisiones cuando configuras tu implementación de Cloud. Es posible que necesites ayuda para implementar las cargas de trabajo con valores predeterminados seguros de forma simple, rápida y eficaz a fin de acelerar tu habilidad para ofrecer un impacto y un valor empresarial a tus clientes. Sin embargo, es posible que no tengas tiempo para desarrollar las habilidades nuevas necesarias a fin de enfrentar las diferencias y los nuevos desafíos de una transición a la nube. Por lo tanto, a menudo puedes beneficiarte de la orientación seleccionada y bien definida para obtener un punto de partida básico seguro y una personalización según tus necesidades específicas.

Estas son las buenas noticias: puedes compilar en Google Cloud de manera más rápida, eficaz y segura mediante estos planos de seguridad, que agregan un conjunto nuevo e importante de capas en la jerarquía de seguridad en Google Cloud. En conjunto, ahora hay cinco partes principales, comenzando con la infraestructura principal de Google Cloud como la base. Las cuatro capas posteriores son los productos y servicios de Google Cloud; los planos de las bases de seguridad; los planos para la postura de seguridad, las cargas de trabajo y las aplicaciones; y, por último, las soluciones que agrupan los productos, servicios y planos con ejemplos de casos de uso, con referencias del cliente y con una oferta comercial para simplificar tu comprensión, adopción y consumo. Cada capa se basa en las capas anteriores, como se explica a continuación.

Infraestructura principal de Google Cloud

Google tiene una infraestructura técnica de escala global diseñada para proporcionar seguridad en todo el ciclo de vida del procesamiento de la información en Google. Mediante esta infraestructura, se proporciona una implementación segura de los servicios, un almacenamiento seguro de los datos con protecciones de privacidad de usuarios finales, comunicaciones seguras entre los servicios, una comunicación segura y privada con los clientes en Internet, y una operación segura por parte de los administradores.

Productos y servicios de Google

Los productos y servicios de Google Cloud se basan en la infraestructura principal y se diseñan y operan de manera coherente de acuerdo con los principios de seguridad nativos de la nube que se comparten en nuestro Informe de BeyondProd. Incluyen funciones de seguridad integradas para habilitar el control de acceso, la segmentación y la protección de datos. Además, Google Cloud crea productos de seguridad específicos para ayudarte a cumplir con los requisitos de las políticas y proteger los elementos clave con nuestros productos y funciones de seguridad.

Planos de las bases de seguridad

El objetivo de este modelo de base de seguridad es proporcionarte una orientación seleccionada y bien definida, y una automatización complementaria para ayudarte a optimizar los controles y servicios nativos a fin de crear un punto de partida seguro para tu implementación de Google Cloud. Este plano de base de seguridad abarca lo siguiente:

  • Estructura y política de la organización de Google Cloud
  • Autenticación y autorización
  • Implementación y jerarquía de recursos
  • Herramientas de redes (segmentación y seguridad)
  • Administración de claves y secretos
  • Logging
  • Controles de detección
  • Configuración de facturación
  • Creación e implementación de aplicaciones seguras
  • Orientación general sobre seguridad

Posición de seguridad, cargas de trabajo y planos de aplicaciones

Además de las bases de seguridad sólidas, proporcionamos planos adicionales para la posición de seguridad, la carga de trabajo y las aplicaciones a fin de brindarte orientación bien definida y revisada que te ayude a diseñar, compilar y operar cargas de trabajo y aplicaciones, por ejemplo, nuestro plano de PCI en GKE.

Soluciones

Una combinación de productos y planos que incorporan las prácticas recomendadas de seguridad de Google Cloud te proporciona las funciones, la arquitectura y una guía para configurar, implementar y operar conjuntos específicos de servicios. Las soluciones empaquetan estos productos junto con la personalización vertical y específica de casos de uso, ejemplos adicionales, referencias de clientes y una oferta comercial empaquetada. Nuestro objetivo es simplificar y acelerar tu capacidad de adoptar y aplicar las soluciones según las necesidades empresariales de tu organización. Puedes encontrar nuestra cartera de soluciones actual en la página de soluciones de Google Cloud.

En la Figura 1.1.2 , se muestran las capas de seguridad en las que puedes compilar cuando usas Google Cloud y sigues las instrucciones y las plantillas que proporcionan los planos de seguridad.

Figura 1.1.2 Jerarquía de seguridad de Google Cloud

Figura 1.1.2 Jerarquía de seguridad de Google Cloud

Comenzar con un plano de base de seguridad

En esta guía, se proporciona un modelo de base de seguridad bien definido y se incluye una vista paso a paso de cómo configurar y, luego, implementar tu propiedad de Google Cloud. En este documento, se puede proporcionar una buena referencia y un punto de partida, ya que destacamos los temas clave que debes tener en cuenta. En cada tema, proporcionamos antecedentes y análisis sobre por qué tomamos cada una de nuestras decisiones. Además de la guía paso a paso, este plano de base de seguridad cuenta con un repositorio de automatización de Terraform y una demostración de ejemplo de la organización de Google para que puedas aprender de ella y experimentar con un entorno configurado según el plano.

Cómo puedes usar el plano de base de seguridad

Esta guía puede resultarte útil a medida que adoptas uno o más de los siguientes roles en tu organización:

  • Líder de seguridad, que necesita comprender los principios clave de Google para la seguridad de Cloud y cómo se pueden aplicar con el fin de proteger la implementación de tu propia organización.
  • Profesional de seguridad, que necesita instrucciones detalladas sobre cómo aplicar las prácticas recomendadas de seguridad a fin de configurar, implementar y operar una zona de destino de infraestructura centrada en la seguridad para que implementes en ella tus cargas de trabajo y aplicaciones.
  • Ingeniero de seguridad, que necesita comprender cómo configurar y operar varios controles de seguridad diferentes para que interactúen de forma correcta entre sí.
  • Líder comercial, que necesita tus equipos para acelerar su aprendizaje y comprensión de las habilidades avanzadas que necesitan en Google Cloud a fin de satisfacer tus necesidades avanzadas. En este rol, también debes poder compartir la documentación de referencia de seguridad de Google con tus equipos de riesgo y cumplimiento.
  • Director de riesgo y cumplimiento, que necesita comprender los controles disponibles en Google Cloud para cumplir con los requisitos de su empresa y cómo se pueden implementar de forma automática También debes tener visibilidad de los cambios de control y de las áreas que necesitan atención adicional para satisfacer las necesidades normativas de tu empresa.

En cada uno de estos casos, puedes usar este documento como guía de referencia. También puedes usar las secuencias de comandos de Terraform proporcionadas para automatizar, experimentar, probar y acelerar tus propias implementaciones en vivo. Puedes modificar las secuencias de comandos proporcionadas para personalizarlas según tus necesidades.

Crea un mejor punto de partida para el cumplimiento

Para los frameworks de cumplimiento y normativos que se necesitan para tu negocio, necesitas una comprensión clara y evidencia de lo siguiente:

  • Si los servicios de Google Cloud que eliges cumplen con los requisitos
  • Si la configuración y el uso de estos servicios de Google Cloud siguen cumpliendo con los requisitos

Para el primer caso, Google Cloud proporciona el Centro de recursos de cumplimiento. Este sitio te permite buscar por framework, región o sector para encontrar los servicios de Google Cloud aprobados y ayudarte con las tareas asociadas al cumplimiento.

En el segundo caso, después de implementar el plano de bases de seguridad, Security Command Center Premium te proporciona una descripción general del panel y los informes de cumplimiento descargables de la posición inicial para los frameworks de CIS 1.0, PCI-DSS 3.2.1, NIST-800-53 y de ISO27001 a nivel de organización, carpeta o proyecto.

En la Figura 1.2.1, se muestra el informe de cumplimiento predeterminado para un proyecto de muestra implementado en el plano de bases de seguridad, comparado con los frameworks de CIS 1.0 y PCI DSS 3.2.1. Como se muestra en la figura, la mayoría de los controles de cumplimiento evaluados se configuran desde el plano de inmediato. Los controles que faltan son controles de configuración de registros que requieren entradas del usuario antes de que se puedan configurar de forma correcta.

Figura 1.2.1 Resumen de cumplimiento de Security Command Center Premium para un proyecto de muestra de red restringida

Figura 1.2.1 Resumen de cumplimiento de Security Command Center Premium para un proyecto de muestra de red restringida

Implementa principios clave de seguridad

Además de implementar los requisitos normativos y de cumplimiento, debes proteger la infraestructura y las aplicaciones.

El plano de base de seguridad y las secuencias de comandos de automatización asociadas te ayudan a adoptar tres principios de seguridad de Google Cloud que son esenciales para la propia seguridad de Google. Estos paneles son los siguientes:

  • Ejecutar la defensa en profundidad, a gran escala, de forma predeterminada
  • Adoptar el enfoque de BeyondProd para la seguridad de la infraestructura y las aplicaciones
  • Anular el riesgo de la adopción de la nube mediante la migración a una relación de destino compartido

Defensa en profundidad, a gran escala y de forma predeterminada

Un principio fundamental sobre cómo Google protege su propia infraestructura es que nunca debe haber solo una barrera entre un atacante y un objetivo de interés (defensa en profundidad). Si se apega a este principio central, la seguridad debe ser escalable y debe estar habilitada de forma predeterminada.

El plano de bases de seguridad aborda estos principios de varias maneras. Los datos están protegidos de forma predeterminada a través de defensas de varias capas mediante políticas y controles configurados en los servicios de Herramientas de redes, encriptación, IAM, detección, registro y supervisión.

Como ejemplo, los datos en un proyecto de producción tienen, de forma predeterminada, tres niveles de protección de red: la segmentación de VPC, los perímetros de servicio de VPC y las reglas de firewall. Están protegidos por varios niveles de protección de acceso mediante IAM, niveles de contexto de acceso y validación de varios factores de las identidades de usuarios.

El plano proporciona un ejemplo de una canalización de CI/CD protegida para compilar aplicaciones que tienen acceso a los datos. Las características de seguridad de la canalización incluyen evaluaciones de vulnerabilidades en el momento de la compilación y verificaciones de políticas en el momento de la implementación. Además, los datos en sí están protegidos por medio de claves de encriptación administradas por el cliente (CMEK). Se puede registrar todo el acceso de administrador y el acceso a los datos mediante el registro de auditoría predeterminado. Security Command Center Premium proporciona supervisión y detección de seguridad continua. Además, se puede complementar esto con la detección personalizada a través de BigQuery.

BeyondProd

En 2019, publicamos BeyondProd, el nuevo enfoque de Google para la seguridad nativa de la nube. Esto fue motivado por las mismas estadísticas que impulsaron la iniciativa de BeyondCorp en 2014, porque nos resultó evidente que un modelo de seguridad basado en el perímetro no era lo suficientemente seguro. BeyondProd hace con las identidades de servicios y cargas de trabajo lo mismo que BeyondCorp hizo con las estaciones de trabajo y los usuarios. En el modelo convencional centrado en la red, una vez que un atacante infringe el perímetro, tiene movimiento libre dentro del sistema. En su lugar, el enfoque de BeyondProd usa un modelo de confianza cero de forma predeterminada. Descompone las aplicaciones monolíticas grandes de manera histórica, lo que aumenta la segmentación y el aislamiento, y limita el área afectada, a la vez que crea eficiencia operativa y escalabilidad.

Un concepto central en BeyondProd es que los desarrolladores deben poder escribir e implementar aplicaciones seguras sin necesidad de tener una gran experiencia en seguridad y sin tener que implementar funciones de seguridad ellos mismos. Por lo tanto, los principios clave de BeyondProd son los siguientes:

  • La seguridad es holística y está integrada, no incorporada.
  • Si bien la protección de la red en el perímetro aún es obligatoria, no es esencial y no es el único punto de defensa.
  • No hay confianza mutua inherente entre los servicios
  • Máquinas confiables que ejecutan código con procedencia conocida
  • Los cuellos de botella lógicos se usan para la aplicación coherente de políticas en todos los servicios. por ejemplo, para garantizar el acceso autorizado a los datos.
  • El lanzamiento de cambios es simple, automatizado y estandarizado.
  • El aislamiento se aplica y se supervisa entre las cargas de trabajo.

El plano de bases de seguridad mejora la capacidad de adoptar BeyondProd. Los controles de seguridad se diseñan eintegran en cada paso de la arquitectura y la implementación del plano. Las diferentes capas de controles de seguridad se diseñaron para funcionar en conjunto y no son una ocurrencia tardía. No existe una confianza mutua inherente entre los servicios en el sistema. Los roles predefinidos de IAM crean una separación predeterminada de tareas. El diseño de la jerarquía de recursos crea límites claros de IAM y de red entre proyectos de forma predeterminada. Los perímetros de servicio de VPC te permiten aplicar la segmentación y el aislamiento por servicio y por carga de trabajo. Los cuellos de botella del control lógico, como las políticas de la organización, te proporcionan una aplicación de políticas preventiva predeterminada y coherente en el momento de la creación y la implementación. La visibilidad centralizada y unificada a través de Security Command Center Premium proporciona supervisión y detección unificadas en todos los recursos y proyectos de tu organización.

Puedes obtener más información sobre cómo las capacidades de Google Cloud se asignan a los principios de BeyondProd en la Tabla 2.12.5 en la sección Crea e implementa una aplicación.

Destino compartido

Para pasar de la responsabilidad compartida al destino compartido, creemos que es nuestra responsabilidad ser socios activos contigo en la implementación y ejecución seguras en nuestra plataforma. Esto significa proporcionar capacidades integradas holísticas a lo largo de tu recorrido, del día 0 al día N, como se muestra a continuación:

  • Momento del diseño y la compilación: bases de seguridad y planos de postura compatibles que codifican las prácticas recomendadas de forma predeterminada para la infraestructura y las aplicaciones
  • Momento de la implementación: "infraestructura de defensa" mediante servicios como políticas de la organización y Assured Workloads que aplican las restricciones de seguridad declarativas.
  • Momento de la ejecución: visibilidad, supervisión, alertas y funciones de acción correctiva a través de servicios como Security Command Center Premium.

Juntos, estos servicios integrados reducen el riesgo, ya que lo mantienen en una posición más confiable desde el principio, con riesgos mejor cuantificados y comprendidos. Como se muestra en la Figura 1.2.2, esta postura mejorada de riesgo puede permitirte aprovechar los servicios de protección de riesgos, lo que reduce el riesgo y, en última instancia, acelera tu habilidad para migrar y transformar en la nube.

Figura 1.2.2 El valor del destino compartido

Figura 1.2.2 El valor del destino compartido

Organización de documentos

Este documento está organizado en secciones que abarcan los siguientes temas:

  • Esta introducción
  • El modelo de base de seguridad
  • Diseño de bases
  • El ejemplo example.com que expresa la estructura de la organización bien definida
  • Implementación de recursos
  • Autenticación y autorización
  • Redes
  • Administración de claves y secretos
  • Logging
  • Controles de detección
  • Facturación
  • Creación e implementación de aplicaciones seguras
  • Orientación general sobre seguridad