Panoramica sulla sicurezza di Google

Questi contenuti sono stati aggiornati a luglio 2024 e rappresentano lo status quo al momento della loro redazione. Le norme e i sistemi di sicurezza di Google potrebbero cambiare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Scarica la versione PDF

Introduzione

In genere, le aziende hanno fatto ricorso al cloud pubblico per risparmiare sui costi, sperimentare nuove tecnologie e fornire capacità di crescita. Sempre più spesso le aziende si affidano al cloud pubblico per la loro sicurezza, comprendendo che i provider di servizi cloud possano investire più di quanto facciano le aziende nella tecnologia, persone e processi per offrire un'infrastruttura più sicura.

In qualità di innovatore del cloud, Google comprende le relative questioni di sicurezza. I nostri servizi cloud sono progettati per offrire una sicurezza migliore rispetto a molti approcci on-premise. La sicurezza è una priorità per le nostre operazioni, che servono gli utenti di tutto il mondo.

La sicurezza è alla base della nostra struttura organizzativa, della nostra cultura, delle priorità di formazione e le procedure di assunzione. Questa influisce anche sul design dei nostri data center e sulla tecnologia che questi ospitano. È fondamentale per le nostre operazioni quotidiane e per la pianificazione in caso di emergenza, incluso il modo in cui affrontiamo le minacce. È prioritaria nel modo in cui gestiamo i dati dei clienti, i controlli dell'account, le verifiche di conformità e le certificazioni.

Questo documento descrive il nostro approccio alla sicurezza, alla privacy e alla conformità per Google Cloud, la nostra suite di prodotti e servizi per il cloud pubblico. La documento è incentrato sui controlli fisici, amministrativi e tecnici che che ti consente di proteggere i tuoi dati.

La cultura di Google incentrata sulla sicurezza e sulla privacy

La cultura di Google sottolinea l'importanza di proteggere l'ampio volume di informazioni appartenenti ai nostri clienti. Questa cultura influenza le modalità di assunzione dei dipendenti e l'onboarding dei dipendenti. Promuoviamo e rafforziamo la protezione dei dati linee guida e tecnologie attraverso formazione continua ed eventi incentrati su sicurezza e privacy.

Il nostro team dedicato alla sicurezza

Il nostro team di sicurezza dedicato include alcuni dei massimi esperti mondiali in materia di sicurezza delle informazioni, sicurezza delle applicazioni, crittografia e sicurezza di rete. Questo team gestisce i nostri sistemi di difesa, sviluppa processi di controllo della sicurezza, costruisce un'infrastruttura di sicurezza e implementa i nostri criteri di sicurezza. Il team monitora attivamente le vulnerabilità di sicurezza utilizzando strumenti commerciali e personalizzati. Il team esegue anche test di penetrazione e revisioni di controllo qualità e sicurezza.

I membri del team di sicurezza esaminano i piani di sicurezza per le nostre reti e i nostri servizi e forniscono servizi di consulenza specifici per progetto ai nostri team di prodotto e di ingegneria. Ad esempio, i nostri tecnici esperti di crittografia esaminano i lanci di prodotti che includono implementazioni di crittografia. Il team di sicurezza monitora per attività sospette sulle nostre reti e per proteggere le informazioni se necessario. Il team esegue anche valutazioni di sicurezza di routine e che possono comportare il coinvolgimento di esperti esterni per condurre regolari verifiche e valutazioni.

Collaborazione con la comunità di esperti della sicurezza

Abbiamo da tempo uno stretto rapporto con la comunità di esperti della sicurezza, il cui aiuto è estremamente utile per identificare potenziali vulnerabilità in Google Cloud e altri prodotti Google. I nostri team di sicurezza partecipano attività di ricerca e sensibilizzazione a beneficio della comunità online. Ad esempio, gestiamo Project Zero, un team di ricercatori in materia di sicurezza che si occupano di studiare le vulnerabilità zero-day. Alcuni esempi di questa ricerca sono la scoperta dell'exploit Spectre, dell'exploit Meltdown, dell'exploit POODLE SSL 3.0 e delle vulnerabilità dei pacchetti crittografia.

I ricercatori e gli ingegneri della sicurezza di Google partecipano attivamente e pubblicano nella community accademica della sicurezza e nella community di ricerca sulla privacy. Inoltre, organizzano e partecipano a progetti open source e conferenze accademiche. I team di sicurezza di Google hanno pubblicato un'analisi le nostre prassi ed esperienza Creazione di sistemi sicuri e affidabili libro.

Il nostro Vulnerability Reward Program offre premi da decine di migliaia di dollari per ogni vulnerabilità confermata. Il programma incoraggia i ricercatori a segnalare i problemi di progettazione e implementazione che potrebbero mettere a rischio i dati dei clienti. Nel 2023 abbiamo assegnato ai ricercatori premi per oltre 10 milioni di dollari. Per contribuire a migliorare la sicurezza del codice open source, il programma Vulnerability Reward Program offre anche una varietà di iniziative per i ricercatori. Per ulteriori informazioni su questo programma, inclusi i premi che abbiamo assegnato, consulta le statistiche principali dei cacciatori di bug.

I nostri crittografi di livello mondiale partecipano al servizio di crittografia leader del settore in modo programmatico a gestire i progetti. Ad esempio, abbiamo progettato il Secure AI Framework (SAIF) per contribuire a proteggere i sistemi di IA. Inoltre, per proteggere le connessioni TLS dagli attacchi dei computer quantistici, abbiamo sviluppato l'algoritmo combinato a curva ellittica e post-quantistico (CECPQ2). I nostri crittografi hanno sviluppato Tink, una libreria open source di API crittografiche. Utilizziamo Tink anche nei nostri prodotti e servizi interni.

Per ulteriori informazioni su come segnalare problemi di sicurezza, consulta Come Google gestisce le vulnerabilità di sicurezza.

Formazione sulla sicurezza e sulla privacy interna

Tutti i dipendenti di Google seguono corsi di formazione sulla sicurezza e sulla privacy come parte del processo di orientamento e ricevono formazione continua sulla sicurezza e sulla privacy nel corso di tutta la loro carriera in Google. Durante l'orientamento, i nuovi dipendenti accettano Codice di condotta Ciò evidenzia il nostro impegno a proteggere i dati dei clienti.

A seconda del loro ruolo professionale, ai dipendenti potrebbe essere richiesto di formazione su aspetti specifici della sicurezza. Ad esempio, il team per la sicurezza delle informazioni istruisce i nuovi ingegneri in merito a pratiche di codifica sicure, progettazione del prodotto e strumenti automatici di test delle vulnerabilità. Gli ingegneri partecipano a briefing sulla sicurezza periodici e ricevono newsletter sulla sicurezza che trattano nuove minacce, modelli di attacco, tecniche di mitigazione e altro ancora.

La sicurezza e la privacy sono un'area in continua evoluzione e siamo consapevoli che il coinvolgimento dedicato dei dipendenti è uno strumento chiave per aumentare la consapevolezza in merito. Organizziamo regolarmente conferenze interne aperte a tutti i dipendenti per aumentare la consapevolezza sul tema e promuovere l'innovazione nell'ambito della sicurezza e della privacy dei dati. Ospitiamo eventi in tutti gli uffici di tutto il mondo per aumentare la consapevolezza in merito a sicurezza e privacy nell'ambito dello sviluppo di software, e l'applicazione delle norme.

Il nostro team dedicato alla privacy

Il nostro team dedicato alla privacy supporta iniziative interne in materia di privacy per aiutare migliorare processi critici, strumenti interni, prodotti e privacy dell'infrastruttura. Il team dedicato alla privacy opera separatamente dallo sviluppo del prodotto e le organizzazioni che operano nel settore della sicurezza. Partecipano ai lanci di prodotti Google, esaminando la documentazione di progettazione ed eseguendo revisioni del codice per garantire che vengano rispettati i requisiti di privacy. Il team contribuisce a lanciare prodotti che incorporano elevati standard di privacy per la raccolta dei dati utente.

I nostri prodotti sono progettati per fornire a utenti e amministratori opzioni di configurazione della privacy significative. Dopo il lancio dei prodotti, il team dedicato alla privacy supervisiona i processi automatizzati in corso per verificare che i dati raccolti dai prodotti vengano gestiti in modo appropriato. Inoltre, il team svolge attività di ricerca sulle best practice sulla privacy per le nostre tecnologie emergenti. Per capire come ci impegniamo a tutelare la privacy dei dati utente e a rispettare le leggi e i regolamenti sulla privacy vigenti, consulta il nostro impegno a rispettare le leggi sulla protezione dei dati. Per maggiori informazioni informazioni, consulta le Risorse sulla privacy assistenza.

Specialisti interni di controlli e conformità

Abbiamo un team interno dedicato ai controlli che verifica la conformità dei nostri prodotti alle leggi e alle normative sulla sicurezza di tutto il mondo. Quando vengono creati nuovi standard di controllo e quelli esistenti vengono aggiornati, il team interno dedicato determina quali controlli, processi e sistemi sono necessari per soddisfarli. Questo team supporta controlli e valutazioni indipendenti da parte di terne parti. Per ulteriori informazioni, vedi Assistenza per i requisiti di conformità più avanti in questo documento.

Sicurezza operativa

La sicurezza è parte integrante delle nostre operazioni cloud, non una riflessione a posteriori. Questo descrive i nostri programmi di gestione delle vulnerabilità, la prevenzione del malware di monitoraggio della sicurezza e programmi di gestione degli incidenti.

Gestione delle vulnerabilità

Il nostro processo interno di gestione delle vulnerabilità ricerca attivamente la sicurezza e minacce in tutti gli stack tecnologici. Questo processo utilizza una combinazione strumenti commerciali, open source e progettati appositamente per l'azienda e include i seguenti:

  • Procedure di controllo qualità
  • Revisioni della sicurezza del software
  • Attività di penetrazione manuali e automatizzate, tra cui una allenamenti del Red Team
  • Controlli esterni

L'organizzazione di gestione delle vulnerabilità e i suoi partner sono responsabili il monitoraggio e il follow-up delle vulnerabilità. Perché la sicurezza migliora solo una volta risolti completamente i problemi, le pipeline di automazione rivalutano continuamente stato del deployment delle patch per mitigare le vulnerabilità e segnalare un deployment parziale.

Per contribuire a migliorare le funzionalità di rilevamento, l'organizzazione di gestione delle vulnerabilità si concentra su indicatori di alta qualità che separano il rumore dai segnali che indicano minacce reali. L'organizzazione favorisce inoltre l'interazione con il settore e con la community open source. Ad esempio, gestisce un programma di premi per le patch per lo scanner di sicurezza della rete Tsunami, che premia gli sviluppatori che creano detector open source per le vulnerabilità.

Per saperne di più sulle vulnerabilità che abbiamo mitigato, consulta i bollettini sulla sicurezza di Google Cloud.

Prevenzione dei malware

Google mantiene le protezioni antimalware per i suoi prodotti principali (come Gmail, Google Drive, Google Chrome, YouTube, Google Ads e Ricerca Google) che utilizzano una varietà di sistemi di rilevamento del malware. tecniche. Per rilevare in modo proattivo i file di malware, utilizziamo la scansione del web, la detonazione dei file, il rilevamento statico personalizzato, il rilevamento dinamico e il rilevamento basato sul machine learning. Utilizziamo anche diversi motori antivirus.

Per proteggere i nostri dipendenti, utilizziamo la sicurezza avanzata integrata di Chrome Enterprise Premium e la funzionalità Navigazione sicura avanzata in Google Chrome. Queste funzionalità consentono il rilevamento proattivo del phishing e malware durante la navigazione dei nostri dipendenti sul web. Attiviamo inoltre le impostazioni di sicurezza più rigorose disponibili in Google Workspace, come la sandbox per la sicurezza di Gmail, per eseguire la scansione proattiva degli allegati sospetti. I log di queste funzionalità vengono inseriti nei nostri sistemi di monitoraggio della sicurezza, come descritto nella sezione seguente.

Monitoraggio della sicurezza

Il nostro programma di monitoraggio della sicurezza è incentrato sulle informazioni raccolte traffico di rete interno, dalle azioni dei dipendenti sui sistemi e dall'esterno conoscenza delle vulnerabilità. Un principio fondamentale di Google è aggregare e archiviare i dati della telemetria di sicurezza in un'unica posizione per un'analisi di sicurezza unificata.

In molti punti della rete globale di Google il traffico interno viene ispezionato per rilevare possibili comportamenti sospetti quali, ad esempio, la presenza di traffico che possa essere indizio di connessioni botnet. Utilizziamo una combinazione di strumenti open source e commerciali per acquisire e analizzare il traffico per consentirci di eseguire questa analisi. Un account di proprietà basato sulla nostra tecnologia supporta anche questa analisi. Integriamo l'analisi della rete esaminando i log di sistema per identificare comportamenti insoliti, come i tentativi di accesso ai dati dei clienti.

I nostri tecnici della sicurezza esaminano i report sulla sicurezza in entrata e monitorano le mailing list pubbliche, i post dei blog e i wiki. Analisi automatizzata della rete e l'analisi dei log di sistema aiuta a determinare la possibile presenza di una minaccia sconosciuta; se i processi automatici rilevano un problema e lo riassegnano al nostro personale di sicurezza.

Gestione degli incidenti

Abbiamo un rigoroso processo di gestione degli incidenti per gli eventi di sicurezza che potrebbero influire sulla riservatezza, l'integrità o la disponibilità di sistemi o dati. Le nostre Security Incident-Management Program è in linea con le linee guida del NIST sulla gestione incidenti (NIST SP 800-61). I membri chiave del nostro personale sono formati in perizie legali e trattamento delle prove in preparazione a un evento, incluso l'uso di strumenti proprietari e di terze parti.

Testiamo i piani di risposta agli incidenti per aree chiave, come i sistemi che archiviano i dati dei clienti. Questi test prendono in considerazione vari scenari, tra cui gli addetti ai lavori e le vulnerabilità dei software. Per garantire una risoluzione rapida incidenti di sicurezza, il team di sicurezza di Google è disponibile 24 ore su 24, 7 giorni su 7, per tutti i dipendenti. Se un incidente influisce sui tuoi dati, Google o i suoi partner ti informeranno e il nostro team esaminerà l'incidente. Per ulteriori informazioni sul nostro incidente relativo ai dati il processo di risposta, vedi Processo di risposta agli incidenti relativi ai dati.

Tecnologia incentrata sulla sicurezza

Google Cloud funziona su una piattaforma tecnologica progettata e costruita per operare in sicurezza. Siamo un innovatore nel campo delle tecnologie hardware, software, di rete e di gestione del sistema. Progettiamo i nostri server, i nostri sistemi operativi proprietari e i nostri data center geograficamente distribuiti. Utilizzando i principi di una difesa approfondita, abbiamo creato un'infrastruttura IT più sicura più facili da gestire rispetto alle tecnologie più convenzionali.

Data center all'avanguardia

La nostra attenzione alla sicurezza e alla protezione dei dati è tra i nostri principi principali criteri. La posizione fisica la sicurezza nei data center di Google è un modello di sicurezza a più livelli. La sicurezza fisica include salvaguardie come schede di accesso elettroniche progettate su misura, sistemi di allarme, barriere di accesso ai veicoli, recinzione perimetrale, metal detector e sistemi di riconoscimento biometrici. Inoltre, per rilevare e monitorare gli intrusi, utilizziamo misure di sicurezza come il rilevamento delle intrusioni con fasci laser e il monitoraggio 24 ore su 24, 7 giorni su 7 da parte di telecamere interne ed esterne ad alta risoluzione. I log degli accessi, le registrazioni delle attività e i filmati della videocamera disponibili in caso di incidente. Agenti di sicurezza esperti, che hanno sottoposti a rigorosi controlli dei precedenti e corsi di formazione, pattugliano regolarmente i nostri dati center. Man mano che ci si avvicina al piano del data center, aumentano anche le misure di sicurezza. L'accesso al piano del data center è possibile solo tramite un sistema di sicurezza che implementa il controllo dell'accesso a più fattori mediante badge di sicurezza e biometria. Possono accedervi solo i dipendenti approvati con ruoli specifici. Pochissimi dipendenti di Google avranno accesso a uno dei nostri data center.

All'interno dei nostri data center, utilizziamo controlli di sicurezza nello spazio fisico-logico, definito come "distanza da una macchina in un rack all'ambiente di runtime della macchina". Questi controlli includono il rafforzamento hardware, il controllo degli accessi basato su attività, il rilevamento di eventi anomali e la difesa del sistema. Per maggiori informazioni per informazioni, consulta In che modo Google protegge lo spazio fisico-logico in un data .

Alimentazione dei nostri data center

Per mantenere tutto in esecuzione 24 ore su 24, 7 giorni su 7, e fornire servizi ininterrotti, i nostri data center dispongono di sistemi di alimentazione ridondanti e controlli ambientali. Ogni componente fondamentale ha una fonte di alimentazione primaria e una alternativa, entrambe con la stessa potenza. I generatori di riserva sono in grado di fornire sufficiente energia elettrica di emergenza per far funzionare ogni data center a pieno ritmo. I sistemi di raffreddamento mantengono un funzionamento costante temperatura di server e altro hardware, riducendo il rischio di assistenza di interruzioni durante ridurre al minimo l'impatto ambientale. Le apparecchiature di rilevamento ed estinzione degli incendi aiutano a prevenire danni all'hardware. Caldo rilevatori di fumo e di incendio e di fumo attivano suoni visibili e udibili allarmi alle console delle operazioni di sicurezza e alle scrivanie di monitoraggio remoto.

Siamo la prima grande azienda di servizi internet a ricevere una certificazione esterna dei nostri elevati standard ambientali, di sicurezza sul luogo di lavoro e di gestione dell'energia in tutti i nostri data center. Ad esempio, per dimostrare il nostro impegno nei confronti delle pratiche di gestione dell'energia, abbiamo ottenuto le certificazioni ISO 50001 volontarie per i nostri data center in Europa. Per ulteriori informazioni su come ridurre il nostro impatto ambientale in Google Cloud, consulta Efficienza.

Hardware e software personalizzati per i server

I nostri data center dispongono di server e apparecchiature di rete appositamente progettati, alcuni dei quali che noi stessi progettiamo. I nostri server sono personalizzati per massimizzare le prestazioni, il raffreddamento e l'efficienza energetica, ma sono progettati anche per contribuire a proteggere da attacchi di intrusione fisica. A differenza della maggior parte dell'hardware disponibile in commercio, i nostri server non includono componenti non necessari come schede video, chipset o connettori periferici, che possono introdurre vulnerabilità. Esaminiamo i fornitori dei componenti e scegliamo i componenti con attenzione, collaborando con i fornitori per controllare e convalidare le proprietà di sicurezza fornite componenti. Progettiamo chip personalizzati, come Titan, che ci aiutano a identificare e autenticare in modo sicuro i dispositivi Google legittimi a livello di hardware, incluso il codice utilizzato da questi dispositivi per l'avvio.

Le risorse server vengono allocate dinamicamente. L'allocazione dinamica offre flessibilità per la crescita e ci consente di adattarci in modo rapido ed efficiente alle esigenze del cliente della domanda aggiungendo o riallocando risorse. Questo ambiente è gestito tramite un software proprietario che monitora costantemente i sistemi per rilevare eventuali modifiche a livello di codice binario. I nostri sistemi automatizzati di autocorrezione sono progettati per consentirci di monitorare e risolvere eventi destabilizzanti, ricevere notifiche sugli incidenti e ridurre le possibilità di compromissione della rete.

Monitoraggio e smaltimento dell'hardware

Teniamo meticolosamente traccia della posizione e dello stato delle apparecchiature nei nostri dati center mediante codici a barre e asset tag. Implementiamo metal detector e video sorveglianza per impedire alle apparecchiature di lasciare il piano del data center senza autorizzazione. Se un componente non supera un test delle prestazioni in nessuna durante il suo ciclo di vita, vengono rimossi dall'inventario e ritirato.

I nostri dispositivi di archiviazione, inclusi dischi rigidi, unità a stato solido e non volatili i moduli di memoria dual inline (DIMM), usano tecnologie come la crittografia dell'intero disco (FDE) e il blocco delle unità per proteggere i dati at-rest. Quando un dispositivo di archiviazione viene pensionati, le persone autorizzate verificano che il dispositivo sia igienizzato. Inoltre, eseguire una procedura di verifica a più passaggi per assicurarti che il dispositivo non contenga e i dati di Google Cloud. Se un dispositivo non può essere resettato per qualsiasi motivo, viene distrutto fisicamente. La distruzione fisica viene eseguita con un distruggimento che rompe il dispositivo piccoli pezzi, che vengono poi riciclati in una struttura protetta. Ogni data center adheres to a strict disposal policy and any variances are immediately addressed. Per ulteriori informazioni, consulta Eliminazione dei dati su Google Cloud.

Pratiche di sviluppo software

Cerchiamo in modo proattivo di limitare le opportunità di introduzione di vulnerabilità utilizzando protezioni di controllo del codice sorgente e revisioni tra due parti. Abbiamo anche forniscono librerie che impediscono agli sviluppatori di introdurre determinate classi di sicurezza. Ad esempio, abbiamo librerie e framework progettati per eliminare le vulnerabilità XSS nelle app web. Disponiamo inoltre di strumenti automatici per il rilevamento automatico di bug di sicurezza, tra cui fuzzer, strumenti di analisi statica e scanner per la sicurezza web.

Per ulteriori informazioni, vedi Sviluppo di software sicuro.

Controlli di sicurezza delle chiavi

I servizi Google Cloud sono progettati per offrire una sicurezza migliore rispetto a molte soluzioni on-premise. Questa sezione descrive i principali controlli di sicurezza che utilizziamo per proteggere i tuoi dati.

Crittografia

La crittografia aggiunge un livello di difesa per la protezione dei dati. La crittografia assicura che Se un utente malintenzionato ottiene l'accesso ai tuoi dati, non potrà leggerli senza avere accesso anche alle chiavi di crittografia. Anche se un utente malintenzionato riceve l'accesso ai tuoi dati (ad esempio, accedendo alla connessione via cavo tra i dati center o rubando un dispositivo di archiviazione), non saranno in grado di comprendere decriptarlo.

La crittografia fornisce un meccanismo importante per proteggere la privacy delle i tuoi dati. Consente ai sistemi di manipolare i dati, ad esempio per il backup, e tecnici per supportare la nostra infrastruttura, senza fornire accesso ai contenuti per i sistemi o i dipendenti.

Protezione dei dati at-rest

Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere gli utenti archiviati nei data center di produzione Google. La crittografia viene applicata il livello dell'applicazione, quello del dispositivo di archiviazione o entrambi.

Per ulteriori informazioni sulla crittografia at-rest, inclusa la chiave di crittografia e l'archivio chiavi, vedi Crittografia at-rest in Google Cloud.

Protezione dei dati in transito

I dati possono essere vulnerabili all'accesso non autorizzato quando si spostano su internet o all'interno di reti. Traffico tra i tuoi dispositivi e Google Front End (GFE) è criptato usando protocolli di crittografia efficaci come TLS.

Per ulteriori informazioni, vedi Crittografia dei dati in transito in Google Cloud.

Integrità della catena di fornitura del software

L'integrità della catena di fornitura del software garantisce che il codice e i binari di base per i servizi che trattano i tuoi dati siano verificati e superino i test di attestazione. In Google Cloud abbiamo sviluppato Autorizzazione binaria per Borg (BAB) per esaminare e autorizzare il software di produzione di cui eseguiamo il deployment. BAB contribuisce a garantire che solo il codice autorizzato possa elaborare i tuoi dati. Oltre a BAB, utilizziamo chip di sicurezza hardware (denominata Titan) di cui eseguiamo il deployment su server, dispositivi e periferiche. Questi chip offrono funzionalità di sicurezza fondamentali come l'archiviazione sicura delle chiavi, la radice di attendibilità e l'autorità di firma responsabile.

Per proteggere la catena di fornitura del software, puoi implementare Autorizzazione binaria per applicare i criteri prima di eseguire il deployment del codice. Per informazioni su sulla sicurezza della catena di fornitura, consulta SLSA.

Protezione dei dati in uso

Google Cloud supporta la crittografia dei dati in uso con Confidential Computing. Confidential Computing fornisce isolamento e attestazione hardware utilizzando un Trusted Execution Environment (TEE). Confidential Computing protegge i carichi di lavoro eseguendo i calcoli in isolamento crittografico, il che contribuisce a garantire la riservatezza in un ambiente cloud multi-tenant. Questo tipo di un ambiente crittograficamente isolato aiuta a impedire l'accesso non autorizzato o modifiche alle applicazioni e ai dati mentre queste sono per gli utilizzi odierni. Il TEE fornisce attestazioni verificabili in modo indipendente che attestano lo stato del sistema e l'esecuzione del codice. Confidential Computing potrebbe essere una buona opzione per le organizzazioni che gestiscono dati sensibili e regolamentati e che devono garanzie di sicurezza e privacy verificabili.

Vantaggi della sicurezza della nostra rete globale

In altri servizi cloud e soluzioni on-premise, i dati dei clienti viaggiano tra i dispositivi sulla rete internet pubblica in percorsi noti come hop. Il numero di hop dipende dal percorso ottimale tra l'ISP del cliente e il data center. Ogni hop aggiuntivo introduce una nuova opportunità di attacco dei dati o intercettato. Poiché la nostra rete globale è collegata alla maggior parte degli ISP del mondo, limita gli hop nell'internet pubblica e, di conseguenza, contribuisce a limitare l'accesso a questi dati da parte di malintenzionati.

La nostra rete utilizza più livelli di difesa (difesa in profondità) per contribuire a proteggere contro gli attacchi esterni. Solo i servizi e i protocolli autorizzati chesoddisfano i nostri requisiti di sicurezza possono attraversarla; qualsiasi altro elemento viene automaticamente eliminato. Per applicare la segregazione della rete, utilizziamo firewall e elenchi di controllo dell'accesso. Il traffico viene instradato attraverso i server GFE per contribuire a rilevare e bloccare le richieste dannose e gli attacchi DDoS (Distributed Denial-of-Service). I log vengono esaminati regolarmente per rilevare eventuali sfruttamenti di errori di programmazione. L'accesso ai dispositivi in rete è limitato ai soli dipendenti autorizzati.

La nostra infrastruttura globale ci consente di eseguire Project Shield. Project Shield fornisce protezione gratuita e illimitata ai siti web vulnerabili agli attacchi DDoS utilizzati per censurare le informazioni. Project Shield è disponibile per i siti web di notizie, umani siti web sui diritti d'autore e siti web che monitorano le elezioni.

Soluzioni a bassa latenza e ad alta disponibilità

La nostra rete di dati IP è composta dalla nostra fibra, da fibra disponibile pubblicamente, dei cavi sottomarini. Questa rete ci consente di offrire servizi a disponibilità elevata e bassa latenza in tutto il mondo.

Progettiamo i componenti della nostra piattaforma per garantire un'elevata ridondanza. Questa ridondanza si applica alla progettazione dei nostri server, al modo in cui archiviamo i dati, alla rete e a internet connettività e agli stessi servizi software. Questa "ridondanza di tutto" include la gestione delle eccezioni e crea una soluzione che non dipende da un singolo server, data center o connessione di rete.

I nostri data center sono distribuiti geograficamente in modo da ridurre al minimo l'impatto di eventuali problemi a livello locale, ad esempio calamità naturali o interruzioni del servizio, sui prodotti globali. In caso di guasto all'hardware, al software o alla rete, i servizi della piattaforma e i piani di controllo vengono spostati automaticamente e rapidamente da una struttura all'altra, in modo da evitare qualsiasi interruzione.

La nostra infrastruttura a elevata ridondanza ti aiuta anche a proteggere la tua attività e la perdita di dati. Puoi creare ed eseguire il deployment di risorse Google Cloud in più regioni e zone per creare sistemi resilienti e ad alta disponibilità. I nostri sistemi sono progettati per ridurre al minimo i tempi di inattività o le finestre di manutenzione quando dobbiamo eseguire la manutenzione o l'upgrade della nostra piattaforma. Per ulteriori informazioni su come Google Cloud integra resilienza e disponibilità nelle sue infrastrutture e nei suoi servizi principali, dal design alle operazioni, consulta la guida all'affidabilità dell'infrastruttura di Google Cloud.

Disponibilità del servizio Google Cloud

Alcuni servizi Google Cloud non sono disponibili in tutte le aree geografiche. Alcune le interruzioni del servizio sono temporanee (a causa di un evento imprevisto, come di rete), ma altre limitazioni del servizio sono permanenti a causa restrizioni imposte dal governo. Il nostro Rapporto sulla trasparenza e la dashboard dello stato completi mostrano interruzioni del traffico recenti e in corso e la disponibilità dei servizi Google Cloud. Forniamo questi dati per aiutarti ad analizzare e comprendere la disponibilità dei servizi.

Accesso ai dati e restrizioni

Questa sezione descrive come limitiamo l'accesso ai dati e come rispondiamo alle richieste di dati da parte delle forze dell'ordine.

Utilizzo dei dati

I dati che memorizzi sui nostri sistemi sono di tua proprietà. Non scansioniamo i tuoi dati a scopi pubblicitari, non li vendiamo a terze parti e non li utilizziamo per addestrare i nostri modelli di IA senza la tua autorizzazione. La guida al trattamento dei dati l'Addendum per Google Cloud descrive le nostre e continuare a proteggere i tuoi dati. in cui si afferma che non elaboreremo per qualsiasi scopo diverso dall'adempimento dei nostri obblighi contrattuali. Se scegliere di non usare più i nostri servizi, forniamo strumenti che ti consentono per portare i tuoi dati con te, senza penalità o costi aggiuntivi. Per maggiori informazioni informazioni sui nostri impegni per Google Cloud, consulta le nostre principi di fiducia.

Accesso amministrativo per i dipendenti di Google

La nostra infrastruttura è progettata per isolare logicamente i dati di ciascun cliente i dati di altri clienti e utenti, anche se sono archiviati server fisico. Solo un piccolo gruppo di dipendenti ha accesso al cliente e i dati di Google Cloud. I livelli e i diritti di accesso si basano sulla funzione e sul ruolo svolti da un dipendente, secondo i concetti di privilegio minimo e di chi deve esserne a conoscenza, in funzione delle responsabilità definite per il dipendente. Ai nostri dipendenti viene concesso un numero limitato di autorizzazioni predefinite per accedere alle risorse aziendali, come l'email dei dipendenti e il portale interno dei dipendenti di Google. Le richieste di accesso aggiuntivo devono seguire una procedura formale che prevede una richiesta e un'approvazione da parte del proprietario o del gestore dei dati o del sistema oppure di altri dirigenti, secondo quanto previsto dalle nostre norme di sicurezza.

Le approvazioni sono gestite da strumenti per i flussi di lavoro che mantengono i record di audit modifiche. Questi strumenti controllano sia le modifiche alle impostazioni di autorizzazione che la procedura di approvazione per garantire un'applicazione uniforme dei criteri di approvazione. Le impostazioni di autorizzazione di un dipendente vengono utilizzate per controllare l'accesso a le risorse, inclusi dati e sistemi per i prodotti Google Cloud. Assistenza sono forniti solo agli amministratori autorizzati dei clienti. I nostri team dedicati alla sicurezza, alla privacy e ai controlli interni monitorano e controllano l'accesso dei dipendenti e ti forniamo i log di controllo tramite la Trasparenza degli accessi per Google Cloud. Inoltre, quando attivi Access Approval, il nostro personale di assistenza e i nostri tecnici richiedono la tua approvazione esplicita per accedere ai tuoi dati.

Richieste di dati da parte delle autorità preposte all'applicazione della legge

In qualità di proprietario dei dati, hai la responsabilità principale di rispondere agli obblighi di legge delle richieste di dati. Tuttavia, come molte aziende tecnologiche, riceviamo richieste dirette da parte di governi e tribunali di divulgare i dati dei clienti. Google prevede norme e procedure operative e altre misure organizzative in vigore per contribuire a proteggere da richieste illegali o eccessive di dati dell'utente le autorità pubbliche. Quando riceviamo una richiesta di accesso ai dati, il nostro team la esamina per assicurarsi che soddisfi i requisiti legali e le norme di Google. In generale, per portarci a evadere la richiesta, questa deve essere fatta per iscritto, rilasciata ai sensi di una legge appropriata e firmata da un funzionario autorizzato dell'ente richiedente.

Crediamo che il pubblico meriti di conoscere appieno la portata dei governi richiederci informazioni. Siamo diventati la prima azienda a iniziare regolarmente la pubblicazione di report sulle richieste di dati da parte dei governi. Informazioni dettagliate sulle richieste di dati e sulla nostra risposta sono disponibili nel nostro Rapporto sulla trasparenza. È nostra prassi inviarti una notifica in caso di richieste relative ai tuoi dati, a meno che non espressamente vietato dalla legge o da un'ingiunzione del tribunale. Per maggiori informazioni le informazioni, vedi Richieste del governo relative ai dati dei clienti Cloud.

Fornitori di terze parti

Per la maggior parte delle attività di trattamento dati, forniamo i nostri servizi nei nostri dell'infrastruttura. Tuttavia, potremmo avvalerci di alcuni fornitori di terze parti affinché servizi correlati a Google Cloud, tra cui l'assistenza clienti e i assistenza in tempo reale. Prima di inserire un fornitore, ne valutiamo la sicurezza e la privacy pratiche. Questa valutazione verifica se il fornitore fornisce un livello di alla sicurezza e alla privacy appropriate per il loro accesso ai dati e per dei servizi che sono incaricati di fornire. Una volta che abbiamo valutato i rischi presentati dal fornitore di terze parti, quest'ultimo è tenuto a rispettare termini contrattuali appropriati relativi a sicurezza, riservatezza e privacy.

Per ulteriori informazioni, consulta Codice di condotta per i fornitori.

Supporto per i requisiti di conformità

Google Cloud viene regolarmente sottoposta a verifiche indipendenti controlli di sicurezza, privacy e conformità e riceve certificazioni, attestazioni e report di audit per dimostrare la conformità. La nostra sicurezza delle informazioni include controlli specifici relativi alla privacy dei dati dei clienti che contribuiscono a mantenerli al sicuro.

Di seguito sono riportati alcuni standard internazionali fondamentali per i quali siamo sottoposti a controlli:

Inoltre, i nostri report SOC 2 e SOC 3 sono disponibili per i nostri clienti.

Partecipiamo inoltre a framework specifici per settore e paese, come FedRAMP (governo degli Stati Uniti), BSI C5 (Germania) e MTCS (Singapore). Forniamo documenti e mappature di risorse per determinati framework in cui certificazioni o attestati formali potrebbero non essere richiesti o applicati.

Se operi in settori regolamentati, come finanza, pubblica amministrazione, sanità, o nel settore dell'istruzione, Google Cloud offre prodotti e servizi che conformi a numerosi requisiti specifici del settore. Ad esempio, se devi rispettare Standard Payment Card Industry Data Security (PCI DSS), vedi Conformità allo standard di sicurezza dei dati PCI per informazioni su come implementarne i requisiti in in Google Cloud.

Per un elenco completo delle nostre offerte di conformità, consulta il Centro risorse per la conformità.

Gestione dei rischi e assicurazione

Manteniamo un solido programma assicurativo per molti tipi di rischio, tra cui cyber e copertura assicurativa di responsabilità per la privacy. Queste norme includono la copertura per Google Cloud in caso di eventi quali l'uso o l'accesso non autorizzati alla nostra rete. l'azione normativa, laddove assicurabile; mancata protezione adeguata delle informazioni informazioni; costi delle notifiche; e i costi di gestione delle crisi, incluse le attività forensi le indagini.

Prodotti e servizi per la sicurezza di Google Cloud

La sicurezza è una responsabilità condivisa. In genere, è tua responsabilità proteggere ciò che porta nel cloud, mentre noi siamo responsabili di proteggere il cloud per trovare le regole. Pertanto, mentre sei sempre responsabile della sicurezza dei tuoi dati, responsabili della sicurezza dell'infrastruttura sottostante. L'immagine seguente questa relazione viene visualizzata come un modello di responsabilità condivisa, che descrive le responsabilità che tu e noi abbiamo in Google Cloud.

Responsabilità in materia di sicurezza per fornitori e clienti del cloud.

Nel modello Infrastructure as a Service (IaaS) vengono utilizzati solo i componenti hardware, Google Cloud è una nostra responsabilità. Nel modello Software as a Service (SaaS), il valore la sicurezza di tutto tranne i dati e il loro accesso e utilizzo sono i nostri la responsabilità.

Google Cloud offre una gamma di servizi di sicurezza di cui puoi usufruire per proteggere il tuo ambiente cloud su larga scala. Per ulteriori informazioni, consulta Prodotti per la sicurezza e l'identità in Google Cloud. Puoi anche trovare ulteriori informazioni nel nostro centro di best practice per la sicurezza.

Conclusione

La protezione dei tuoi dati è una considerazione fondamentale in fase di progettazione per i nostri a livello di infrastruttura, prodotti e operazioni. La scala delle nostre operazioni e la collaborazione con la comunità di ricerca sulla sicurezza ci consente di affrontare le vulnerabilità in modo rapido e spesso per prevenirle del tutto. Ci occupiamo noi della nostra come la Ricerca, YouTube e altri servizi Gmail, sulla stessa infrastruttura che rendiamo disponibile ai nostri clienti, che beneficiano direttamente dei nostri controlli e procedure di sicurezza.

Offriamo un livello di protezione che pochi provider di servizi cloud pubblici o team IT aziendali privati sono in grado di eguagliare. La protezione dei dati è fondamentale per la nostra attività, pertanto facciamo grandi investimenti in sicurezza, risorse, e competenze su una scala che altri non riescono a individuare. Il nostro investimento ti consente di concentrarti sul business e sull'innovazione. I nostri forti impegni contrattuali ti aiutano mantieni il controllo dei tuoi dati e del modo in cui vengono elaborati. Non utilizziamo i tuoi dati per la pubblicità o per qualsiasi scopo diverso dal fornire Google Cloud i servizi di machine learning.

Molte organizzazioni innovative ci affidano la loro risorsa più preziosa: i loro dati. Continueremo a investire nella sicurezza dei servizi Google Cloud per puoi trarre vantaggio dai nostri servizi in modo sicuro e trasparente.

Passaggi successivi