Se usó la API de Cloud Translation para traducir esta página.

Protección de datos en reposo

Este documento describe las políticas de encriptación para datos en reposo Cloud Monitoring y los pasos que puedes seguir para garantizar que tus datos los datos del cliente están protegidos.

Este documento está dirigido a clientes que deben cumplir con los requisitos de seguridad de los datos.

Encriptación de datos en reposo

Todos los datos en reposo en Cloud Monitoring se encriptan Claves de encriptación administradas por Google. Para obtener más información, consulta Encriptación en reposo predeterminada.

Cloud Monitoring no admite el uso de claves de encriptación administradas por el cliente (CMEK) para proteger tus datos en reposo. De forma predeterminada, la supervisión no almacena datos sensibles y no está diseñada para usarse con información de identificación personal (PII) ni otro contenido privado del cliente. Puedes usar Monitoring para almacenar datos agregados de la actividad del usuario que no se pueden identificar o información agregada basada en eventos de segundo orden, como recuentos de solicitudes y otras métricas similares.

Sin embargo, hay lugares en la supervisión en los que puedes挿insertar datos sensibles de los clientes por error. Debido a que Cloud Monitoring almacena metadatos y etiquetas de recursos, los datos del cliente pueden llegar a Monitoring cuando asignas nombres a las configuraciones o realizas acciones de metadatos, como etiquetar un recurso, anotar una instancia o almacenar recursos personalizados con definiciones de recursos personalizados (CRD) en Google Kubernetes Engine.

En el resto de este documento, se describen los puntos en los que se pueden insertar esos datos y cómo buscar su captura.

Posibles puntos de inserción

En la siguiente tabla, se describen los puntos en los que se pueden enviar datos sensibles a Cloud Monitoring.

	Datos generados por Google como las métricas definidas por el sistema y los paneles integrados	Datos generados por clientes como métricas personalizadas o basadas en registros y paneles personalizados
Etiquetas de recursos	Valores derivados de datos de clientes, como una VM nombre de la instancia, o independiente de los datos del cliente, como un número de proyecto	Valores que contienen datos sensibles, por ejemplo, nombres de hardware que aún no se lanzó
Etiquetas de métricas	Valores derivados de datos de clientes, como una VM nombre de la instancia, o independiente de los datos del cliente, como un número de proyecto	Claves, por ejemplo, que muestran que existe una dimensión determinada de un software Valores que contengan datos sensibles, por ejemplo, nombres de hardware aún no lanzado
Datos en series temporales	No es posible realizar ninguna acción, no se puede ocultar	Series temporales en métricas definidas por el usuario (métricas personalizadas y basadas en registros) datos sensibles de los clientes si tus aplicaciones recopilarlos intencionalmente.
Descriptores de métricas	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Claves de etiquetas, por ejemplo, para mostrar que una dimensión determinada de existe un software
Políticas de alertas	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles de políticas y condiciones incorporadas Claves y valores de etiquetas que se usan para filtrar alertas en ciertas series temporales Información proporcionada como documentación Si tienes políticas basadas en objetivos de nivel de servicio, sus configuración puede incluir lo siguiente: Nombre visible Claves y valores de etiquetas especificados por el usuario
Paneles	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Texto en los elementos del panel Filtros y otras dimensiones de consulta que se usan para seleccionar series temporales Datos para gráficos y otros elementos del panel
Canales de notificaciones	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Descripciones Etiquetas y valores que se usan para definir los canales
Grupos de recursos	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Filtros utilizados para designar la pertenencia a un grupo
Verificaciones de tiempo de actividad	No es posible realizar ninguna acción, no se puede ocultar	Nombres visibles Direcciones IP, rutas de acceso Cualquier cadena opcional de comparador de contenido
Alcances de métricas	No aplicable	Solo metadatos

Protege metadatos sensibles

Si quieres que todos los datos estén protegidos por CMEK, no debes en configuraciones de recursos o metadatos en Google Cloud. Si se deben usar datos sensibles en la configuración de recursos, los metadatos de recursos o los valores de etiquetas, te recomendamos que los protejas con identificadores ocultos en Google Cloud y una tabla de asignación externa a Google Cloud.

Si envías datos de series temporales sensibles a Monitoring, la única manera de asegurarte de que se borren es borrar tu proyecto de Google Cloud. De lo contrario, los datos de series temporales solo se borrarán cuando se alcanza el límite de retención de datos, 24 meses para las métricas definidas por el usuario.

Inspeccionar los datos para garantizar el cumplimiento

Puedes inspeccionar tus datos manualmente en Cloud Monitoring para asegurarte de que para garantizar que cumple con los estándares de seguridad.

Datos de configuración

Para garantizar que las etiquetas y los filtros utilizados en artefactos de configuración como las políticas de alertas están oscurecidas, puedes recuperarlas los datos de configuración. Inspecciona lo siguiente:

Políticas de alertas, como se describe en Cómo enumerar y obtener políticas de alertas Las políticas de alertas basadas en objetivos de nivel de servicio consulta el SLO, por ejemplo:
```
filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE_ID/serviceLevelObjectives/SLO_ID")
```
Para recuperar la configuración del SLO, proporciona el nombre completamente calificado del SLO del filtro al método serviceLevelObjects/get.
Canales de notificación, como se describe en Enumera los canales de notificaciones en un proyecto.
Configuraciones de verificaciones de tiempo de actividad, como se describe Administra las verificaciones de tiempo de actividad.
Paneles personalizados, como se describe en Cómo enumerar paneles.
Grupos de recursos, mediante el método groups.list

Datos de métricas

Para inspeccionar datos de métricas, debes considerar ambos descriptores de la métrica para las métricas definidas por el usuario y los datos de series temporales escritos en esos descriptores.

Descriptores de métricas

Para asegurarte de que los nombres visibles, las descripciones y las claves de etiqueta de cualquier descriptor de métrica se oculten correctamente, inspecciona los descriptores, como se describe en Lista de descriptores de métricas.

Para buscar métricas personalizadas, usa el siguiente filtro: metric.type = starts_with("custom.googleapis.com")
Para buscar métricas basadas en registros, usa el siguiente filtro: metric.type = starts_with("logging.googleapis.com/user")

Datos de series temporales

Para garantizar que los datos de las series temporales se oculten correctamente, recupera los datos de las series temporales y, luego, inspecciona los valores de las etiquetas de métricas y recursos, y otros datos almacenados. Presta especial atención a los datos de series temporales recopilados por las métricas personalizadas o las métricas basadas en registros. Para obtener información sobre cómo recuperar datos de series temporales, consulta Cómo recuperar datos de series temporales.