Este conteúdo foi atualizado pela última vez em fevereiro de 2025 e representa o estado do momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro à medida que melhoramos continuamente a proteção dos clientes.
Este documento descreve os recursos e produtos que ajudam a controlar o acesso que a equipe do Google tem aos dados do cliente. Conforme definido nos Google Cloud Termos de Serviço, os dados do cliente são dados que os clientes ou usuários finais fornecem ao Google pelos serviços da conta deles.
Visão geral do acesso privilegiado
Normalmente, os dados do cliente só são acessados por você e pelos Google Cloud serviços que você ativa. Em alguns casos, a equipe do Google pode precisar de acesso aos seus dados para ajudar a fornecer um serviço contratado (por exemplo, se você precisar de suporte ou precisar se recuperar de uma interrupção). Esse tipo de acesso é conhecido como acesso privilegiado.
Funcionários com privilégios elevados que recebem ou adquirem temporariamente permissões elevadas representam um risco maior de pessoas com informações privilegiadas. Nossa abordagem para o acesso privilegiado se concentra em reduzir o número de possíveis vetores de ataque. Por exemplo, usamos os seguintes controles de segurança:
- Esquemas de autenticação redundantes
- Caminhos de acesso a dados limitados
- Geração de registros e alertas em nossos sistemas
- Permissões regulamentadas
Essa abordagem nos ajuda a controlar e detectar ataques internos, limitar o impacto dos incidentes e reduzir o risco para seus dados.
A estratégia de gerenciamento de acesso privilegiado em Google Cloud limita a capacidade da equipe do Google de visualizar ou modificar os dados do cliente. Em Google Cloud, os limites de acesso privilegiado são parte integrante do funcionamento dos nossos produtos.
Para mais informações sobre quando a equipe do Google pode acessar seus dados, consulte o Adendo sobre processamento de dados do Cloud.
Filosofia de acesso privilegiado
A filosofia de acesso privilegiado do Google usa os seguintes princípios orientadores:
As restrições de acesso precisam ser baseadas em papéis e aprovações de várias partes: por padrão, o pessoal do Google não tem acesso ao sistema. Quando o acesso é concedido, ele é temporário e não é maior do que o necessário para desempenhar a função. O acesso a dados do cliente, operações críticas em sistemas de produção e modificações do código-fonte são controlados por sistemas de verificação manuais e automatizados. A equipe do Google não pode acessar os dados do cliente sem que outra pessoa aprove a solicitação. O pessoal só pode acessar os recursos necessários para fazer o trabalho e precisa fornecer uma justificativa válida para acessar os dados do cliente. Para mais informações, consulte Como o Google protege os serviços de produção.
As cargas de trabalho precisam ter proteção de ponta a ponta: com a criptografia em trânsito, criptografia em repouso e Computação confidencial para criptografia em uso, Google Cloud pode fornecer criptografia de ponta a ponta das cargas de trabalho do cliente.
A geração de registros e a auditoria são contínuas: o acesso do pessoal do Google aos dados do cliente é registrado, e os sistemas de detecção de ameaças realizam auditorias em tempo real, alertando a equipe de segurança quando as entradas de registro correspondem aos indicadores de ameaça. As equipes de segurança internas avaliam alertas e registros para identificar e investigar atividades anormais, limitando o escopo e o impacto de qualquer incidente. Para mais informações sobre a resposta a incidentes, consulte Processo de resposta a incidentes de dados.
O acesso precisa ser transparente e incluir controles do cliente: use chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar suas próprias chaves de criptografia e controlar o acesso a elas. Além disso, a Transparência no acesso garante que todo acesso privilegiado tenha uma justificativa comercial registrada. Com a aprovação de acesso, é possível aprovar ou negar solicitações de acesso feitas pela equipe do Google a determinados conjuntos de dados.
Acesso da equipe do Google aos dados do cliente
Por padrão, a equipe do Google não tem acesso aos dados do Google Cloud cliente.
Para ter acesso, o pessoal do Google precisa atender às seguintes condições:
- Ser membro de listas de controle de acesso (ACLs) relevantes.
- Leia e confirme regularmente as políticas de acesso a dados do Google.
- Use um dispositivo confiável.
- Faça login com a autenticação multifator usando uma chave de segurança Titan, o que minimiza o risco de phishing de credenciais.
- Acesse ferramentas que avaliam a justificativa fornecida (por exemplo, o tíquete de suporte ou o ID do problema), o papel do usuário e o contexto.
- Se necessário, peça a autorização de outra equipe qualificada do Google.
- Se você se inscreveu no Access Approval, receba a aprovação.
Diferentes funções do pessoal exigem níveis diferentes de acesso. Por exemplo, as funções de suporte têm acesso limitado aos dados do cliente que estão diretamente relacionados a um tíquete de suporte ao cliente. Os papéis de engenharia podem exigir privilégios adicionais do sistema para resolver problemas mais complexos relacionados à confiabilidade ou implantação de serviços.
Quando o Google trabalha com terceiros (como fornecedores de suporte ao cliente) para oferecer os Serviços do Google, avaliamos o terceiro para garantir que ele ofereça o nível adequado de segurança e privacidade. Google Cloud publica uma lista de todos os subprocessadores que são usados para ajudar a fornecer o serviço.
Motivos para a equipe do Google acessar dados do cliente
Embora o Google Cloud tenha sido criado para automatizar, minimizar ou eliminar a necessidade de que a equipe do Google acesse os dados do cliente, ainda há alguns casos em que a equipe do Google pode acessar os dados do cliente. Esses casos incluem suporte iniciado pelo cliente, falha ou interrupção de ferramentas, solicitações legais de terceiros e avaliações iniciadas pelo Google.
Suporte iniciado pelo cliente
O acesso da equipe do Google aos dados dos clientes em serviços que usam a transparência no acesso geralmente é resultado de eventos iniciados pelo cliente, como entrar em contato com o atendimento ao cliente. Quando você entra em contato com o pessoal de atendimento ao cliente para resolver um problema, ele só tem acesso a dados de baixa sensibilidade. Por exemplo, se você perder o acesso a um bucket, os profissionais do atendimento ao cliente só terão acesso a dados de baixa sensibilidade, como o nome do bucket.
Falha na ferramenta ou interrupção do serviço
Durante interrupções ou falhas de ferramentas, a equipe do Google pode acessar os dados do cliente para fazer um backup ou uma recuperação, conforme necessário. Nessas situações, o pessoal do Google usa ferramentas que podem acessar diretamente os dados do cliente para maximizar a eficiência e resolver o problema em tempo hábil. Essas ferramentas registram esse acesso e as justificações fornecidas pelos engenheiros. O acesso também é auditado e registrado pela equipe de resposta à segurança do Google. Os serviços com suporte Google Cloud geram registros de transparência no acesso que ficam visíveis para você durante uma interrupção. Durante uma interrupção, os engenheiros não podem ignorar a lista de permissões do recurso. No entanto, eles podem acessar os dados sem sua aprovação.
Solicitações oficiais de terceiros
As solicitações legais de terceiros são raras, e somente a equipe jurídica pode gerar uma justificativa válida para acesso legal. A equipe jurídica analisa a solicitação para garantir que ela atenda aos requisitos legais e às políticas do Google, envia uma notificação a você quando permitido por lei e considera objeções para divulgar os dados na medida em que a lei permite. Para mais informações, consulte Solicitações governamentais para dados de clientes do Cloud (PDF).
Análise iniciada pelo Google
As avaliações iniciadas pelo Google também são raras. Quando ocorrerem, eles precisam garantir que os dados do cliente estejam seguros e não tenham sido comprometidos. As principais razões para essas análises são preocupações de segurança, fraude, abuso ou auditorias de compliance. Por exemplo, se os detectores automatizados de mineração de bitcoin detectarem que uma VM está sendo usada para mineração de bitcoin, o Google vai analisar o problema e confirmar que o malware em um dispositivo de VM está esgotando a capacidade da VM. O Google remove o malware para que o uso da VM volte ao normal.
Como o Google controla e monitora o acesso aos dados do cliente
Os controles internos do Google incluem o seguinte:
- Sistemas de controle abrangentes em toda a infraestrutura para evitar acesso não autorizado
- Detecção e correção de acesso não autorizado por controles contínuos
- Monitoramento, alertas de violação e auditorias regulares por uma equipe de auditoria interna e auditores externos independentes
Para saber mais sobre como o Google protege a infraestrutura física, consulte a Visão geral do design de segurança da infraestrutura do Google.
Controles em toda a infraestrutura
O Google desenvolveu a infraestrutura com base na segurança. Como a infraestrutura global do Google é bastante homogênea, ele pode usar a infraestrutura automatizada para implementar controles e limitar o acesso privilegiado. As seções a seguir descrevem alguns dos controles que ajudam a implementar nossos princípios de acesso privilegiado.
Autenticação forte para todos os acessos
O Google tem requisitos de autenticação robustos para acesso de usuários (como um funcionário) e funções (como um serviço) aos dados. Os jobs executados no ambiente de produção usam essas identidades para acessar repositórios de dados ou métodos de chamada de procedimento remoto (RPC) de outros serviços. Vários jobs podem ser executados com a mesma identidade. Nossa infraestrutura restringe a capacidade de implantar ou modificar jobs com uma identidade específica aos responsáveis pela execução do serviço, geralmente nossos Engenheiros de confiabilidade do site (SREs). Quando um job é iniciado, ele é provisionado com credenciais criptográficas. O job usa essas credenciais para comprovar a identidade ao fazer solicitações de outros serviços, usando o Application Layer Transport Security (ALTS).
Acesso baseado no contexto
Para alcançar a segurança de confiança zero, a infraestrutura do Google usa o contexto para autenticar e autorizar usuários e dispositivos. As decisões de acesso não são baseadas exclusivamente em credenciais estáticas ou se originam de uma intranet corporativa. O contexto completo de uma solicitação (como a identidade do usuário, local, propriedade e configuração do dispositivo e políticas de acesso detalhadas) é avaliado para determinar a validade da solicitação e proteger contra tentativas de phishing e malware de roubo de credenciais.
Ao usar o contexto, cada solicitação de autenticação e autorização precisa usar senhas fortes com tokens de segurança ou outros protocolos de autenticação de dois fatores. Os usuários autenticados e os dispositivos confiáveis recebem acesso temporário e limitado aos recursos necessários. Os inventários de máquinas são mantidos com segurança, e o estado de cada dispositivo conectado (por exemplo, atualizações do SO, patches de segurança, certificados do dispositivo, software instalado, verificações de vírus e status de criptografia) é avaliado para possíveis riscos de segurança.
Por exemplo, o Chrome Enterprise Premium ajuda a garantir que as credenciais dos funcionários não sejam roubadas ou usadas indevidamente e que os dispositivos conectados não sejam comprometidos. Ao mudar os controles de acesso do perímetro da rede para o contexto de usuários e dispositivos individuais, o Chrome Enterprise Premium também permite que o pessoal do Google trabalhe com mais segurança em quase qualquer lugar sem a necessidade de uma VPN.
Análise e autorização de todos os softwares de produção
Nossa infraestrutura é contêinerizada usando um sistema de gerenciamento de cluster chamado Borg. A autorização binária para Borg garante que o software de produção seja analisado e aprovado antes da implantação, principalmente quando o código pode acessar dados sensíveis. A autorização binária para Borg ajuda a garantir que as implantações de código e de configuração atendam a determinados padrões e alerta os proprietários de serviço quando esses requisitos não são atendidos. Ao exigir que o código atenda a determinados padrões e práticas de gestão da mudança antes de acessar os dados do usuário, a autorização binária do Borg reduz a possibilidade de um funcionário do Google (ou uma conta comprometida) acessar os dados do usuário de maneira programática.
Acessar arquivos de registro
A infraestrutura do Google registra o acesso aos dados e as mudanças de código. Os tipos de registro incluem:
- Registros do cliente: disponíveis usando os Registros de auditoria do Cloud.
Registros de acesso administrativo: disponíveis com a Transparência no acesso.
Registros de integridade de implantação: registros internos sobre exceções que são monitoradas por uma equipe de segurança central dedicada a auditar o acesso a dados do cliente. O monitoramento de exceções ajuda a proteger dados sensíveis e a melhorar a confiabilidade da produção. O monitoramento de exceções ajuda a garantir que o código-fonte não revisado ou não enviado seja executado em ambientes privilegiados, seja acidentalmente ou como resultado de um ataque deliberado.
Detecção e resposta a incidentes
Para detectar e responder a suspeitas de violações de acesso, o Google usa equipes de investigação internas especializadas e controles manuais e automatizados que combinam aprendizado de máquina, pipelines avançados de processamento de dados e incidentes de inteligência contra ameaças.
Desenvolvimento de indicadores
O núcleo dos recursos de detecção e resposta do Google é a inteligência de ameaças, que é reforçada pela análise contínua de incidentes anteriores, tráfego de rede, dados internos, registros de acesso ao sistema, padrões de comportamento anormais, resultados de exercícios de segurança ofensiva e muitos outros alertas proprietários. Esses dados são analisados por equipes dedicadas que produzem um banco de dados dinâmico de indicadores, ou indicadores de ameaça, que incluem todo o Google. As equipes de engenharia usam indicadores de ameaças para desenvolver sistemas de detecção especializados que monitoram sistemas internos em busca de atividades maliciosas, alertam a equipe apropriada e implementam respostas automatizadas (por exemplo, revogar o acesso a um recurso).
Detecção de ameaças
As ameaças são detectadas principalmente por meio da verificação de registros e da correspondência de entradas de registro com indicadores de ameaças. Como resultado da autenticação forte, o Google pode delimitar entre eventos humanos, eventos de serviço e eventos de falsificação de serviço nos registros para priorizar as investigações sobre o acesso humano real. As atividades que envolvem o acesso a dados do usuário, código-fonte e informações sensíveis são registradas, e é necessária uma justificativa comercial ou exceção. As ameaças podem incluir um indivíduo que tenta realizar uma ação unilateral em sistemas sensíveis ou tentar acessar dados do usuário sem um motivo comercial válido. Esses tipos de atividades têm procedimentos de alerta definidos.
Investigação de incidentes
Quando as violações de política são detectadas, as equipes de segurança separadas das equipes de engenharia e operações principais fornecem supervisão independente e realizam uma investigação inicial. As equipes de segurança concluem as seguintes tarefas:
- Analise os detalhes do incidente e determine se o acesso foi intencional, não intencional, acidental, causado por um bug ou uma configuração incorreta ou o resultado de controles inadequados (por exemplo, um invasor externo roubando e usando as credenciais de um funcionário comprometido).
- Se o acesso for não intencional ou acidental (por exemplo, o pessoal do Google não sabia ou violou por engano os protocolos de acesso), as equipes poderão tomar medidas imediatas para corrigir o problema (por exemplo, recuperando propriedade intelectual).
- Se houver suspeita de comportamento malicioso, a equipe de segurança vai encaminhar o incidente e coletar mais informações, incluindo registros de acesso a dados e sistema, para determinar o escopo e o impacto do incidente.
- Dependendo dos resultados da investigação, a equipe de segurança envia incidentes para investigação, documentação e resolução adicionais ou, em casos extremos, encaminha o incidente a autoridades externas ou à polícia.
Ações
A equipe de segurança usa incidentes anteriores para identificar e resolver vulnerabilidades e melhorar os recursos de detecção. Todos os incidentes são documentados e os metadados são extraídos para identificar táticas, técnicas e procedimentos específicos para cada exploração. A equipe usa esses dados para desenvolver novos indicadores de ameaça, reforçar as proteções existentes ou fazer solicitações de recursos para melhorias de segurança.
Serviços que monitoram e controlam o acesso do Google aos dados
Os serviços Google Cloud abaixo oferecem opções para você ter visibilidade e controle sobre o acesso do Google aos seus dados.
serviçoGoogle Cloud | Descrição |
---|---|
Aprovação de acesso |
Se você tiver dados altamente sensíveis ou restritos, a Aprovação de acesso permite que você exija sua aprovação antes que um administrador autorizado do Google possa acessar seus dados para oferecer suporte. As solicitações de acesso aprovadas são registradas com registros de transparência no acesso vinculados à solicitação de aprovação. Depois que você aprovar uma solicitação, o acesso precisa ser privilegiado corretamente no Google antes de ser permitido. Para conferir uma lista de Google Cloud serviços compatíveis com o Access Approval, consulte Serviços compatíveis. |
Transparência no acesso |
A Transparência no acesso registra o acesso administrativo de pessoal autorizado do Google quando ele oferece suporte à sua organização ou mantém a disponibilidade do serviço. Para conferir uma lista de Google Cloud serviços compatíveis com a transparência no acesso, consulte Serviços compatíveis. |
Assured Workloads |
Use o Assured Workloads se a empresa precisar de suporte regional dedicado, programas regulatórios certificados (por exemplo, FedRAMP ou ITAR) ou programas como os controles soberanos da UE. O Assured Workloads oferece Google Cloud aos usuários um fluxo de trabalho de ativação para criar e monitorar a vida útil dos pacotes de controle necessários. |
Cloud KMS |
Use o Cloud KMS com o Cloud EKM para controlar as chaves de criptografia. O Cloud KMS com o Cloud EKM permite criptografar dados com chaves de criptografia armazenadas e gerenciadas em um sistema de gerenciamento de chaves de terceiros implantado fora da infraestrutura do Google. O Cloud EKM permite manter a separação entre dados em repouso e chaves de criptografia enquanto aproveita a eficiência da nuvem para fazer tarefas de computação e análise. |
Computação confidencial |
Use a computação confidencial para criptografar os dados em uso. Google Cloud inclui os seguintes serviços que permitem a computação confidencial:
Esses serviços permitem reduzir o limite de confiança para que menos recursos tenham acesso aos seus dados confidenciais. Para mais informações, consulte Implementar computação confidencial no Google Cloud. |
Justificativas de acesso às chaves |
Use as Justificativas de acesso às chaves para soberania e descoberta de dados. As Justificativas de acesso às chaves oferecem uma justificativa sempre que suas chaves hospedadas externamente são usadas para descriptografar dados. As justificativas de acesso às chaves exigem o Cloud KMS com o Cloud HSM ou o Cloud KMS com o Cloud EKM para aumentar o controle que você tem sobre seus dados. Você precisa aprovar o acesso antes que a equipe do Google possa descriptografar seus dados em repouso. |
A seguir
- Para saber mais sobre nosso compromisso de proteger a privacidade dos dados do cliente, consulte Google Cloud e princípios comuns de privacidade.
Para saber mais sobre os princípios básicos dos controles que impedem o acesso administrativo não autorizado, consulte Visão geral dos controles de acesso administrativo.
Para conferir a lista de justificativas comerciais para as quais a equipe do Google pode pedir acesso aos dados do cliente, consulte Códigos de motivo de justificativa.