Acceso privilegiado en Google Cloud

Este contenido se actualizó por última vez en febrero del 2025 y representa la situación en el momento en que se redactó. Las políticas y los sistemas de seguridad de Google pueden cambiar en el futuro, ya que mejoramos constantemente la protección que proporcionamos a nuestros clientes.

En este documento se describen las funciones y los productos que le ayudan a controlar el acceso que tiene el personal de Google a sus datos de clientes. Tal y como se definen en los Google Cloud Términos del Servicio, los datos del cliente son los datos que los clientes o los usuarios finales proporcionan a Google a través de los servicios de su cuenta.

Información general sobre el acceso privilegiado

Normalmente, solo tú y los Google Cloud servicios que habilites podéis acceder a tus datos de clientes. En algunos casos, es posible que el personal de Google necesite acceder a tus datos para ayudarte a recibir un servicio contratado (por ejemplo, si necesitas asistencia o recuperarte de una interrupción). Este tipo de acceso se conoce como acceso privilegiado.

Los empleados con privilegios elevados a los que se les conceden temporalmente o adquieren permisos elevados suponen un mayor riesgo interno. Nuestro enfoque del acceso privilegiado se centra en reducir el número de posibles vectores de ataque. Por ejemplo, usamos los siguientes controles de seguridad:

• Esquemas de autenticación redundantes
• Vías de acceso a datos limitadas
• Registrar y alertar sobre las acciones en nuestros sistemas
• Permisos regulados

Este enfoque nos ayuda a controlar y detectar ataques internos, limitar el impacto de los incidentes y reducir el riesgo para tus datos.

La estrategia de gestión de acceso privilegiado Google Cloud limita la capacidad del personal de Google para ver o modificar los datos de los clientes. En Google Cloud, los límites de acceso privilegiado son una parte fundamental del diseño de nuestros productos.

Para obtener más información sobre cuándo puede acceder el personal de Google a tus datos, consulta la Adenda sobre Tratamiento de Datos de Cloud.

Filosofía de acceso privilegiado

La filosofía de acceso privilegiado de Google se basa en los siguientes principios:

• Las restricciones de acceso deben basarse en roles y aprobaciones de varias partes: el personal de Google tiene denegado el acceso al sistema de forma predeterminada. Cuando se concede acceso, este es temporal y no es mayor de lo necesario para desempeñar su función. El acceso a los datos de los clientes, las operaciones críticas en los sistemas de producción y las modificaciones del código fuente se controlan mediante sistemas de verificación manuales y automatizados. El personal de Google no puede acceder a los datos de los clientes sin que otra persona apruebe la solicitud. El personal solo puede acceder a los recursos necesarios para realizar su trabajo y debe proporcionar una justificación válida para acceder a los datos de los clientes. Para obtener más información, consulta Cómo protege Google sus servicios de producción.

• Las cargas de trabajo deben tener protección de extremo a extremo: con el cifrado en tránsito, el cifrado en reposo y la computación confidencial para el cifrado en uso, Google Cloud puede proporcionar cifrado de extremo a extremo de las cargas de trabajo de los clientes.

• El registro y la auditoría son continuos: el acceso del personal de Google a los datos de los clientes se registra y los sistemas de detección de amenazas realizan auditorías en tiempo real, alertando al equipo de seguridad cuando las entradas de registro coinciden con los indicadores de amenazas. Los equipos de seguridad internos evalúan las alertas y los registros para identificar e investigar actividades anómalas, lo que limita el alcance y el impacto de cualquier incidente. Para obtener más información sobre la respuesta a incidentes, consulta el proceso de respuesta a incidentes de datos.

• El acceso debe ser transparente e incluir controles del cliente: puedes usar claves de cifrado gestionadas por el cliente (CMEK) para gestionar tus propias claves de cifrado y controlar el acceso a ellas. Además, Transparencia de acceso asegura que todos los accesos privilegiados tengan una justificación comercial que se registre. Aprobación de acceso te permite aprobar o denegar las solicitudes de acceso del personal de Google a determinados conjuntos de datos.

Acceso del personal de Google a los datos de clientes

De forma predeterminada, el personal de Google no tiene acceso a los datos de los clientes. Google Cloud

Para obtener acceso, el personal de Google debe cumplir las siguientes condiciones:

• Ser miembro de las listas de control de acceso (LCA) pertinentes.
• Lee y acepta las políticas de acceso a datos de Google periódicamente.
• Usa un dispositivo de confianza.
• Inicia sesión con la autenticación multifactor mediante una llave de seguridad Titan, lo que minimiza el riesgo de que se suplante la identidad de tus credenciales.
• Acceder a herramientas que evalúen la justificación proporcionada (por ejemplo, el ticket de asistencia o el ID del problema), el rol del usuario y el contexto.
• Si las herramientas lo requieren, obtén la aprobación de otro empleado de Google cualificado.
• Si te has registrado en Aprobación de acceso, obtén la aprobación.

Los diferentes roles de personal requieren diferentes niveles de acceso. Por ejemplo, los roles de asistencia tienen acceso limitado a los datos de los clientes que están directamente relacionados con una incidencia de asistencia. Los roles de ingeniería pueden requerir privilegios adicionales del sistema para abordar problemas más complejos relacionados con la fiabilidad del servicio o la implementación de servicios.

Cuando Google colabora con terceros (como proveedores de asistencia) para ofrecer servicios de Google, evaluamos a esos terceros para asegurarnos de que proporcionan el nivel de seguridad y privacidad adecuado. Google Cloud publica una lista de todos los subencargados del tratamiento que se utilizan para ayudar a prestar el servicio.

Motivos por los que el personal de Google accede a los datos de los clientes

Aunque Google Cloud se ha diseñado para automatizar, minimizar o eliminar la necesidad de que el personal de Google acceda a los datos de los clientes, sigue habiendo algunos casos en los que el personal de Google puede acceder a los datos de los clientes. Por ejemplo, un caso de asistencia iniciado por el cliente, una interrupción o un fallo de la herramienta, solicitudes legales de terceros o revisiones iniciadas por Google.

Servicio de asistencia iniciado por el cliente

El acceso del personal de Google a los datos de clientes en los servicios que usan Transparencia de acceso suele deberse a eventos iniciados por el cliente, como ponerse en contacto con el servicio de asistencia. Cuando te pones en contacto con el personal del servicio de atención al cliente para resolver un problema, este solo obtiene acceso a datos de baja sensibilidad. Por ejemplo, si has perdido el acceso a un contenedor, el personal del servicio de atención al cliente solo tendrá acceso a datos poco sensibles, como el nombre del contenedor.

Interrupción o fallo de la herramienta

Durante las interrupciones o los fallos de las herramientas, el personal de Google puede acceder a los datos de los clientes para realizar una copia de seguridad o una recuperación según sea necesario. En estas situaciones, el personal de Google usa herramientas que pueden acceder directamente a los datos de los clientes para maximizar la eficiencia y resolver el problema a tiempo. Estas herramientas registran este acceso y las justificaciones que proporcionan los ingenieros. El equipo de respuesta de seguridad de Google también audita y registra el acceso. Los servicios Google Cloud compatibles generan registros de Transparencia de acceso que puedes consultar durante una interrupción. Durante una interrupción, los ingenieros no pueden saltarse la lista de permitidos del recurso, pero sí pueden acceder a los datos sin tu aprobación.

Solicitudes legales de terceros

Las solicitudes legales de terceros son poco frecuentes y solo el equipo jurídico puede generar una justificación de acceso legal válida. El equipo jurídico revisa la solicitud para asegurarse de que cumple los requisitos legales y las políticas de Google, te envía una notificación cuando la ley lo permite y tiene en cuenta las objeciones a la divulgación de los datos en la medida en que lo permita la ley. Para obtener más información, consulta el documento Solicitudes gubernamentales de datos de clientes en la nube (PDF).

Revisión iniciada por Google

Las revisiones iniciadas por Google también son poco frecuentes. Cuando se produzcan, deben asegurarse de que los datos de los clientes estén a salvo, protegidos y no se hayan visto comprometidos. Los principales motivos de estas revisiones son las preocupaciones de seguridad, el fraude, el abuso o las auditorías de cumplimiento. Por ejemplo, si los detectores automáticos de minería de bitcoins detectan que se está usando una VM para minar bitcoins, Google revisa el problema y confirma que el malware de un dispositivo de VM está agotando la capacidad de la VM. Google elimina el malware para que el uso de la máquina virtual vuelva a la normalidad.

Cómo controla y monitoriza Google el acceso a los datos de clientes

Los controles internos de Google incluyen lo siguiente:

• Sistemas de control generalizados en toda la infraestructura para evitar el acceso no autorizado
• Detección y corrección de accesos no autorizados mediante controles continuos
• Monitorización, alertas de infracciones y auditorías periódicas por parte de un equipo de auditoría interno y auditores externos independientes

Para obtener más información sobre cómo protege Google la infraestructura física, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Controles en toda la infraestructura

Google ha creado su infraestructura con la seguridad como elemento fundamental. Como la infraestructura global de Google es bastante homogénea, Google puede usar una infraestructura automatizada para implementar controles y limitar el acceso privilegiado. En las siguientes secciones se describen algunos de los controles que ayudan a implementar nuestros principios de acceso con privilegios.

Autenticación reforzada para todos los accesos

Google tiene requisitos de autenticación estrictos para que los usuarios (como los empleados) y los roles (como los servicios) puedan acceder a los datos. Los trabajos que se ejecutan en nuestro entorno de producción usan estas identidades para acceder a almacenes de datos o a métodos de llamada a procedimiento remoto (RPC, por sus siglas en inglés), pertenecientes a otros servicios. Es posible que varias tareas se ejecuten con la misma identidad. Nuestra infraestructura restringe la capacidad de desplegar o modificar tareas que tienen una identidad determinada a las personas responsables de ejecutar el servicio, que por regla general son nuestros ingenieros de fiabilidad de sitios web (SRE). Cuando se inicia una tarea, se aprovisiona con credenciales criptográficas. La tarea utiliza dichas credenciales para probar su identidad al hacer solicitudes de otros servicios (mediante ALTS, seguridad de transporte en la capa de la aplicación).

Acceso contextual

Para lograr una seguridad de confianza cero, la infraestructura de Google usa el contexto para autenticar y autorizar a usuarios y dispositivos. Para que se aprueben las solicitudes de acceso a datos, no solo basta con que se introduzcan unas credenciales fijas o con que las solicitudes se originen en la intranet de la empresa. Se evalúa todo el contexto de las solicitudes (como la identidad del usuario, la ubicación, la propiedad y la configuración del dispositivo, así como políticas de acceso granulares) para determinar si son válidas y protegerse así de intentos de phishing y de malwares que buscan robar las credenciales.

Al usar el contexto, cada solicitud de autenticación y autorización debe usar contraseñas seguras con tokens de seguridad u otros protocolos de autenticación de dos factores. Los usuarios autenticados y los dispositivos de confianza tienen acceso limitado y temporal a los recursos necesarios. Los inventarios de máquinas se mantienen de forma segura y se evalúa el estado de cada dispositivo conectado (por ejemplo, actualizaciones del SO, parches de seguridad, certificados de dispositivo, software instalado, análisis de virus y estado del cifrado) para detectar posibles riesgos de seguridad.

Por ejemplo, Chrome Enterprise Premium ayuda a garantizar que las credenciales de los empleados no se roben ni se usen de forma inadecuada, y que los dispositivos conectados no se vean comprometidos. Al cambiar los controles de acceso del perímetro de red al contexto de usuarios y dispositivos concretos, Chrome Enterprise Premium también permite que el personal de Google trabaje con más seguridad desde prácticamente cualquier ubicación sin necesidad de una VPN.

Revisión y autorización de todo el software de producción

Nuestra infraestructura se crea en contenedores mediante un sistema de gestión de clústeres denominado Borg. Autorización binaria para Borg se asegura de que el software de producción se revise y apruebe antes de desplegarse, sobre todo cuando nuestro código puede acceder a datos sensibles. Autorización binaria para Borg ayuda a asegurar que los despliegues de código y configuración cumplan determinados estándares y avisa a los propietarios de los servicios cuando no se cumplen estos requisitos. Al exigir que el código cumpla unos estándares y unas prácticas de gestión del cambio concretos antes de acceder a datos de usuario, la autorización binaria de Borg reduce las probabilidades de que el personal de Google (o una cuenta vulnerada) actúe individualmente para acceder a datos de usuario de manera programática.

Acceder a archivos de registro

La infraestructura de Google registra el acceso a los datos y los cambios en el código. Entre los tipos de registro se incluyen los siguientes:

• Registros de clientes: disponibles mediante Registros de auditoría de Cloud.

• Registros de acceso administrativo: disponibles mediante Transparencia de acceso.

• Registros de integridad de la implementación: registros internos sobre excepciones que monitoriza un equipo de seguridad central dedicado a auditar el acceso a los datos de los clientes. La monitorización de excepciones ayuda a proteger los datos sensibles y a mejorar la fiabilidad de la producción. La monitorización de excepciones ayuda a asegurar que el código fuente no revisado o no enviado no se ejecute en entornos privilegiados, ya sea por accidente o como resultado de un ataque deliberado.

Detección y respuesta ante incidentes

Para detectar y responder a las posibles infracciones de acceso, Google utiliza equipos de investigación internos especializados y controles manuales y automatizados que combinan aprendizaje automático, flujos de procesamiento de datos avanzados e incidentes de inteligencia sobre amenazas.

Desarrollo de señales

La base de las funciones de detección y respuesta de Google es la información sobre amenazas, que se refuerza mediante el análisis continuo de incidentes anteriores, tráfico de red, datos internos, registros de acceso al sistema, patrones de comportamiento anómalos, los resultados de ejercicios de seguridad ofensiva y muchas más alertas propias. Estos datos los analizan equipos especializados que generan una base de datos dinámica de señales o indicadores de amenazas que incluyen a todo Google. Los equipos de ingeniería usan indicadores de amenazas para desarrollar sistemas de detección especializados que monitoricen los sistemas internos en busca de actividad maliciosa, alerten al personal adecuado e implementen respuestas automatizadas (por ejemplo, revocar el acceso a un recurso).

Detección de amenazas

Las amenazas se detectan principalmente analizando los registros y comparando las entradas de registro con los indicadores de amenazas. Gracias a la autenticación reforzada, Google puede distinguir entre eventos de personas, eventos de servicios y eventos de suplantación de identidad de servicios en los registros para priorizar las investigaciones sobre el acceso real de personas. Las actividades que implican el acceso a datos de usuario, código fuente e información sensible se registran y requieren una justificación empresarial o una excepción. Las amenazas pueden incluir a una persona que intente tomar medidas unilaterales en sistemas sensibles o que intente acceder a datos de usuario sin un motivo empresarial válido. Estos tipos de actividades tienen procedimientos de alerta definidos.

Investigación de incidentes

Cuando se detectan infracciones de las políticas, los equipos de seguridad, que son independientes de los equipos principales de ingeniería y operaciones, proporcionan una supervisión independiente y llevan a cabo una investigación inicial. Los equipos de seguridad completan las siguientes tareas:

• Revisa los detalles del incidente y determina si el acceso ha sido intencionado, no intencionado, accidental, causado por un error o una configuración incorrecta, o si es el resultado de controles inadecuados (por ejemplo, si un atacante externo ha robado y usado las credenciales de un empleado cuya cuenta se ha visto comprometida).
• Si el acceso es involuntario o accidental (por ejemplo, si el personal de Google no conocía los protocolos de acceso o los ha infringido por error), los equipos pueden tomar medidas inmediatas para solucionar el problema (por ejemplo, recuperando la propiedad intelectual).
• Si se sospecha que hay un comportamiento malicioso, el equipo de seguridad deriva el incidente y recoge información adicional, incluidos los registros de acceso a datos y al sistema, para determinar el alcance y el impacto del incidente.
• En función de los resultados de esa consulta, el equipo de seguridad envía los incidentes para que se investiguen, documenten y resuelvan, o bien, en casos extremos, deriva el incidente a las autoridades externas o a las fuerzas de seguridad.

Solución

El equipo de seguridad usa incidentes anteriores para identificar y resolver vulnerabilidades, así como para mejorar las capacidades de detección. Todos los incidentes se documentan y se extraen los metadatos para identificar tácticas, técnicas y procedimientos específicos de cada exploit. El equipo usa esos datos para desarrollar nuevos indicadores de amenazas, reforzar las protecciones actuales o enviar solicitudes de funciones para mejorar la seguridad.

Servicios que monitorizan y controlan el acceso de Google a los datos

Los siguientes Google Cloud servicios te ofrecen opciones para obtener visibilidad y control sobre el acceso de Google a tus datos.

ServicioGoogle Cloud	Descripción
Aprobación de acceso	Si tienes datos muy sensibles o restringidos, con Aprobación de acceso puedes exigir tu aprobación para que un administrador de Google autorizado pueda acceder a tus datos y ofrecerte asistencia. Las solicitudes de acceso aprobadas se registran en los registros de Transparencia de acceso, que están vinculados a la solicitud de aprobación. Después de aprobar una solicitud, el acceso debe tener los privilegios adecuados en Google para que se permita. Para ver una lista de losGoogle Cloud servicios que admiten Aprobación de acceso, consulta Servicios admitidos.
Transparencia de acceso	Los registros de Transparencia de acceso registran el acceso administrativo del personal autorizado de Google cuando presta asistencia a tu organización o mantiene la disponibilidad del servicio. Para ver una lista de los Google Cloud servicios que admiten Transparencia de acceso, consulta Servicios admitidos.
Assured Workloads	Usa Assured Workloads si tu empresa necesita asistencia regional específica, programas normativos certificados (por ejemplo, FedRAMP o ITAR) o programas como Sovereign Controls for EU. Assured Workloads ofrece a los Google Cloud usuarios un flujo de trabajo de habilitación para crear y monitorizar la vida útil de los paquetes de controles que necesites.
Cloud KMS	Usa Cloud KMS con Cloud EKM para controlar tus claves de cifrado. Cloud KMS con Cloud EKM te permite cifrar datos con claves de cifrado que se almacenan y gestionan en un sistema de gestión de claves de terceros desplegado fuera de la infraestructura de Google. Cloud EKM te permite mantener la separación entre los datos en reposo y las claves de encriptado sin dejar de aprovechar la potencia de la computación y las analíticas en la nube.
Confidential Computing	Usa Confidential Computing para cifrar los datos en uso. Google Cloud Incluye los siguientes servicios que habilitan la computación confidencial: Máquina virtual confidencial: habilita el cifrado de datos en uso para cargas de trabajo que usan máquinas virtuales. Nodos confidenciales de Google Kubernetes Engine: habilita el cifrado de datos en uso para cargas de trabajo que usan contenedores. Dataflow confidencial: habilita el cifrado de los datos en uso para las analíticas de streaming y el aprendizaje automático. Confidencial de Dataproc: habilita el cifrado de datos en uso para el tratamiento de datos Espacio confidencial: habilita el cifrado de los datos en uso para el análisis conjunto de datos y el aprendizaje automático Estos servicios te permiten reducir tu límite de confianza para que menos recursos tengan acceso a tus datos confidenciales. Para obtener más información, consulta Implementar computación confidencial en Google Cloud.
Justificaciones de Acceso a Claves	Usa Justificaciones de Acceso a Claves para la soberanía y la detección de datos. Justificaciones de Acceso a Claves te proporciona una justificación cada vez que se usan tus claves alojadas externamente para descifrar datos. Para mejorar el control que tienes sobre tus datos, Key Access Justifications requiere Cloud KMS con Cloud HSM o Cloud KMS con Cloud EKM. Debes aprobar el acceso para que el personal de Google pueda descifrar tus datos en reposo.

Siguientes pasos

• Para obtener más información sobre nuestro compromiso de proteger la privacidad de los datos de los clientes, consulta Google Cloud y los principios de privacidad comunes.

• Para obtener información sobre los principios básicos de los controles que impiden el acceso administrativo no autorizado, consulta Descripción general de los controles de acceso administrativo.

• Para ver la lista de justificaciones empresariales por las que el personal de Google puede solicitar acceso a los datos de clientes, consulte los códigos de motivos de justificación.