Esta página se ha traducido con Cloud Translation API.

Proteger los datos en reposo

En este documento se describen las políticas de cifrado de los datos en reposo en Cloud Monitoring y las medidas que puede tomar para asegurarse de que sus datos de cliente sensibles estén protegidos.

Este documento está dirigido a los clientes que deben cumplir los requisitos de seguridad de los datos.

Encriptado de los datos en reposo

Todos los datos en reposo de Cloud Monitoring se cifran medianteGoogle-owned and Google-managed encryption keys. Para obtener más información, consulta Cifrado en reposo predeterminado. Cloud Monitoring no admite el uso de claves de cifrado gestionadas por el cliente (CMEK) para proteger tus datos en reposo. De forma predeterminada, Monitoring no almacena datos sensibles y no está diseñado para usarse con información personal identificable (IPI) ni otro contenido privado de los clientes. Puede usar Monitoring para almacenar datos agregados e identificables de actividad de los usuarios o información agregada de segundo orden basada en eventos, como recuentos de solicitudes y otras métricas similares.

Sin embargo, hay lugares en Monitorización en los que puedes insertar por error datos sensibles de clientes. Como Cloud Monitoring almacena metadatos y etiquetas de recursos, los datos de los clientes pueden llegar a Monitoring cuando se nombran configuraciones o se realizan acciones de metadatos, como etiquetar un recurso, anotar una instancia o almacenar recursos personalizados mediante definiciones de recursos personalizados (CRDs) en Google Kubernetes Engine.

En el resto de este documento se describen los puntos en los que se pueden insertar estos datos y cómo buscar la captura de dichos datos.

Posibles puntos de inserción

En la siguiente tabla se describen los puntos en los que se pueden enviar datos sensibles a Cloud Monitoring.

	Datos generados por Google, como métricas definidas por el sistema y paneles de control integrados	Datos generados por los clientes como métricas personalizadas o basadas en registros y paneles de control personalizados
Etiquetas de recurso	Valores derivados de datos de clientes, como el nombre de una instancia de máquina virtual, o independientes de los datos de clientes, como un número de proyecto	Valores que contienen datos sensibles, como nombres de hardware que aún no se ha lanzado
Etiquetas de métricas	Valores derivados de datos de clientes, como el nombre de una instancia de máquina virtual, o independientes de los datos de clientes, como un número de proyecto	Claves, por ejemplo, que muestran que existe una determinada dimensión de un software Valores que contengan datos sensibles, como nombres de hardware que aún no se haya lanzado
Datos de series temporales	No se puede hacer nada; no se puede ocultar	Las series temporales de las métricas definidas por el usuario (métricas personalizadas y basadas en registros) pueden contener datos de clientes sensibles si sus aplicaciones los recogen intencionadamente.
Descriptores de métricas	No se puede hacer nada; no se puede ocultar	Nombres visibles Descripciones Claves de etiqueta, por ejemplo, que muestran que existe una determinada dimensión de un software
Políticas de alertas	No se puede hacer nada; no se puede ocultar	Mostrar los nombres de las políticas y las condiciones insertadas Claves y valores de etiquetas que se usan para filtrar alertas en determinadas series temporales. Información proporcionada como documentación Si tienes políticas basadas en objetivos de nivel de servicio, su configuración puede incluir lo siguiente: Nombre visible Claves y valores de etiquetas especificados por el usuario
Paneles de control	No se puede hacer nada; no se puede ocultar	Nombres visibles Texto de los elementos del panel de control Filtros y otras dimensiones de consulta que se usan para seleccionar datos de series temporales para gráficos y otros elementos del panel de control
Canales de notificación	No se puede hacer nada; no se puede ocultar	Nombres visibles Descripciones Etiquetas y valores que se usan para definir canales
Grupos de recursos	No se puede hacer nada; no se puede ocultar	Nombres visibles Filtros que se usan para designar la pertenencia a un grupo
Comprobaciones de disponibilidad del servicio	No se puede hacer nada; no se puede ocultar	Nombres visibles Direcciones IP, rutas Cualquier cadena de coincidencia de contenido opcional
Ámbitos de las métricas	No aplicable	Solo metadatos

Proteger metadatos sensibles

Si quiere que todos los datos estén protegidos por CMEK, no debe incluir información sensible en las configuraciones de recursos ni en los metadatos de Google Cloud. Si se deben usar datos sensibles en las configuraciones de recursos, los metadatos de recursos o los valores de etiquetas, te recomendamos que los protejas usando identificadores ofuscados en Google Cloud y una tabla de asignación externa a Google Cloud.

Si envías datos de serie temporal sensibles a Monitoring, la única forma de asegurarte de que se eliminen es eliminar tu proyectoGoogle Cloud . De lo contrario, los datos de serie temporal se eliminan solo cuando alcanzan el límite de conservación de datos, que es de 24 meses en el caso de las métricas definidas por el usuario.

Inspeccionar datos para asegurar el cumplimiento

Puede inspeccionar manualmente sus datos en Cloud Monitoring para asegurarse de que cumplen sus estándares de seguridad.

Datos de configuración

Para asegurarse de que las etiquetas y los filtros que se usan en los artefactos de configuración, como las políticas de alertas, se ocultan correctamente, puede recuperar e inspeccionar los datos de configuración. Comprueba lo siguiente:

Políticas de alertas, tal como se describe en Mostrar y obtener políticas de alertas. Las políticas de alertas basadas en objetivos de nivel de servicio tienen filtros que hacen referencia al objetivo de nivel de servicio. Por ejemplo:
```
filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")
```
Para obtener la configuración de un SLO, proporciona el nombre completo del SLO en el filtro del método serviceLevelObjects/get.
Canales de notificación, tal como se describe en Mostrar canales de notificación de un proyecto.
Configuraciones de comprobación de disponibilidad del servicio, tal como se describe en Gestionar comprobaciones de disponibilidad del servicio.
Paneles de control personalizados, tal como se describe en Listar paneles de control.
Grupos de recursos, mediante el método groups.list.

Datos de métricas

Para inspeccionar los datos de las métricas, debe tener en cuenta tanto los descriptores de métricas de las métricas definidas por el usuario como los datos de serie temporal escritos en esos descriptores.

Descriptores de métricas

Para asegurarse de que los nombres visibles, las descripciones y las claves de etiqueta de los descriptores de métricas estén correctamente ocultos, inspeccione los descriptores tal como se describe en List metric descriptors (Listar descriptores de métricas).

Para buscar métricas personalizadas, use el filtro: metric.type = starts_with("custom.googleapis.com")
Para buscar métricas basadas en registros, usa el filtro: metric.type = starts_with("logging.googleapis.com/user")

Datos de series temporales

Para asegurarse de que los datos de la serie temporal se han ocultado correctamente, recupere los datos de la serie temporal e inspeccione los valores de las etiquetas de métrica y de recurso, así como otros datos almacenados. Preste especial atención a los datos de series temporales recogidos por métricas personalizadas o métricas basadas en registros. Para obtener información sobre cómo recuperar datos de series temporales, consulta el artículo Recuperar datos de series temporales.