Seguridad de Google Cloud Platform

Realiza implementaciones en una infraestructura protegida por más de 750 de los mejores expertos en seguridad de la información, aplicaciones y redes.

El modelo de seguridad de Google

El modelo de seguridad de Google es un proceso de extremo a extremo, desarrollado con el respaldo de más de 15 años de experiencia y que se enfoca en mantener a los clientes seguros en las aplicaciones de Google, como Gmail, la Búsqueda y otras apps. Con Google Cloud Platform, tus aplicaciones y datos se benefician del mismo modelo de seguridad. Obtén más información sobre nuestro modelo de seguridad en los siguientes documentos: Informe de seguridad, Descripción general del diseño de la infraestructura de seguridad e Informe de encriptación en reposo.

Descripción general de la seguridad en GCP de Niels Provos

Equipo de seguridad de la información

En el centro del modelo de seguridad de Google, se encuentra nuestro Equipo de seguridad de la información, el cual está compuesto por más de 750 de los mejores expertos en seguridad de la información, aplicaciones y redes. La labor de este equipo consiste en mantener los sistemas de defensa de la empresa, desarrollar procesos de revisión de seguridad, crear una infraestructura de seguridad y también implementar las políticas de seguridad de Google. Entre sus increíbles logros, se incluyen: el descubrimiento de la vulnerabilidad Heartbleed, el inicio de un programa de premios por informar problemas de seguridad de software y la implementación de la política de “SSL de forma predeterminada” en Google.

Más información sobre nuestro Equipo de seguridad de la información

Seguridad física de los centros de datos

Los centros de datos de Google tienen un modelo de seguridad en capas, que incluye dispositivos de seguridad, como tarjetas de acceso electrónicas personalizadas, alarmas, barreras de acceso para vehículos, cercas perimetrales, detectores de metales y el uso de la biometría. El piso del centro de datos posee detectores de intrusión de rayos láser.

Nuestros centros de datos se supervisan las 24 horas, los 7 días de la semana con cámaras de alta resolución interiores y exteriores, las que pueden detectar y rastrear a los intrusos. En caso de que ocurra un incidente, se revisan el acceso a los registros, los registros de actividad y las imágenes de las cámaras. Además, guardias de seguridad experimentados, que han sido sometidos a rigurosas investigaciones de antecedentes y capacitaciones, patrullan los centros de datos de forma rutinaria. Menos del uno por ciento de los empleados de Google ingresarán alguna vez a nuestros centros de datos.

Más información sobre la seguridad física de los centros de datos

Seguridad de los servidores y la pila de software

En Google utilizamos cientos de miles de servidores personalizados idénticos. Hemos desarrollado todo, desde hardware y redes hasta la pila de software personalizada de Linux, teniendo en cuenta la seguridad. La homogeneidad, combinada con la propiedad de la pila completa, reduce de manera significativa nuestra huella de seguridad y nos permite reaccionar de forma más rápida ante las amenazas.

Más información sobre la seguridad de los servidores y la pila de software

Acceso a los datos

Google cuenta con controles y prácticas para proteger la seguridad de la información del cliente. Las capas de la pila de almacenamiento y aplicaciones de Google exigen que las solicitudes provenientes de otros componentes sean autenticadas y autorizadas. También se controla el acceso de los ingenieros administrativos de aplicaciones de producción a los entornos de producción. Se utiliza un sistema de administración de funciones y grupo centralizado para definir y controlar el acceso de los ingenieros a los servicios de producción, mediante el uso de un protocolo de seguridad que autentica a los ingenieros a través del uso de certificados de claves públicas provisorias personales. A su vez, la emisión de los certificados personales se protege mediante la autenticación de dos factores.

Más información sobre el acceso a los datos

Eliminación de datos

Cuando se retiran de los sistemas de Google, los discos duros que contienen información de clientes están sujetos al proceso de destrucción de datos antes de dejar las instalaciones de Google. En primer lugar, como es lógico, individuos autorizados borran los discos mediante un proceso aprobado por el Equipo de seguridad de Google. Luego, otro individuo autorizado realiza una segunda inspección para confirmar que el disco se borró de manera correcta. Estos resultados de eliminación de datos se registran por el número de serie de la unidad para su seguimiento. Finalmente, la unidad borrada se libera al inventario para reutilizarla y reubicarla. Si la unidad no se puede borrar debido a errores de hardware, se almacena de manera segura hasta que se pueda destruir físicamente. Se realiza una auditoría a la semana en cada instalación para supervisar el cumplimiento de la política de eliminación de datos en discos.

Más información sobre la eliminación de datos

Características de seguridad de la plataforma

Todos los productos de Google, incluido Cloud Platform, están creados con seguridad como requisito principal de diseño y desarrollo. Es más, los equipos de ingenieros de confiabilidad del sitio de Google supervisan las operaciones de los sistemas de la plataforma para asegurar la alta disponibilidad y evitar el uso abusivo de los recursos de la plataforma. Las características de seguridad específicas del producto se describen en cada documentación del producto, pero todas cumplen con capacidades determinadas que se encuentran en toda la plataforma.

API de servicio y acceso autenticado seguros

Todos los servicios se administran mediante una infraestructura de puerta de enlace API global segura. Se puede acceder a esta infraestructura de servicios API solo a través de canales SSL/TLS encriptados. Cada solicitud requiere la inclusión de un token de autenticación provisoria generado mediante un acceso humano o una clave privada secretos a través del sistema de autenticación descrito anteriormente.

Todo acceso a los recursos de Google Cloud Platform está regulado mediante la misma infraestructura sólida de autenticación que respalda a otros servicios de Google. Esto significa que se pueden usar cuentas de Google existentes o establecer un dominio regulado administrado por Google. Las características disponibles cuando administras usuarios incluyen la política de contraseñas, la autenticación de 2 factores obligatoria y nuevas innovaciones para la ejecución de la autenticación en forma de claves de seguridad de hardware.

Registros

Se registran todas las solicitudes de API de la plataforma, por ejemplo, solicitudes web, acceso a depósitos de almacenamiento y acceso a cuentas de usuario. Con las herramientas de Cloud Platform, puedes leer registros de operaciones y acceso para Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN y Cloud Storage.

Encriptación de datos

Los servicios de Cloud Platform siempre encriptan el contenido del cliente almacenado en reposo, sin que el cliente deba realizar ninguna acción, mediante uno o más mecanismos de encriptación, con solo algunas pocas excepciones. Por ejemplo, cualquier dato nuevo almacenado en discos persistentes se encripta de acuerdo con la Norma de encriptación avanzada de 256 bits y cada clave de encriptación se encripta con una serie de claves maestras que se rotan de forma regular. Las mismas políticas de administración de claves y encriptación, bibliotecas criptográficas y rutas de confianza usadas para tus datos en Google Cloud Platform son utilizadas por varios de los servicios de producción de Google, incluidos Gmail y los propios datos corporativos de Google.

Más información sobre tus opciones de encriptación

Red global segura

Debido a que se encuentra vinculada a la mayoría de los ISP del mundo, la red global de Google ayuda a mejorar la seguridad de los datos en tránsito mediante la limitación de los saltos en la Internet pública. Cloud Interconnect y las VPN administradas te permiten crear canales encriptados entre tu entorno de IP privado in situ y la red de Google. Esto te permite mantener las instancias completamente desconectadas de la Internet pública, a la vez que puedes seguir accediendo a ellas desde tu propia infraestructura privada.

Detección de intrusiones

La detección de intrusiones de Google implica controlar firmemente el tamaño y la composición de la superficie de ataque de Google a través de la aplicación de medidas preventivas, la implementación de controles de detección inteligentes en los puntos de entrada de datos y el uso de tecnologías que solucionen de inmediato algunas situaciones peligrosas.

Análisis de seguridad

Cloud Security Scanner ayuda a los programadores de App Engine a identificar las vulnerabilidades más comunes, específicamente las secuencias de comandos entre sitios (XSS) y el contenido mixto en sus aplicaciones web.

Certificaciones y cumplimiento

La infraestructura de Cloud Platform y Google está certificada para una cantidad cada vez mayor de normas y controles de cumplimiento. Además, se ha sometido a diversas auditorías independientes de terceros para poner a prueba la seguridad y privacidad de los datos. Lee más acerca de las certificaciones específicas en nuestra página de cumplimiento.

Logotipo de los programas de seguridad

Cómo mantener tus proyectos de Cloud Platform seguros

Google está comprometido con cumplir con su parte respecto a mantener tus proyectos seguros, pero la seguridad es una responsabilidad compartida. Te proporcionamos funciones que puedes utilizar para mantener tus proyectos seguros.

Parches para sistemas operativos y aplicaciones

Google Compute Engine y Google Container Engine usan la tecnología de las máquinas virtuales (VM). Si utilizas estas tecnologías en tus proyectos, es tu responsabilidad mantener el sistema operativo y las aplicaciones de la VM actualizados con los parches de seguridad más recientes. Google mantiene la seguridad y los parches de los entornos de los sistemas operativos del host.

Administración de usuarios y credenciales

Google Cloud Platform te permite establecer permisos de usuario a nivel de proyecto. Proporciona el acceso con menos privilegios a los miembros del equipo.

Mantenimiento de reglas de firewall de la red

De forma predeterminada, se bloquea todo el tráfico entrante proveniente del exterior de una red y no se permiten paquetes en la instancia de VM sin reglas de firewall explícitas. Para permitir el tráfico de red entrante, debes configurar los firewalls para que permitan estas conexiones. Este enfoque en los permisos de red te permite especificar el origen y el tipo de tráfico que deseas permitir que alcance tus instancias de proceso.

Pruebas de penetración

Si planeas evaluar la seguridad de tu infraestructura de Cloud Platform con pruebas de penetración, no es necesario que te comuniques con nosotros para comenzar a hacerlo. Deberás cumplir la Política de uso aceptable y las Condiciones del servicio de Cloud Platform y asegurarte de que las pruebas solo afecten a tus proyectos (y no a las aplicaciones de otros clientes). Si encuentras una vulnerabilidad, infórmala a través del Vulnerability Reward Program.

Administración de datos confidenciales

Los datos poseen distintos niveles de confidencialidad. Cloud Platform proporciona las funcionalidades fundamentales necesarias para desarrollar aplicaciones seguras; sin embargo, es tu responsabilidad implementar el movimiento y el acceso adecuados a estos datos en el nivel de tu aplicación. Esto incluye evitar que tus usuarios finales compartan información crítica fuera de tu red corporativa o infraestructura de nube pública (es decir, la prevención de la pérdida de datos) y asegurarte de mantener seguros los datos que podrían identificar a un individuo específico (es decir, la información de identificación personal). Consulta Prevención de pérdida de datos para obtener más detalles.

Registros y supervisión

Cloud Platform proporciona herramientas como Google Cloud Logging y Google Cloud Monitoring, que facilitan la recopilación y el análisis de los registros de solicitud y la supervisión de la disponibilidad de tus servicios de infraestructura (p. ej., las instancias de VM). Estas herramientas también te facilitan la creación de paneles de control personalizados y el establecimiento de alertas cuando ocurran problemas.

Cumplimiento de las normas HIPAA y PCI

Nuestra documentación sobre cumplimiento te ayuda a comprender tu rol en el cumplimiento de las medidas normativas específicas, incluida la Directiva de protección de datos de la UE.

Preguntas frecuentes

Respuestas a tus preguntas frecuentes

Ver las preguntas frecuentes

Boletines de seguridad

Ver los últimos boletines de Compute Engine Security

Ver los boletines de seguridad

Recomendaciones

Más información sobre las prácticas recomendadas para organizaciones empresariales

Leer las recomendaciones

Socios para la seguridad de la nube

La seguridad de GCP cuenta con un ecosistema próspero de socios

Obtén información sobre los socios para la seguridad de GCP

¿Tienes preguntas o dudas sobre la seguridad? Comunícate con nosotros

  • Si tienes preguntas sobre características del producto relacionadas con la seguridad que no aparecen aquí, comunícate con la Atención al cliente de Google o con el equipo de tu cuenta.
  • Si crees haber encontrado una vulnerabilidad de seguridad en la plataforma, infórmala.
  • Para conocer el enfoque de Google sobre la transparencia y cómo se manejan las solicitudes de información, consulta nuestro informe de transparencia.
  • Informes de abuso: si sospechas de que se está abusando de los servicios de Cloud Platform, infórmalo.

Supervisa tus recursos estés donde estés

Obtén la app de Google Cloud Console para ayudarte a administrar tus proyectos.