Se usó la API de Cloud Translation para traducir esta página.

Protección de datos en reposo

Este documento describe las políticas de encriptación para datos en reposo Cloud Monitoring y los pasos que puedes seguir para garantizar que tus datos los datos del cliente están protegidos.

Este documento está dirigido a los clientes que deben cumplir con los requisitos de seguridad de los datos y los requisitos de cumplimiento.

Encriptación de datos en reposo

Todos los datos en reposo en Cloud Monitoring se encriptan Claves de encriptación administradas por Google. Para obtener más información, consulta Encriptación en reposo predeterminada.

Cloud Monitoring no admite el uso de la encriptación administrada por el cliente claves (CMEK) para proteger tus datos en reposo. De forma predeterminada, La supervisión no almacena datos sensibles y no está diseñada para serlo. usarse para la información de identificación personal (PII) o cualquier otro tipo de información contenido. Puedes usar Monitoring para almacenar datos datos no identificables de la actividad del usuario o datos agregados información, como los recuentos de solicitudes y otras métricas similares.

Sin embargo, existen lugares en Monitoring en los que puedes insertar datos sensibles del cliente por error. Debido a que Cloud Monitoring almacena metadatos y etiquetas de recursos, datos del cliente pueden llegar a Monitoring cuando nombrar parámetros de configuración o realizar acciones de metadatos, como etiquetar un recurso, anotar una instancia o almacenar recursos personalizados mediante Definiciones de recursos personalizadas (CRD) en Google Kubernetes Engine

En el resto de este documento, se describen los puntos en los que se pueden insertar esos datos y cómo buscar su captura.

Posibles puntos de inserción

En la siguiente tabla, se describen los momentos en los que los datos sensibles se enviarán a Cloud Monitoring.

	Datos generados por Google como las métricas definidas por el sistema y paneles integrados	Datos generados por clientes como métricas personalizadas o basadas en registros y paneles personalizados
Etiquetas de recursos	Valores derivados de los datos del cliente, como el nombre de una instancia de VM, o independientes de los datos del cliente, como un número de proyecto	Valores que contengan datos sensibles, por ejemplo, nombres de hardware aún no lanzado
Etiquetas de métricas	Valores derivados de datos de clientes, como una VM nombre de la instancia, o independiente de los datos del cliente, como un número de proyecto	claves, por ejemplo, para mostrar que cierta dimensión de existe un software Valores que contengan datos sensibles, por ejemplo, nombres de hardware aún no lanzado
Datos en series temporales	No es posible realizar ninguna acción, no se puede ocultar	Series temporales en métricas definidas por el usuario (métricas personalizadas y basadas en registros) datos sensibles de los clientes si tus aplicaciones recopilarlos intencionalmente.
Descriptores de métricas	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Claves de etiquetas, por ejemplo, para mostrar que una dimensión determinada de existe un software
Políticas de alertas	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles de políticas y condiciones incorporadas Etiqueta las claves y los valores que se usan para filtrar las alertas según series temporales determinadas Información proporcionada como documentación Si tienes políticas basadas en objetivos de nivel de servicio, su configuración podría incluir lo siguiente: Nombre visible Claves y valores de etiquetas especificados por el usuario
Paneles	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Texto en los elementos del panel Filtros y otras dimensiones de consulta que se usan para seleccionar series temporales Datos para gráficos y otros elementos del panel
Canales de notificaciones	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Etiquetas y valores que se usan para definir los canales
Grupos de recursos	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Filtros utilizados para designar la pertenencia a un grupo
Verificaciones de tiempo de actividad	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Direcciones IP y rutas Cualquier cadena opcional de comparador de contenido
Alcances de métricas	No aplicable	Solo metadatos

Protege metadatos sensibles

Si quieres que todos los datos estén protegidos por CMEK, no debes en configuraciones de recursos o metadatos en Google Cloud. Si los datos sensibles se deben usar en la configuración y los metadatos de recursos, o valores de etiquetas, recomendamos que los protejas con identificadores en Google Cloud y una tabla de asignación externa a Google Cloud.

Si envías datos sensibles de series temporales a Monitoring, la única forma de garantizar que los datos se eliminen es borrar tu proyecto de Google Cloud. De lo contrario, los datos de las series temporales solo se borran después de que alcanzan el límite de retención de datos, que es de 24 meses para las métricas definidas por el usuario.

Inspeccionar los datos para garantizar el cumplimiento

Puedes inspeccionar tus datos de forma manual en Cloud Monitoring para asegurarte de que cumplan con tus estándares de seguridad.

Datos de configuración

Para garantizar que las etiquetas y los filtros que se usan en los artefactos de configuración, como las políticas de alertas, se oculten correctamente, puedes recuperar e inspeccionar los datos de configuración. Revisa lo siguiente:

Políticas de alertas, como se describe en Cómo enumerar y obtener políticas de alertas Las políticas de alertas basadas en objetivos de nivel de servicio consulta el SLO, por ejemplo:
```
filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")
```
Para recuperar la configuración del SLO, proporciona nombre del SLO del filtro al serviceLevelObjects/get.
Canales de notificación, como se describe en Enumera los canales de notificaciones en un proyecto.
Configuraciones de verificaciones de tiempo de actividad, como se describe Administra las verificaciones de tiempo de actividad.
Paneles personalizados, como se describe en Cómo enumerar paneles
Grupos de recursos, mediante el método groups.list

Datos de métricas

Para inspeccionar datos de métricas, debes considerar ambos descriptores de la métrica para las métricas definidas por el usuario y los datos de series temporales escritos en esos descriptores.

Descriptores de métricas

Para garantizar que los nombres visibles, las descripciones y las claves de etiquetas en cualquier métrica los descriptores estén bien ocultos, inspecciona los descriptores como se describe en Enumera descriptores de métricas.

Para buscar métricas personalizadas, usa el filtro: metric.type = starts_with("custom.googleapis.com")
Para buscar métricas basadas en registros, usa el siguiente filtro: metric.type = starts_with("logging.googleapis.com/user")

Datos de series temporales

Para garantizar que los datos de las series temporales estén ocultos de forma correcta, recupera los datos de series temporales y, luego, inspeccionar los valores de las etiquetas de métricas y recursos y otros datos almacenados. Presta especial atención a los datos de series temporales recopilados por métricas personalizadas o basadas en registros. Para obtener información sobre la recuperación de datos de series temporales, consulta Recupera datos de series temporales.