Proteção de dados em repouso

Neste documento, descrevemos as políticas de criptografia de dados em repouso no Cloud Monitoring e as etapas a serem seguidas para garantir que os dados confidenciais do cliente estejam protegidos.

Este documento destina-se a clientes que precisam atender aos requisitos de segurança de dados.

Criptografia de dados em repouso

Todos os dados em repouso no Cloud Monitoring são criptografados usando criptografia de chave pública/privada gerenciada pelo Google, conforme descrito em Criptografia em repouso no Google Cloud.

O Cloud Monitoring não é compatível com o uso de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) para proteger dados em repouso. Por padrão, o Monitoring não armazena dados confidenciais e não pode ser usado para PII ou outro conteúdo privado do cliente. Use o Monitoring para armazenar dados agregados e não identificáveis de atividade do usuário ou informações agregadas baseadas em eventos de segunda ordem, como contagens de solicitações e outras métricas semelhantes.

No entanto, há locais no Monitoring em que é possível inserir acidentalmente dados confidenciais do cliente. Como o Cloud Monitoring armazena metadados e rótulos de recursos, os dados do cliente podem entrar no Monitoring quando você nomeia configurações ou realiza ações de metadados, como rotular um recurso, anotar uma instância de VM ou armazenar recursos personalizados usando definições de recursos personalizados (CRDs, na sigla em inglês) no Google Kubernetes Engine;

O restante deste documento descreve os pontos em que esses dados podem ser inseridos e como procurar a captura desses dados.

Possíveis pontos de inserção

A tabela a seguir descreve os pontos em que os dados confidenciais podem ser enviados para o Cloud Monitoring.

  Dados gerados pelo Google
como métricas definidas pelo sistema
e painéis integrados
Dados gerados pelo cliente
como métricas personalizadas ou com base em registros
e painéis personalizados
Rótulos de recursos Valores derivados de dados de clientes, como o nome da instância de VM, ou independentes dos dados de clientes, como número do projeto Valores que contenham dados confidenciais, por exemplo, nomes de hardware ainda não liberado
Rótulos de métrica Valores derivados de dados de clientes, como o nome da instância de VM, ou independentes dos dados de clientes, como número do projeto
  • Chaves, por exemplo, mostrando que há uma determinada dimensão de um software
  • Valores que contenham dados confidenciais, por exemplo, nomes de hardware ainda não liberado
Pontos de dados em série temporal Nenhuma ação é possível. não pode ser ocultado A série temporal em métricas definidas pelo usuário (métricas personalizadas e com base em registros) pode conter dados confidenciais do cliente se seus aplicativos os coletarem intencionalmente.
Descritores de métrica Nenhuma ação é possível. não pode ser ocultado
  • Os nomes de exibição
  • Descrições
  • Chaves de rótulo, por exemplo, mostrando que uma determinada dimensão de um software existe
Políticas de alertas Nenhuma ação é possível. não pode ser ocultado
  • Nomes de exibição de políticas e condições incorporadas
  • Chaves de rótulo e valores usados para filtrar alertas para determinadas séries temporais
  • Informações fornecidas como documentação
  • Se você tiver políticas baseadas em objetivos de nível de serviço, a configuração delas poderá incluir:
    • Nome de exibição
    • Chaves e valores de rótulo especificados pelo usuário
Painéis Nenhuma ação é possível. não pode ser ocultado
  • Os nomes de exibição
  • Texto nos itens do painel
  • Filtros e outras dimensões de consulta usadas para selecionar dados de série temporal para gráficos e outros itens no painel
Canais de notificação Nenhuma ação é possível. não pode ser ocultado
  • Os nomes de exibição
  • Descrições
  • Rótulos e valores usados para definir canais
Grupos de recursos Nenhuma ação é possível. não pode ser ocultado
  • Os nomes de exibição
  • Filtros usados para designar associações a grupos
Verificações de tempo de atividade Nenhuma ação é possível. não pode ser ocultado
  • Os nomes de exibição
  • Endereços IP, caminhos
  • Qualquer string de correspondência de conteúdo opcional
Escopos de métricas Não relevante Somente metadados

Como proteger metadados confidenciais

Se você quiser todos os dados protegidos pela CMEK, não coloque informações confidenciais em configurações de recursos ou metadados no Google Cloud. Se for necessário usar dados confidenciais em configurações e metadados de recursos ou em valores de rótulos, recomendamos que você os proteja usando identificadores obscuros no Google Cloud e uma tabela de mapeamento externa ao Google Cloud.

Se você enviar dados confidenciais de séries temporais ao Monitoring, a única maneira de garantir que eles sejam excluídos será excluir o projeto do Google Cloud. Caso contrário, os dados de série temporal serão excluídos somente depois que atingirem o limite de retenção de dados, que atualmente é de 24 meses para métricas definidas pelo usuário.

Como inspecionar dados para garantir a conformidade

Inspecione manualmente seus dados no Cloud Monitoring para garantir que eles estejam em conformidade com seus padrões de segurança.

Dados de configuração

Para garantir que os rótulos e filtros usados em artefatos de configuração, como as políticas de alertas, sejam ocultados adequadamente, é possível recuperar e inspecionar os dados de configuração. Inspecione o seguinte:

  • Políticas de alertas, conforme descrito em Como recuperar políticas. As políticas de alertas baseadas nos objetivos de nível de serviço têm filtros que se referem ao SLO. Por exemplo:

    filter: select_slo_burn_rate("projects/PROJECT_NUMBER/services/SERVICE/serviceLevelObjectives/SLO_ID")
    

    É possível recuperar a configuração do SLO fornecendo um nome totalmente qualificado do SLO do filtro para o método serviceLevelObjects/get.

  • Canais de notificação, conforme descrito em Como recuperar canais.

  • Configurações da verificação de tempo de atividade, conforme descrito em Como listar verificações de tempo de atividade.

  • Painéis personalizados, conforme descrito em Como listar painéis.

  • Grupos de recursos usando o método groups.list.

Dados de métricas

Para inspecionar os dados de métricas, considere os descritores de métricas definidas pelo usuário e os dados de série temporal gravados neles.

Descritores de métrica

Para garantir que os nomes de exibição, descrições e chaves de rótulo em todos os descritores de métrica sejam ocultados, inspecione os descritores, conforme descrito em Como listar descritores de métrica. Para pesquisar especificamente métricas com base em registros e métricas personalizadas, use os filtros a seguir:

  • Para métricas personalizadas: metric.type = starts_with("custom.googleapis.com")
  • Para métricas com base em registros: metric.type = starts_with("logging.googleapis.com/user")

Dados de série temporal

Para garantir que os próprios dados de série temporal sejam ocultados adequadamente, recupere-os e inspecione os valores dos rótulos de métricas e de recursos, além de outros dados armazenados. Preste atenção especial aos dados de série temporal coletados por métricas personalizadas ou métricas com base em registros. Para informações sobre como recuperar dados de série temporal, consulte Como ler dados de métrica.