Accesso con privilegi in Google Cloud

Questi contenuti sono stati aggiornati a febbraio 2025 e rappresentano lo status quo al momento della loro redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.

Questo documento descrive le funzionalità e i prodotti che ti aiutano a controllare l'accesso del personale di Google ai dati dei tuoi clienti. Come definito nei Google Cloud Termini di servizio, i dati dei clienti sono i dati forniti a Google da clienti o utenti finali tramite i servizi nel loro account.

Panoramica dell'accesso privilegiato

In genere, solo tu e i Google Cloud servizi che attivi potete accedere ai dati dei clienti. In alcuni casi, il personale di Google potrebbe richiedere l'accesso ai tuoi dati per contribuire a fornire un servizio in base a contratto (ad esempio, se hai bisogno di assistenza o devi recuperare da un'interruzione del servizio). Questo tipo di accesso è noto come accesso privilegiato.

I dipendenti con privilegi elevati a cui vengono concesse temporaneamente o che acquisiscono autorizzazioni elevate rappresentano un rischio maggiore di insider. Il nostro approccio agli accessi privilegiati si concentra sulla riduzione del numero di possibili vettori di attacco. Ad esempio, utilizziamo i seguenti controlli di sicurezza:

  • Schemi di autenticazione ridondanti
  • Percorsi di accesso ai dati limitati
  • Registrazione e generazione di avvisi sulle azioni nei nostri sistemi
  • Autorizzazioni regolamentate

Questo approccio ci consente di controllare e rilevare gli attacchi interni, limitare l'impatto degli incidenti e ridurre il rischio per i tuoi dati.

La strategia di gestione dell'accesso privilegiato in Google Cloud limita la capacità del personale Google di visualizzare o modificare i dati dei clienti. In Google Cloud, i limiti all'accesso privilegiato fanno parte integrante del funzionamento dei nostri prodotti.

Per ulteriori informazioni su quando il personale di Google potrebbe accedere ai tuoi dati, consulta l'Addendum per il trattamento dei dati Cloud.

Filosofia dell'accesso privilegiato

La filosofia di Google in materia di accessi con privilegi si basa sui seguenti principi guida:

  • Le limitazioni di accesso devono essere basate su ruoli e approvazioni di più parti: per impostazione predefinita, al personale di Google viene negato l'accesso al sistema. Quando l'accesso viene concesso, è temporaneo e non è superiore a quanto necessario per svolgere il ruolo. L'accesso ai dati dei clienti, le operazioni critiche sui sistemi di produzione e le modifiche del codice sorgente sono controllati da sistemi di verifica manuali e automatici. Il personale di Google non può accedere ai dati dei clienti senza che un'altra persona approvi la richiesta. Il personale può accedere solo alle risorse necessarie per svolgere le proprie mansioni e deve fornire una motivazione valida per accedere ai dati dei clienti. Per saperne di più, consulta l'articolo In che modo Google protegge i suoi servizi di produzione.

  • I carichi di lavoro devono avere protezione end-to-end: con la crittografia in transito, la crittografia a riposo e il Computing riservato per la crittografia in uso, Google Cloud possiamo fornire crittografia end-to-end dei carichi di lavoro dei clienti.

  • Il logging e i controlli sono continui: l'accesso del personale Google ai dati dei clienti viene registrato e i sistemi di rilevamento delle minacce eseguono controlli in tempo reale, avvisando il team di sicurezza quando le voci dei log corrispondono agli indicatori di minaccia. I team di sicurezza interna valutano avvisi e log per identificare ed esaminare attività anomale, limitando l'ambito e l'impatto di qualsiasi incidente. Per ulteriori informazioni sulla risposta agli incidenti, consulta il processo di risposta agli incidenti relativi ai dati.

  • L'accesso deve essere trasparente e includere i controlli del cliente: puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) per gestire le tue chiavi di crittografia e controllarne l'accesso. Inoltre, Access Transparency garantisce che per tutti gli accessi privilegiati sia stata registrata una motivazione aziendale. Access Approval ti consente di approvare o negare le richieste di accesso da parte del personale di Google a determinati dataset.

Accesso del personale di Google ai dati dei clienti

Per impostazione predefinita, il personale di Google non ha accesso ai Google Cloud dati del cliente.

Per ottenere l'accesso, il personale di Google deve soddisfare le seguenti condizioni:

  • Devi far parte di elenchi di controllo di accesso (ACL) pertinenti.
  • Leggi e accetta regolarmente le norme di Google relative all'accesso ai dati.
  • Utilizza un dispositivo attendibile.
  • Accedi con l'autenticazione a più fattori utilizzando un token di sicurezza Titan, che riduce al minimo il rischio di phishing delle credenziali.
  • Accedi agli strumenti che valutano la motivazione fornita (ad esempio il ticket di assistenza o l'ID problema), il ruolo dell'utente e il contesto.
  • Se richiesto dagli strumenti, ottieni l'approvazione per l'autorizzazione da un altro personale qualificato di Google.
  • Se hai eseguito la registrazione ad Access Approval, ottieni l'approvazione.

I diversi ruoli del personale richiedono livelli di accesso diversi. Ad esempio, i ruoli di assistenza hanno accesso limitato ai dati dei clienti direttamente correlati a una richiesta di assistenza clienti. I ruoli di ingegneria potrebbero richiedere privilegi di sistema aggiuntivi per risolvere problemi più complessi relativi all'affidabilità o al deployment dei servizi.

Quando Google collabora con terze parti (ad esempio fornitori di assistenza clienti) per fornire i servizi Google, valutiamo la terza parte per assicurarci che fornisca il livello appropriato di sicurezza e privacy. Google Cloud pubblica un elenco di tutti i subappaltatori utilizzati per contribuire a fornire il servizio.

Motivi per cui il personale di Google deve accedere ai dati dei clienti

Anche se Google Cloud è progettato per automatizzare, ridurre al minimo o eliminare la necessità per il personale di Google di accedere ai dati dei clienti, in alcuni casi il personale di Google potrebbe accedere ai dati dei clienti. Queste richieste includono assistenza richiesta dal cliente, interruzione o guasto dello strumento, richieste legali di terze parti e revisioni avviate da Google.

Richiesta di assistenza avviata dal cliente

L'accesso del personale Google ai dati dei clienti nei servizi che utilizzano Access Transparency avviene in genere a seguito di eventi avviati dal cliente, ad esempio il contatto dell'assistenza clienti. Quando contatti il personale dell'assistenza clienti per risolvere un problema, il personale dell'assistenza clienti ottiene l'accesso solo ai dati con scarsa sensibilità. Ad esempio, se hai perso l'accesso a un bucket, il personale dell'Assistenza clienti ha accesso solo a dati con scarsa sensibilità, come il nome del bucket.

Intrruzione del servizio o errore dello strumento

Durante interruzioni o errori degli strumenti, il personale di Google può accedere ai dati dei clienti per eseguire un backup o un ripristino in base alle esigenze. In queste situazioni, il personale di Google utilizza strumenti che possono accedere direttamente ai dati dei clienti per massimizzare l'efficienza e risolvere il problema in modo tempestivo. Questi strumenti registrano questo accesso e le giustificazioni fornite dagli ingegneri. L'accesso viene inoltre controllato e registrato dal team di risposta alla sicurezza di Google. I servizi Google Cloudsupportati generano log di Access Transparency che sono visibili durante un'interruzione del servizio. Durante un'interruzione, gli ingegneri non possono bypassare la lista consentita per la risorsa, ma possono accedere ai dati senza la tua approvazione.

Le richieste legali di terze parti sono rare, e solo il team legale può generare una giustificazione valida per l'accesso per motivi legali. Il team legale esamina la richiesta per verificare che soddisfi i requisiti legali e le norme di Google, ti invia una notifica se consentito dalla legge e prende in considerazione le obiezioni alla divulgazione dei dati nella misura consentita dalla legge. Per ulteriori informazioni, consulta la pagina Richieste del governo relative ai dati dei clienti Cloud (PDF).

Revisione avviata da Google

Anche le revisioni avviate da Google sono rare. Quando si verificano, devono garantire che i dati dei clienti siano al sicuro e non siano stati compromessi. I motivi principali di queste revisioni sono problemi di sicurezza, attività fraudolente, abusi o controlli di conformità. Ad esempio, se i rilevatori automatici di mining di bitcoin rilevano che una VM viene utilizzata per il mining di bitcoin, Google esamina il problema e conferma che il malware su un dispositivo VM sta esaurendo la capacità della VM. Google rimuove il malware in modo che l'utilizzo della VM torni alla normalità.

In che modo Google controlla e monitora l'accesso ai dati dei clienti

I controlli interni di Google includono quanto segue:

  • Sistemi di controllo per l'intera infrastruttura per impedire l'accesso non autorizzato
  • Rilevamento e correzione degli accessi non autorizzati tramite controlli continui
  • Monitoraggio, avvisi di violazioni e controlli regolari da parte di un team di audit interno e di revisori di terze parti indipendenti

Per scoprire di più su come Google protegge l'infrastruttura fisica, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Controlli a livello di infrastruttura

Google ha costruito la propria infrastruttura mettendo al centro la sicurezza. Poiché l'infrastruttura globale di Google è abbastanza omogenea, Google può utilizzare l'infrastruttura automatizzata per implementare controlli e limitare l'accesso privilegiato. Le seguenti sezioni descrivono alcuni dei controlli che contribuiscono a implementare i nostri principi di accesso ai privilegi.

Autenticazione avanzata per tutto l'accesso

Google ha requisiti di autenticazione avanzati per l'accesso ai dati da parte di utenti (ad esempio un impiegato) e ruoli (ad esempio un servizio). I job in esecuzione nel nostro ambiente di produzione utilizzano queste identità per accedere ai datastore o ai metodi di chiamata di procedura remota (RPC) di altri servizi. Più job potrebbero essere eseguiti con la stessa identità. La nostra infrastruttura limita la possibilità di implementare o modificare i job con una determinata identità ai soli responsabili dell'esecuzione del servizio, generalmente i nostri SRE (Site Reliability Engineer). Quando un job viene avviato, viene eseguito il provisioning delle relative credenziali crittografiche. Il job utilizza queste credenziali per provare la sua identità durante l'esecuzione di richieste di altri servizi (tramite Application Layer Transport Security (ALTS)).

Accesso sensibile al contesto

Per garantire la sicurezza Zero Trust, l'infrastruttura di Google utilizza il contesto per autenticare e autorizzare utenti e dispositivi. Le decisioni relative all'accesso non si basano unicamente su credenziali fisse o sulla relativa provenienza da un Intranet aziendale. Per accertare la validità di una richiesta e bloccare così tentativi di phishing e malware per il furto delle credenziali, viene esaminato il contesto complessivo della richiesta (identità dell'utente, località, proprietà e configurazione del dispositivo e criteri di accesso granulari).

Se utilizzi il contesto, ogni richiesta di autenticazione e autorizzazione deve utilizzare password complesse con token di sicurezza o altri protocolli di autenticazione a due fattori. Agli utenti autenticati e ai dispositivi attendibili viene concesso un accesso temporaneo e limitato alle risorse necessarie. Gli inventari delle macchine vengono gestiti in modo sicuro e lo stato di ogni dispositivo che si connette (ad esempio aggiornamenti del sistema operativo, patch di sicurezza, certificati dei dispositivi, software installato, scansioni antivirus e stato della crittografia) viene valutato per potenziali rischi per la sicurezza.

Ad esempio, Chrome Enterprise Premium contribuisce a garantire che le credenziali dei dipendenti non vengano rubate o usate impropriamente e che i dispositivi di connessione non vengano compromessi. Spostando il controllo degli accessi dal perimetro della rete al contesto dei singoli utenti e dispositivi, Chrome Enterprise Premium consente anche al personale di Google di lavorare in sicurezza da qualunque località senza la necessità di una VPN.

Revisione e autorizzazione di tutto il software di produzione

La nostra infrastruttura è containerizzata tramite un sistema di gestione cluster chiamato Borg. L'Autorizzazione binaria per Borg garantisce che il software di produzione venga esaminato e approvato prima del deployment, in particolare quando il nostro codice può accedere a dati sensibili. L'autorizzazione binaria per Borg contribuisce a garantire che i deployment di codice e configurazione rispettino determinati standard e avvisa i proprietari di servizi quando questi requisiti non vengono soddisfatti. Richiedendo che il codice soddisfi determinati standard e pratiche di gestione dei cambiamenti prima di poter accedere ai dati utente, l'autorizzazione binaria per Borg riduce la possibilità che il personale di Google (o un account compromesso) agisca autonomamente per accedere ai dati utente in modo programmatico.

Accedere ai file di log

L'infrastruttura di Google registra l'accesso ai dati e le modifiche al codice. I tipi di registrazione includono quanto segue:

  • Log dei clienti: disponibili utilizzando gli audit log di Cloud.
  • Log di accesso amministrativo: disponibili tramite Access Transparency.

  • Log di integrità del deployment: log interni relativi a eccezioni monitorati da un team di sicurezza centrale dedicato al controllo dell'accesso ai dati dei clienti. Il monitoraggio delle eccezioni contribuisce a proteggere i dati sensibili e a migliorare l'affidabilità della produzione. Il monitoraggio delle eccezioni contribuisce ad assicurare che il codice sorgente non esaminato o non inviato non venga eseguito in ambienti con privilegi, che si tratti di un errore accidentale o di un attacco deliberato.

Rilevamento e risposta agli incidenti

Per rilevare e rispondere a presunte violazioni di accesso, Google utilizza team di esperti di indagine interna e controlli manuali e automatici che combinano il machine learning, le pipeline di elaborazione dati avanzate e gli incidenti di intelligence sulle minacce.

Sviluppo di indicatori

Il nucleo delle funzionalità di rilevamento e risposta di Google è l'intelligence sulle minacce, rafforzata dall'analisi continua degli incidenti passati, del traffico di rete, dei dati interni, dei log di accesso al sistema, dei pattern di comportamento anomali, dei risultati di esercitazioni di sicurezza offensive e di molti altri avvisi proprietari. Questi dati vengono analizzati da team dedicati che producono un database dinamico di indicatori, o indicatori di minacce, che include tutto Google. I team di ingegneria utilizzano indicatori di minaccia per sviluppare sistemi di rilevamento specializzati per monitorare i sistemi interni alla ricerca di attività dannose, avvisare il personale appropriato e implementare risposte automatiche (ad esempio, la revoca dell'accesso a una risorsa).

Rilevamento delle minacce

Le minacce vengono rilevate principalmente analizzando i log e associando le voci dei log agli indicatori di minaccia. Grazie all'autenticazione rafforzata, Google può distinguere tra eventi umani, eventi di servizio ed eventi di furto d'identità di servizio nei log per dare la priorità alle indagini sull'accesso effettivo da parte di persone fisiche. Le attività che comportano l'accesso a dati utente, codice sorgente e informazioni sensibili vengono registrate ed è necessaria una giustificazione aziendale o un'eccezione. Le minacce possono includere un individuo che tenta di intraprendere un'azione unilaterale su sistemi sensibili o di accedere ai dati utente senza una ragione commerciale valida. Per questi tipi di attività sono state definite procedure di avviso.

Indagine sugli incidenti

Quando vengono rilevate violazioni delle norme, i team di sicurezza separati dai team di ingegneria e operazioni di base forniscono una supervisione indipendente e conducono un'indagine iniziale. I team di sicurezza completano le seguenti attività:

  • Esamina i dettagli dell'incidente e determina se l'accesso è stato intenzionale, involontario, accidentale, causato da un bug o da una configurazione errata o è il risultato di controlli inadeguati (ad esempio, un utente malintenzionato esterno che ruba e utilizza le credenziali di un dipendente compromesso).
  • Se l'accesso è involontario o accidentale (ad esempio, il personale di Google non era a conoscenza dei protocolli di accesso o li ha violati per errore), i team possono adottare misure immediate per risolvere il problema (ad esempio, recuperando la proprietà intellettuale).
  • Se si sospetta un comportamento dannoso, il team di sicurezza esegue la riassegnazione dell'incidente e raccoglie informazioni aggiuntive, inclusi i dati e i log di accesso al sistema, per determinare l'ambito e l'impatto dell'incidente.
  • A seconda dei risultati dell'indagine, il team di sicurezza invia gli incidenti per ulteriori accertamenti, documentazione e risoluzione o, in casi estremi, li segnala alle autorità esterne o alle forze dell'ordine.

Azioni

Il team di sicurezza utilizza gli incidenti passati per identificare e risolvere le vulnerabilità e migliorare le funzionalità di rilevamento. Tutti gli incidenti vengono documentati e i metadati vengono ricavati per identificare tattiche, tecniche e procedure specifiche per ogni exploit. Il team utilizza questi dati per sviluppare nuovi indicatori di minacce, rafforzare le protezioni esistenti o inviare richieste di funzionalità per i miglioramenti della sicurezza.

Servizi che monitorano e controllano l'accesso di Google ai dati

I seguenti Google Cloud servizi ti offrono opzioni per ottenere visibilità e controllo sull'accesso di Google ai tuoi dati.

Google Cloud servizio Descrizione

Approvazione accesso

Se hai dati altamente sensibili o con limitazioni, Access Approval ti consente di richiedere la tua approvazione prima che un amministratore Google autorizzato possa accedere ai tuoi dati per fornirti assistenza. Le richieste di accesso approvate vengono registrate con i log di Access Transparency collegati alla richiesta di approvazione. Dopo aver approvato una richiesta, l'accesso deve essere correttamente in possesso dei privilegi necessari all'interno di Google prima che l'accesso sia consentito. Per un elenco dei Google Cloud servizi che supportano l'approvazione dell'accesso, consulta Servizi supportati.

Access Transparency

Access Transparency registra l'accesso amministrativo da parte del personale autorizzato di Google quando supporta la tua organizzazione o gestisce la disponibilità del servizio. Per un elenco dei Google Cloud servizi che supportano la trasparenza degli accessi, consulta Servizi supportati.

Assured Workloads

Utilizza Assured Workloads se la tua azienda richiede assistenza regionale dedicata, programmi normativi certificati (ad esempio FedRAMP o ITAR) o programmi come i controlli di sovranità per l'UE. Assured Workloads fornisce agli Google Cloud utenti un flusso di lavoro di attivazione per creare e monitorare la durata dei pacchetti di controllo di cui hai bisogno.

Cloud KMS

Utilizza Cloud KMS con Cloud EKM per controllare le chiavi di crittografia. Cloud KMS con Cloud EKM consente di criptare i dati con chiavi di crittografia archiviate e gestite in un sistema di gestione delle chiavi di terze parti di cui viene eseguito il deployment al di fuori dell'infrastruttura di Google. Cloud EKM ti consente di mantenere separati i dati at-rest e le chiavi di crittografia, sfruttando al contempo la potenza del calcolo e dell'analisi sul cloud.

Confidential Computing

Utilizza Confidential Computing per criptare i dati in uso. Google Cloud include i seguenti servizi che consentono il confidential computing:

  • Confidential VM: abilita la crittografia dei dati in uso per i carichi di lavoro che utilizzano le VM
  • Nodi Google Kubernetes Engine riservati: abilita la crittografia dei dati in uso per i carichi di lavoro che utilizzano i container
  • Dataflow riservato: abilita la crittografia dei dati in uso per l'analisi in streaming e il machine learning
  • Dataproc riservato: abilita la crittografia dei dati in uso per l'elaborazione dei dati
  • Confidential Space: abilita la crittografia dei dati in uso per analisi dei dati congiunte e machine learning

Questi servizi ti consentono di ridurre il confine di attendibilità in modo che meno risorse abbiano accesso ai tuoi dati riservati. Per ulteriori informazioni, consulta Implementare il calcolo confidente su Google Cloud.

Key Access Justifications

Utilizza Key Access Justifications per la sovranità e il rilevamento dei dati.

Key Access Justifications ti fornisce una giustificazione ogni volta che le chiavi ospitate esternamente vengono utilizzate per decriptare i dati. Key Access Justifications richiede Cloud KMS con Cloud HSM o Cloud KMS con Cloud EKM per migliorare il controllo sui tuoi dati. Devi approvare l'accesso prima che il personale di Google possa decriptare i tuoi dati a riposo.

Passaggi successivi