Acceso con privilegios en Google Cloud

Este contenido se actualizó por última vez en febrero de 2025 y representa el estado actual del momento en que se redactó. Es posible que cambien las políticas y los sistemas de seguridad de Google en el futuro, ya que mejoramos la protección de nuestros clientes de forma continua.

En este documento, se describen las funciones y los productos que te ayudan a controlar el acceso que el personal de Google tiene a tus datos de clientes. Según se define en las Condiciones del Servicio, los datos del cliente son los que clientes o usuarios finales proporcionan a Google a través de los servicios que se indican en sus.Google Cloud

Descripción general del acceso con privilegios

Por lo general, solo tú y los Google Cloud servicios que habilites pueden acceder a tus datos de clientes. En algunos casos, el personal de Google puede necesitar acceso a tus datos para ayudar a proporcionar un servicio contratado (por ejemplo, si necesitas asistencia o si debes recuperarte de una interrupción). Este tipo de acceso se conoce como acceso con privilegios.

Los empleados con privilegios elevados a los que se les otorgan permisos temporales o que los adquieren representan un mayor riesgo de filtración de información. Nuestro enfoque para el acceso con privilegios se enfoca en reducir la cantidad de vectores de ataque posibles. Por ejemplo, usamos los siguientes controles de seguridad:

  • Esquemas de autenticación redundantes
  • Rutas de acceso a los datos limitadas
  • Registro y generación de alertas en todos nuestros sistemas
  • Permisos regulados

Este enfoque nos ayuda a controlar y detectar ataques internos, limitar el impacto de los incidentes y reducir el riesgo para tus datos.

La estrategia de administración de acceso con privilegios de Google Cloud limita la capacidad del personal de Google para ver o modificar los datos del cliente. EnGoogle Cloud, los límites de acceso con privilegios son una parte integral del funcionamiento de nuestros productos.

Para obtener más información sobre cuándo el personal de Google podría acceder a tus datos, consulta el Anexo de Tratamiento de Datos de Cloud.

Filosofía de acceso con privilegios

La filosofía de acceso con privilegios de Google se basa en los siguientes principios rectores:

  • Las restricciones de acceso deben basarse en roles y aprobaciones de varias partes: El personal de Google no tiene acceso al sistema de forma predeterminada. Cuando se otorga el acceso, es temporal y no es mayor que el necesario para desempeñar su función. El acceso a los datos del cliente, las operaciones críticas en los sistemas de producción y las modificaciones del código fuente se controlan mediante sistemas de verificación manuales y automatizados. El personal de Google no puede acceder a los datos de los clientes sin que otra persona apruebe la solicitud. El personal solo puede acceder a los recursos necesarios para realizar su trabajo y debe proporcionar una justificación válida para acceder a los datos del cliente. Para obtener más información, consulta Cómo protege Google sus servicios de producción.

  • Las cargas de trabajo deben tener protección de extremo a extremo: Con la encriptación en tránsito, la encriptación en reposo y la Computación confidencial para la encriptación en uso, Google Cloud puede proporcionar encriptación de extremo a extremo de las cargas de trabajo de los clientes.

  • El registro y la auditoría son continuos: El acceso del personal de Google a los datos del cliente se registra, y los sistemas de detección de amenazas realizan auditorías en tiempo real y alertan al equipo de seguridad cuando las entradas de registro coinciden con los indicadores de amenazas. Los equipos de seguridad internos evalúan las alertas y los registros para identificar e investigar actividades anómalas, lo que limita el alcance y el impacto de cualquier incidente. Para obtener más información sobre la respuesta ante incidentes, consulta el Proceso de respuesta ante incidentes de datos.

  • El acceso debe ser transparente y debe incluir controles del cliente: Puedes usar claves de encriptación administradas por el cliente (CMEK) para administrar tus propias claves de encriptación y controlar el acceso a ellas. Además, la Transparencia de acceso garantiza que todo acceso con privilegios tenga una justificación empresarial registrada. La aprobación de acceso te permite aprobar o rechazar las solicitudes de acceso del personal de Google a ciertos conjuntos de datos.

Acceso del personal de Google a los datos de los clientes

De forma predeterminada, el personal de Google no tiene acceso a los datos de los Google Cloud clientes.

Para obtener acceso, el personal de Google debe cumplir con las siguientes condiciones:

  • Ser miembro de las listas de control de acceso (LCA) relevantes
  • Lee y acepta las políticas de acceso a los datos de Google con regularidad.
  • Usa un dispositivo de confianza.
  • Accede con la autenticación de varios factores mediante una llave de seguridad Titan, que minimiza el riesgo de que se roben las credenciales mediante phishing.
  • Herramientas de acceso que evalúan la justificación proporcionada (por ejemplo, el ticket de asistencia o el ID del problema), el rol del usuario y el contexto
  • Si las herramientas lo requieren, obtén la aprobación de otro miembro del personal de Google calificado.
  • Si te inscribiste en Aprobación de acceso, obtén tu aprobación.

Los diferentes roles del personal requieren diferentes niveles de acceso. Por ejemplo, los roles de asistencia tienen acceso limitado a los datos de los clientes que están directamente relacionados con un ticket de asistencia al cliente. Es posible que los roles de ingeniería requieran privilegios del sistema adicionales para abordar problemas más complejos relacionados con la confiabilidad de los servicios o su implementación.

Cuando Google trabaja con terceros (como proveedores de asistencia al cliente) para brindar servicios de Google, evaluamos a los terceros para asegurarnos de que proporcionen el nivel adecuado de seguridad y privacidad. Google Cloud publica una lista de todos los subprocesadores que se usan para ayudar a brindar el servicio.

Motivos por los que el personal de Google accede a los datos de los clientes

Si bien Google Cloud está diseñado para automatizar, minimizar o eliminar la necesidad de que el personal de Google acceda a los datos del cliente, aún hay algunos casos en los que el personal de Google podría acceder a los datos del cliente. Estos casos incluyen asistencia iniciada por el cliente, interrupciones o fallas de herramientas, solicitudes legales de terceros y revisiones iniciadas por Google.

Asistencia que inició el cliente

El acceso del personal de Google a los datos de los clientes en los servicios que usan la Transparencia de acceso suele ser el resultado de eventos que los clientes inician, como comunicarse con el equipo de Atención al cliente. Cuando te comunicas con el personal de Atención al cliente para resolver un problema, este solo obtiene acceso a datos de baja sensibilidad. Por ejemplo, si perdiste el acceso a un bucket, el personal del equipo de Atención al cliente solo tiene acceso a datos de baja sensibilidad, como el nombre del bucket.

Interrupción o falla de la herramienta

Durante las interrupciones o fallas de las herramientas, el personal de Google puede acceder a los datos del cliente para realizar una copia de seguridad o una recuperación según sea necesario. En estas situaciones, el personal de Google usa herramientas que pueden acceder directamente a los datos del cliente para maximizar la eficiencia y resolver el problema de manera oportuna. Estas herramientas registran este acceso y las justificaciones que proporcionan los ingenieros. El equipo de respuesta de seguridad de Google también audita y registra el acceso. Los servicios Google Cloud admitidos generan registros de Transparencia de acceso que puedes ver durante una interrupción. Durante una interrupción, los ingenieros no pueden omitir la lista de entidades permitidas del recurso. Sin embargo, pueden acceder a los datos sin tu aprobación.

Las solicitudes legales de terceros son poco frecuentes y solo el equipo legal puede generar una justificación válida de acceso legal. El equipo legal revisa la solicitud para asegurarse de que cumpla con los requisitos legales y las políticas de Google, te envía una notificación cuando lo permita la ley y considera las objeciones para divulgar los datos en la medida en que lo permita la ley. Para obtener más información, consulta Solicitudes gubernamentales de datos sobre clientes en la nube (PDF).

Revisión iniciada por Google

Las opiniones que inicia Google también son poco frecuentes. Cuando ocurran, deben asegurarse de que los datos del cliente estén seguros y no se hayan visto comprometidos. Los principales motivos de estas revisiones son inquietudes de seguridad, fraude, abuso o auditorías de cumplimiento. Por ejemplo, si los detectores automatizados de minería de bitcoin detectan que se está usando una VM para la minería de bitcoin, Google revisa el problema y confirma que el software malicioso en un dispositivo de VM está agotando la capacidad de la VM. Google quita el malware para que el uso de la VM vuelva a ser normal.

Cómo Google controla y supervisa el acceso a los datos de los clientes

Los controles internos de Google incluyen lo siguiente:

  • Sistemas de control generalizados en toda la infraestructura para evitar el acceso no autorizado
  • Detección y solución de accesos no autorizados mediante controles continuos
  • Supervisión, alertas de incumplimientos y auditorías periódicas por parte de un equipo de auditoría interno y auditores externos independientes

Para obtener más información sobre cómo Google protege la infraestructura física, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Controles de toda la infraestructura

Google creó su infraestructura con la seguridad como eje central. Debido a que la infraestructura global de Google es bastante homogénea, Google puede usar la infraestructura automatizada para implementar controles y limitar el acceso con privilegios. En las siguientes secciones, se describen algunos de los controles que ayudan a implementar nuestros principios de acceso con privilegios.

Autenticación sólida para todo el acceso

Google tiene requisitos de autenticación sólidos para el acceso de los usuarios (como un empleado) y los roles (como un servicio) a los datos. Las tareas que se ejecutan en nuestro entorno de producción usan estas identidades para acceder a almacenes de datos o métodos de llamada de procedimiento remoto (RPC) de otros servicios. Es posible que varios trabajos se ejecuten con la misma identidad. Nuestra infraestructura restringe la capacidad de implementar o modificar trabajos que tengan una identidad particular a los responsables de ejecutar el servicio, que, por lo general, son nuestros ingenieros de confiabilidad de sitios (SRE). Cuando se inicia un trabajo, se aprovisiona con credenciales criptográficas. El trabajo usa estas credenciales para demostrar su identidad cuando realiza solicitudes de otros servicios (mediante la seguridad de transporte de la capa de la aplicación (ALTS)).

Acceso adaptado al contexto

Para lograr la seguridad de confianza cero, la infraestructura de Google usa el contexto para autenticar y autorizar a los usuarios y dispositivos. Las decisiones de acceso no se basan únicamente en credenciales estáticas o si provienen de una intranet corporativa. Se evalúa el contexto completo de una solicitud (como la identidad del usuario, su ubicación, la propiedad y configuración del dispositivo, además de las políticas de acceso detalladas) para determinar su validez y prevenir intentos de suplantación de identidad (phishing) y usos de software malicioso para robar credenciales.

Cuando se usa el contexto, cada solicitud de autenticación y autorización debe usar contraseñas seguras con tokens de seguridad o con otros protocolos de autenticación de dos factores. Los usuarios autenticados y los dispositivos de confianza tienen acceso limitado y temporal a los recursos necesarios. Los inventarios de máquinas se mantienen de forma segura y se evalúa el estado de cada dispositivo conectado (por ejemplo, actualizaciones del SO, parches de seguridad, certificados de dispositivos, software instalado, análisis de virus y estado de encriptación) para detectar posibles riesgos de seguridad.

Por ejemplo, Chrome Enterprise Premium ayuda a garantizar que no se roben ni usen de forma inadecuada las credenciales de los empleados, y que no se vean comprometidos los dispositivos de conexión. Gracias al traslado de los controles de acceso del perímetro de la red al contexto de los usuarios y dispositivos individuales, Chrome Enterprise Premium también permite que el personal de Google trabaje de forma más segura desde prácticamente cualquier ubicación sin la necesidad de una VPN.

Revisión y autorización de todo el software de producción

Nuestra infraestructura se basa en contenedores y usa un sistema de administración de clústeres llamado Borg. La Autorización Binaria para Borg garantiza que el software de producción se revise y apruebe antes de que se implemente, en especial cuando nuestro código puede acceder a datos sensibles. La autorización de objetos binarios para Borg ayuda a garantizar que las implementaciones de código y configuración cumplan con ciertos estándares y alerten a los propietarios del servicio cuando no se cumplan estos requisitos. Cuando se requiere un código para cumplir determinados estándares y prácticas de administración de cambios antes de acceder a los datos del usuario, la autorización binaria para Borg reduce la posibilidad de que el personal de Google (o una cuenta comprometida) actúe solo para acceder a los datos del usuario de manera programática.

Accede a los archivos de registro

La infraestructura de Google registra el acceso a los datos y los cambios de código. Los tipos de registro incluyen los siguientes:

  • Registros de clientes: Disponibles con los Registros de auditoría de Cloud.
  • Registros de acceso administrativo: Disponibles con la Transparencia de acceso.

  • Registros de integridad de la implementación: Son registros internos sobre excepciones que supervisa un equipo de seguridad central dedicado a auditar el acceso a los datos del cliente. El monitoreo de excepciones ayuda a proteger los datos sensibles y mejorar la confiabilidad de la producción. La supervisión de excepciones ayuda a garantizar que el código fuente no revisado o no enviado no se ejecute en entornos con privilegios, ya sea de forma accidental o como resultado de un ataque deliberado.

Detección y respuesta ante incidentes

Para detectar y responder a posibles incumplimientos de acceso, Google utiliza equipos de investigación internos expertos y controles manuales y automatizados que combinan el aprendizaje automático, las canalizaciones de procesamiento de datos avanzadas y los incidentes de inteligencia de amenazas.

Desarrollo de la señal

El núcleo de las capacidades de detección y respuesta de Google es la inteligencia sobre amenazas, que se fortalece con el análisis continuo de incidentes anteriores, tráfico de red, datos internos, registros de acceso del sistema, patrones de comportamiento anómalos, los resultados de ejercicios de seguridad ofensiva y muchas más alertas propietarias. Estos datos los analizan equipos especializados que producen una base de datos dinámica de indicadores, o indicadores de amenazas, que incluyen a todo Google. Los equipos de ingeniería usan indicadores de amenazas para desarrollar sistemas de detección especializados que supervisen los sistemas internos en busca de actividad maliciosa, alerten al personal adecuado y, además, implementen respuestas automatizadas (por ejemplo, revocar el acceso a un recurso).

Detección de amenazas

Las amenazas se detectan principalmente a través del análisis de registros y la coincidencia de entradas de registro con indicadores de amenazas. Como resultado de la autenticación reforzada, Google puede diferenciar entre eventos humanos, eventos de servicio y eventos de suplantación de identidad de servicio en los registros para priorizar las investigaciones sobre el acceso humano real. Las actividades que implican el acceso a los datos del usuario, el código fuente y la información sensible se registran, y se requiere una justificación comercial o una excepción. Las amenazas pueden incluir a una persona que intenta realizar acciones unilaterales en sistemas sensibles o acceder a los datos del usuario sin un motivo comercial válido. Estos tipos de actividades tienen procedimientos de alerta definidos.

Investigación de incidentes

Cuando se detectan incumplimientos de políticas, los equipos de seguridad que están separados de los equipos principales de ingeniería y operaciones proporcionan una supervisión independiente y realizan una investigación inicial. Los equipos de seguridad completan las siguientes tareas:

  • Revisa los detalles del incidente y determina si el acceso fue intencional, accidental, causado por un error o una configuración incorrecta, o el resultado de controles inadecuados (por ejemplo, un atacante externo que roba y usa las credenciales de un empleado vulnerado).
  • Si el acceso es no intencional o accidental (por ejemplo, el personal de Google no estaba al tanto de los protocolos de acceso o los incumplió por error), los equipos pueden tomar medidas inmediatas para solucionar el problema (por ejemplo, recuperando la propiedad intelectual).
  • Si se sospecha de un comportamiento malicioso, el equipo de seguridad deriva el incidente y recopila información adicional, incluidos los datos y los registros de acceso al sistema, para determinar el alcance y el impacto del incidente.
  • Según los resultados de esa consulta, el equipo de seguridad envía incidentes para su investigación, documentación y resolución adicionales, o bien, en casos extremos, deriva el incidente a autoridades externas o a las fuerzas del orden.

Acciones

El equipo de seguridad usa incidentes anteriores para identificar y resolver vulnerabilidades, así como mejorar las capacidades de detección. Todos los incidentes se documentan y se extraen los metadatos para identificar tácticas, técnicas y procedimientos específicos para cada exploit. El equipo usa esos datos para desarrollar nuevos indicadores de amenazas, reforzar las protecciones existentes o solicitar funciones para mejorar la seguridad.

Servicios que supervisan y controlan el acceso de Google a los datos

Los siguientes Google Cloud servicios te proporcionan opciones para lograr visibilidad y control sobre el acceso de Google a tus datos.

servicioGoogle Cloud Descripción

Aprobación de acceso

Si tienes datos muy sensibles o restringidos, la aprobación de acceso te permite solicitar tu aprobación antes de que un administrador autorizado de Google pueda acceder a tus datos para brindarte asistencia. Las solicitudes de acceso aprobadas se registran con los registros de Transparencia de acceso que están vinculados a la solicitud de aprobación. Después de aprobar una solicitud, el acceso debe tener los privilegios adecuados dentro de Google para que se permita. Para obtener una lista de los servicios deGoogle Cloud que admiten la aprobación de acceso, consulta Servicios compatibles.

Transparencia de acceso

La Transparencia de acceso registra el acceso administrativo del personal autorizado de Google cuando brinda asistencia a tu organización o mantiene la disponibilidad del servicio. Para obtener una lista de los Google Cloud servicios que admiten la transparencia de acceso, consulta Servicios compatibles.

Assured Workloads

Usa Assured Workloads si tu empresa requiere asistencia regional dedicada, programas regulatorios certificados (por ejemplo, FedRAMP o ITAR) o programas como Sovereign Controls para la UE. Assured Workloads proporciona a los usuarios de Google Cloud un flujo de trabajo de habilitación para crear y supervisar la vida útil de los paquetes de control que necesites.

Cloud KMS

Usa Cloud KMS con Cloud EKM para controlar tus claves de encriptación. Cloud KMS con Cloud EKM te permite encriptar datos con claves de encriptación que se almacenan y administran en un sistema de administración de claves de terceros que se implementa fuera de la infraestructura de Google. Cloud EKM te permite mantener la separación entre los datos en reposo y las claves de encriptación, a la vez que aprovechas la potencia del procesamiento y las estadísticas en la nube.

Confidential Computing

Usa Confidential Computing para encriptar los datos en uso.Google Cloud incluye los siguientes servicios que habilitan la computación confidencial:

  • Confidential VM: Habilita la encriptación de datos en uso para las cargas de trabajo que usan VMs.
  • Confidential Google Kubernetes Engine Nodes: Habilita la encriptación de datos en uso para las cargas de trabajo que usan contenedores.
  • Confidential Dataflow: Habilita la encriptación de los datos en uso para las estadísticas de transmisión y el aprendizaje automático.
  • Confidential Dataproc: Habilita la encriptación de datos en uso para el procesamiento de datos.
  • Espacio confidencial: Habilita la encriptación de los datos en uso para el análisis de datos conjunto y el aprendizaje automático.

Estos servicios te permiten reducir tu límite de confianza para que menos recursos tengan acceso a tus datos confidenciales. Para obtener más información, consulta Cómo implementar la computación confidencial en Google Cloud.

Key Access Justifications

Usa Key Access Justifications para la soberanía y el descubrimiento de datos.

Key Access Justifications te proporciona una justificación cada vez que se usan tus claves alojadas de forma externa para desencriptar datos. Key Access Justifications requiere Cloud KMS con Cloud HSM o Cloud KMS con Cloud EKM para mejorar el control que tienes sobre tus datos. Debes aprobar el acceso para que el personal de Google pueda desencriptar tus datos en reposo.

¿Qué sigue?