Se usó la API de Cloud Translation para traducir esta página.

Cómo proteger los datos en reposo

En este documento, se describen las políticas de encriptación para los datos en reposo en Cloud Monitoring y los pasos que puedes seguir para garantizar que tus datos sensibles del cliente estén protegidos.

Este documento está dirigido a clientes que deben cumplir con los requisitos de seguridad de los datos.

Encriptación de datos en reposo

Todos los datos en reposo de Cloud Monitoring se encriptan conGoogle-owned and Google-managed encryption keys. Para obtener más información, consulta Encriptación en reposo predeterminada. Cloud Monitoring no admite el uso de claves de encriptación administradas por el cliente (CMEK) para proteger tus datos en reposo. De forma predeterminada, la supervisión no almacena datos sensibles y no está diseñada para usarse con información de identificación personal (PII) ni otro contenido privado del cliente. Puedes usar Monitoring para almacenar datos agregados de la actividad del usuario que no se pueden identificar o información agregada basada en eventos de segundo orden, como recuentos de solicitudes y otras métricas similares.

Sin embargo, hay lugares en la supervisión en los que puedes挿挿insertar datos sensibles de los clientes por error. Debido a que Cloud Monitoring almacena metadatos y etiquetas de recursos, los datos del cliente pueden llegar a Monitoring cuando asignas nombres a las configuraciones o realizas acciones de metadatos, como etiquetar un recurso, anotar una instancia o almacenar recursos personalizados con definiciones de recursos personalizados (CRD) en Google Kubernetes Engine.

En el resto de este documento, se describen los puntos en los que se pueden insertar esos datos y cómo buscar su captura.

Posibles puntos de inserción

En la siguiente tabla, se describen los puntos en los que se pueden enviar datos sensibles a Cloud Monitoring.

	Datos generados por Google como las métricas definidas por el sistema y los paneles integrados	Datos generados por el cliente como métricas personalizadas o basadas en registros y paneles personalizados
Etiquetas de recursos	Valores derivados de los datos del cliente, como el nombre de una instancia de VM, o independientes de los datos del cliente, como un número de proyecto	Valores que contienen datos sensibles, por ejemplo, nombres de hardware que aún no se lanzó
Etiquetas de métricas	Valores derivados de los datos del cliente, como el nombre de una instancia de VM, o independientes de los datos del cliente, como un número de proyecto	Claves, por ejemplo, que muestran que existe una dimensión determinada de un software Valores que contienen datos sensibles, por ejemplo, nombres de hardware que aún no se lanzó
Datos de las series temporales	No es posible realizar ninguna acción, no se puede ocultar	Las series temporales en las métricas definidas por el usuario (métricas personalizadas y basadas en registros) pueden contener datos sensibles de los clientes si tus aplicaciones los recopilan de forma intencional.
Descriptores de métricas	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Claves de etiqueta, por ejemplo, que muestran que existe una dimensión determinada de un software
Políticas de alertas	No es posible realizar ninguna acción, no se puede ocultar	Cómo mostrar los nombres de las políticas y las condiciones incorporadas Claves y valores de etiquetas que se usan para filtrar alertas en ciertas series temporales Información proporcionada como documentación Si tienes políticas basadas en objetivos de nivel de servicio, su configuración podría incluir lo siguiente: Nombre visible Claves y valores de etiquetas especificados por el usuario
Paneles	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Texto en los elementos del panel Filtros y otras dimensiones de consulta que se usan para seleccionar datos de series temporales para gráficos y otros elementos del panel
Canales de notificaciones	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Etiquetas y valores que se usan para definir canales
Grupos de recursos	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Filtros que se usan para designar la membresía de un grupo
Verificaciones de tiempo de actividad	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Direcciones IP y rutas Cualquier cadena opcional de comparador de contenido
Alcances de métricas	No aplicable	Solo metadatos

Cómo proteger metadatos sensibles

Si deseas que todos los datos estén protegidos por CMEK, no debes incluir información sensible en la configuración de recursos ni en los metadatos de Google Cloud. Si se deben usar datos sensibles en la configuración de recursos, los metadatos de recursos o los valores de etiquetas, te recomendamos que los protejas con identificadores ocultos en Google Cloud y una tabla de asignación externa a Google Cloud.

Si envías datos de series temporales sensibles a Monitoring, la única manera de asegurarte de que se borren es borrar tu proyecto de Google Cloud. De lo contrario, los datos de las series temporales solo se borran después de que alcanzan el límite de retención de datos, que es de 24 meses para las métricas definidas por el usuario.

Inspecciona los datos para garantizar el cumplimiento

Puedes inspeccionar tus datos de forma manual en Cloud Monitoring para asegurarte de que cumplan con tus estándares de seguridad.

Datos de configuración

Para garantizar que las etiquetas y los filtros que se usan en los artefactos de configuración, como las políticas de alertas, se oculten correctamente, puedes recuperar e inspeccionar los datos de configuración. Inspecciona lo siguiente:

Políticas de alertas, como se describe en Cómo enumerar y obtener políticas de alertas Las políticas de alertas basadas en objetivos de nivel de servicio tienen filtros que hacen referencia al SLO, por ejemplo:
```
filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")
```
Para recuperar la configuración del SLO, proporciona el nombre completamente calificado del SLO del filtro al método serviceLevelObjects/get.
Canales de notificaciones, como se describe en Cómo mostrar una lista de canales de notificaciones en un proyecto
Parámetros de configuración de las verificaciones de tiempo de actividad, como se describe en Cómo administrar las verificaciones de tiempo de actividad
Paneles personalizados, como se describe en Cómo enumerar paneles
Grupos de recursos, con el método groups.list

Datos de métricas

Para inspeccionar los datos de métricas, debes tener en cuenta los descriptores de métricas para las métricas definidas por el usuario y los datos de series temporales escritos en función de esos descriptores.

Descriptores de métricas

Para asegurarte de que los nombres visibles, las descripciones y las claves de etiqueta de cualquier descriptor de métrica se oculten correctamente, inspecciona los descriptores, como se describe en Lista de descriptores de métricas.

Para buscar métricas personalizadas, usa el filtro: metric.type = starts_with("custom.googleapis.com")
Para buscar métricas basadas en registros, usa el filtro: metric.type = starts_with("logging.googleapis.com/user")

Datos de series temporales

Para garantizar que los datos de las series temporales se oculten correctamente, recupera los datos de las series temporales y, luego, inspecciona los valores de las etiquetas de métricas y recursos, y otros datos almacenados. Presta especial atención a los datos de series temporales recopilados por métricas personalizadas o basadas en registros. Para obtener información sobre cómo recuperar datos de series temporales, consulta Cómo recuperar datos de series temporales.