Questi contenuti sono stati aggiornati a maggio 2024 e rappresentano lo status quo al momento della loro redazione. Le norme e i sistemi di sicurezza di Google potrebbero variare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.
Questo documento offre una panoramica del processo sicuro che si verifica quando elimini i dati dei clienti su Google Cloud. Come definito nei Termini di servizio di Google Cloud, i dati dei clienti sono i dati forniti a Google dai clienti o dagli utenti finali tramite i servizi collegati all'account.
Questo documento descrive il modo in cui i dati dei clienti vengono archiviati in Google Cloud, la pipeline di eliminazione e come impediamo la ricostruzione dei dati archiviati nella nostra piattaforma.
Per informazioni sui nostri impegni per l'eliminazione dei dati, consulta l'Addendum per il trattamento dei dati Cloud (clienti).
Archiviazione e replica dei dati
Google Cloud offre servizi di archiviazione e servizi di database come Bigtable e Spanner. La maggior parte delle applicazioni e dei servizi Google Cloud accede indirettamente all'infrastruttura di archiviazione di Google utilizzando questi servizi cloud.
La replica dei dati è fondamentale per ottenere soluzioni a bassa latenza, elevata disponibilità, scalabilità e durabilità. Le copie ridondanti dei dati dei clienti possono essere archiviate a livello locale, regionale e persino globale, a seconda della configurazione e delle esigenze dei tuoi progetti. Le azioni intraprese sui dati in Google Cloud possono essere replicate contemporaneamente in più data center, in modo che i dati dei clienti siano altamente disponibili. Quando nell'hardware, nel software o nell'ambiente di rete si verificano cambiamenti che incidono sulle prestazioni, i dati dei clienti vengono spostati automaticamente da un sistema o una struttura a un altro, in base alle impostazioni di configurazione dei clienti, in modo che i progetti dei clienti continuino a essere eseguiti su larga scala e senza interruzioni.
A livello di archiviazione fisica, i dati inattivi dei clienti vengono archiviati in due tipi di sistemi: sistemi di archiviazione attivi e sistemi di archiviazione di backup. Questi due tipi di sistemi elaborano i dati in modo diverso. I sistemi di archiviazione attivi sono i server di produzione di Google Cloud che eseguono i livelli di applicazione e di archiviazione di Google. I sistemi attivi sono array di massa di dischi e unità utilizzati per scrivere nuovi dati, nonché per archiviare e recuperare i dati in più copie replicate. I sistemi di archiviazione attivi sono ottimizzati per eseguire operazioni di lettura e scrittura in tempo reale sui dati dei clienti in modo rapido e scalabile.
I sistemi di archiviazione di backup di Google archiviano copie complete e incrementali dei sistemi attivi di Google per un periodo di tempo definito, al fine di aiutare Google a recuperare dati e sistemi in caso di interruzione o disastro catastrofiche. A differenza dei sistemi attivi, i sistemi di backup sono progettati per ricevere snapshot periodici dei sistemi Google; le copie di backup vengono ritirate dopo un periodo di tempo limitato quando vengono create nuove copie di backup.
In tutti i sistemi di archiviazione descritti in precedenza, i dati inattivi dei clienti vengono criptati. Per maggiori informazioni, consulta Crittografia at-rest predefinita.
Pipeline di eliminazione dati
Una volta archiviati i dati dei clienti in Google Cloud, i nostri sistemi sono progettati per archiviare i dati in modo sicuro fino al completamento delle fasi della pipeline di eliminazione dei dati. In questa sezione vengono descritte le fasi di eliminazione.
Fase 1: richiesta di eliminazione
L'eliminazione dei dati dei clienti inizia quando avvii una richiesta di eliminazione. In genere, una richiesta di eliminazione viene indirizzata a una risorsa specifica, a un progetto Google Cloud o al tuo Account Google. Le richieste di eliminazione potrebbero essere gestite in modi diversi a seconda dell'ambito della richiesta:
- Eliminazione delle risorse: le singole risorse contenenti i dati dei clienti, ad esempio i bucket Cloud Storage, possono essere eliminate in diversi modi dalla console Google Cloud o utilizzando un'API. Ad esempio, puoi inviare un comando di rimozione del bucket o
gcloud storage rmper eliminare un bucket di archiviazione tramite la riga di comando oppure puoi selezionare un bucket di archiviazione ed eliminarlo dalla console Google Cloud. - Eliminazione di progetti: come proprietario di un progetto Google Cloud, puoi terminare il progetto. L'eliminazione di un progetto agisce come una richiesta di eliminazione collettiva per tutte le risorse legate al numero di progetto corrispondente.
- Eliminazione dell'Account Google: quando elimini il tuo Account Google, vengono eliminati tutti i progetti che non sono associati a un'organizzazione e di cui sei esclusivamente proprietario. Se esistono più proprietari, un progetto non dell'organizzazione viene eliminato solo dopo che tutti i proprietari non vengono rimossi dal progetto o che non eliminano i propri Account Google. Questo processo garantisce che i progetti continuino a condizione che abbiano un proprietario.
- Eliminazione di account Google Workspace o Cloud Identity: le organizzazioni associate a un account Google Workspace o Cloud Identity vengono eliminate quando elimini un account Google Workspace o Cloud Identity. Per maggiori informazioni, vedi Eliminare l'Account Google dell'organizzazione.
Utilizzi le richieste di eliminazione principalmente per gestire i tuoi dati. Tuttavia, Google può emettere automaticamente richieste di eliminazione, ad esempio al termine del rapporto con Google.
Fase 2: eliminazione temporanea
L'eliminazione temporanea è il punto del processo che fornisce un breve periodo interno di gestione temporanea e di recupero per garantire che ci sia il tempo di recuperare i dati contrassegnati per l'eliminazione per errore o per errore. I singoli prodotti Google Cloud possono adottare e configurare questo periodo di recupero definito prima che i dati vengano eliminati dai sistemi di archiviazione sottostanti, purché il periodo rientri nelle tempistiche di eliminazione complessive di Google.
Quando vengono eliminati i progetti, Google Cloud identifica prima il numero di progetto univoco, quindi trasmette un segnale di sospensione ai prodotti Google Cloud (ad esempio, Compute Engine e Bigtable) contenenti il numero di progetto. In questo caso, Compute Engine sospende le operazioni associate al numero di progetto e le tabelle pertinenti in Bigtable entrano in un periodo di recupero interno di massimo 30 giorni. Al termine del periodo di recupero, Google Cloud trasmette un segnale agli stessi prodotti per avviare l'eliminazione logica delle risorse legate al numero di progetto univoco. Successivamente, Google attende (e, se necessario, ritrasmette il segnale) la ricezione di un segnale di conferma (ACK) dai prodotti interessati per completare l'eliminazione del progetto.
Quando un Account Google viene chiuso, Google Cloud potrebbe imporre un periodo di recupero interno di massimo 30 giorni, a seconda dell'attività passata dell'account. Dopo la scadenza del periodo di tolleranza, ai prodotti Google viene trasmesso un indicatore contenente l'ID utente dell'account di fatturazione eliminato e le risorse Google Cloud legate esclusivamente a questo ID utente vengono contrassegnate per l'eliminazione.
Fase 3: cancellazione logica dai sistemi attivi
Dopo che i dati sono stati contrassegnati per l'eliminazione e l'eventuale periodo di recupero è scaduto, i dati vengono eliminati successivamente dai sistemi di archiviazione attivi e di backup di Google. Sui sistemi attivi, i dati vengono eliminati in due modi:
In tutti i prodotti Google Cloud nelle categorie di progetti Compute, Archiviazione e Database, ad eccezione di Cloud Storage, le copie dei dati eliminati vengono contrassegnate come spazio di archiviazione disponibile e sovrascritte nel tempo. In un sistema di archiviazione attivo come Bigtable, i dati eliminati vengono archiviati come voci all'interno di un'enorme tabella strutturata. La compattazione delle tabelle esistenti per sovrascrivere i dati eliminati può essere costosa, in quanto richiede la riscrittura di tabelle di dati esistenti (non eliminati). Di conseguenza, vengono programmati a intervalli regolari la garbage collection "mark-and-sweep" e i principali eventi di compattazione per recuperare spazio di archiviazione e sovrascrivere i dati eliminati.
In Cloud Storage, i dati dei clienti vengono eliminati anche con la cancellazione crittografica. Si tratta di una tecnica standard del settore che rende illeggibili i dati eliminando le chiavi di crittografia necessarie per decriptare i dati. Un vantaggio dell'utilizzo della cancellazione crittografica, che si tratti di chiavi di crittografia fornite da Google o dal cliente, è che l'eliminazione logica può essere completata anche prima che tutti i blocchi eliminati dei dati vengano sovrascritti nei sistemi di archiviazione attivi e di backup di Google Cloud.
Fase 4: scadenza dai sistemi di backup
Analogamente all'eliminazione dai sistemi attivi di Google, i dati eliminati vengono eliminati dai sistemi di backup utilizzando sia tecniche di sovrascrittura che di crittografia. Nel caso dei sistemi di backup, tuttavia, i dati dei clienti vengono in genere archiviati in grandi snapshot aggregati di sistemi attivi che vengono conservati per periodi di tempo statici al fine di garantire la continuità aziendale in caso di emergenza (ad esempio, un'interruzione del servizio che interessa un intero data center), quando potrebbero essere necessari i tempi e i costi necessari per ripristinare un sistema interamente dai sistemi di backup. Coerentemente con le ragionevoli pratiche di continuità operativa, gli snapshot completi e incrementali dei sistemi attivi vengono creati con cicli giornalieri, settimanali e mensili e ritirati dopo un periodo di tempo predefinito per fare spazio agli snapshot più recenti.
Quando un backup viene ritirato, viene contrassegnato come spazio disponibile e sovrascritto quando vengono eseguiti nuovi backup giornalieri, settimanali o mensili.
Un ciclo di backup ragionevole impone un ritardo predefinito nella propagazione di una richiesta di eliminazione dei dati attraverso i sistemi di backup. Quando i dati dei clienti vengono eliminati dai sistemi attivi, non vengono più copiati nei sistemi di backup. I backup eseguiti prima dell'eliminazione vengono scaduti regolarmente in base al ciclo di backup predefinito.
Infine, la cancellazione crittografica dei dati eliminati potrebbe avvenire prima della scadenza del backup contenente i dati dei clienti. Senza la chiave di crittografia utilizzata per criptare dati specifici dei clienti, questi dati non sono recuperabili anche durante il ciclo di vita rimanente sui sistemi di backup di Google.
Cronologia dell'eliminazione
Google Cloud è progettato per raggiungere livelli elevati di velocità, disponibilità, durabilità e coerenza. La progettazione di sistemi ottimizzati per questi attributi di prestazioni deve essere attentamente bilanciata con la necessità di ottenere un'eliminazione tempestiva dei dati. Google Cloud si impegna a eliminare i dati dei clienti entro un periodo massimo di circa 6 mesi (180 giorni). Questo impegno incorpora le fasi della pipeline di eliminazione di Google descritte in precedenza, tra cui:
- Fase 2: dopo aver effettuato la richiesta di eliminazione, i dati vengono in genere contrassegnati per l'eliminazione immediata e il nostro obiettivo è eseguire questo passaggio entro un periodo massimo di 24 ore. Dopo che i dati sono stati contrassegnati per l'eliminazione, potrebbe essere applicato un periodo di recupero interno di massimo 30 giorni, a seconda del servizio o della richiesta di eliminazione.
- Fase 3: il tempo necessario per completare le attività di garbage collection e ottenere l'eliminazione logica dai sistemi attivi. Questi processi possono avvenire immediatamente dopo la ricezione della richiesta di eliminazione, a seconda del livello di replica dei dati e delle tempistiche dei cicli di garbage collection in corso. Dopo aver effettuato la richiesta di eliminazione, generalmente sono necessari circa due mesi per eliminare i dati dai sistemi attivi. In genere questo tempo è sufficiente per completare i due principali cicli di garbage collection e garantire il completamento dell'eliminazione logica.
- Fase 4: il ciclo di backup di Google è progettato per far scadere i dati eliminati all'interno dei backup dei data center entro sei mesi dalla richiesta di eliminazione. L'eliminazione potrebbe avvenire prima, a seconda del livello di replica dei dati e delle tempistiche dei cicli di backup in corso di Google.
Il seguente diagramma mostra le fasi della pipeline di eliminazione di Google Cloud e quando i dati vengono cancellati dai sistemi attivi e di backup.
Garantisci la sanificazione dei media sicura e protetta
Un programma disciplinato di sanificazione dei media migliora la sicurezza del processo di eliminazione prevenendo attacchi forensi o di laboratorio sui supporti di archiviazione fisica dopo che hanno raggiunto la fine del suo ciclo di vita.
Google monitora meticolosamente la posizione e lo stato di tutte le apparecchiature di archiviazione all'interno dei propri data center, attraverso l'acquisizione, l'installazione, il ritiro e la distruzione, utilizzando codici a barre e asset tag monitorati nel database degli asset di Google. Varie tecniche quali l'identificazione biometrica, il rilevamento dei metalli, le telecamere, le barriere per i veicoli e i sistemi di rilevamento delle intrusioni basati su laser sono impiegate per impedire alle apparecchiature di lasciare il piano del data center senza autorizzazione. Per ulteriori informazioni, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
I supporti di archiviazione fisica possono essere dismessi per diversi motivi. Se un componente non supera un test delle prestazioni in qualsiasi momento durante il suo ciclo di vita viene rimosso dall'inventario e ritirato. Inoltre, Google esegue l'upgrade dell'hardware obsoleto per migliorare la velocità di elaborazione e l'efficienza energetica o per aumentare la capacità di archiviazione. In caso di dismissione dell'hardware a causa di guasti, upgrade o per qualsiasi altro motivo, i supporti di archiviazione vengono dismessi usando le misure di protezione appropriate. I dischi rigidi di Google utilizzano tecnologie come la crittografia dell'intero disco (FDE) e il blocco delle unità per contribuire a proteggere i dati at-rest durante il ritiro. Quando un disco rigido viene ritirato, i privati autorizzati verificano che il disco sia cancellato sovrascrivendo l'unità con zeri ed eseguendo un processo di verifica in più passaggi per garantire che l'unità non contenga dati.
Se il supporto di archiviazione non può essere per qualche motivo cancellato, viene conservato in modo sicuro finché non può essere distrutto fisicamente. A seconda delle attrezzature disponibili, possiamo schiacciare e deformare l'unità o distruggerla in piccoli pezzi. In entrambi i casi, il disco viene riciclato in una struttura protetta, assicurando che nessuno possa leggere i dati sui dischi di Google ritirati. Ogni data center aderisce a una rigorosa politica di smaltimento e utilizza le tecniche descritte per ottenere la conformità alle linee guida per la sanificazione dei media NIST SP 800-88 Revisione 1 e DoD 5220.22-M Manuale operativo del programma per la sicurezza industriale nazionale.