Segurança do Google Cloud Platform

Faça implantações em uma infraestrutura protegida por mais de 750 dos melhores especialistas em segurança da informação, de aplicativos e de rede.

Modelo de segurança do Google

O modelo de segurança do Google é um processo completo, construído ao longo de 15 anos de experiência, sempre levando em conta a segurança dos clientes nos aplicativos do Google, como o Gmail, a Pesquisa Google, entre outros. Com o Google Cloud Platform, seus aplicativos e dados aproveitam o mesmo modelo de segurança. Leia mais sobre o nosso modelo de segurança nos artigos sobre segurança, visão geral do design de segurança da infraestrutura e criptografia em repouso.

Visão geral da segurança da GCP por Niels Provos

Equipe de segurança da informação

A nossa equipe de segurança da informação ocupa papel fundamental no modelo de segurança do Google. Ela é formada por mais de 750 dos melhores especialistas em segurança da informação, de aplicativos e de rede. Essa equipe está encarregada de realizar a manutenção nos sistemas de segurança da empresa, desenvolver processos de revisão de segurança, desenvolver a infraestrutura de segurança e implementar as políticas de segurança do Google. Dentre os feitos alcançados por esse grupo temos a descoberta da vulnerabilidade Heartbleed, que introduziu um programa de recompensas para a comunicação de problemas de segurança de software e para a implementação de uma política de “SSL por padrão” no Google.

Saiba mais sobre nossa equipe de segurança da informação

Segurança física de data centers

Os data centers do Google são equipados com um modelo de segurança em camadas, que inclui proteções como cartões de acesso eletrônico personalizados, alarmes, cancelas que controlam o acesso de veículos, isolamento de perímetro, detectores de metais e biometria. O andar do centro de dados é equipado com sistema de detecção de intrusão por raio laser.

Nossos data centers são monitorados 24 horas, 7 dias por semana, com câmeras internas e externas de alta resolução que podem detectar e rastrear invasores. Registros de acesso e de atividades, bem como o material gravado pelas câmeras são analisados no caso de algum incidente. Os data centers também são vigiados rotineiramente por agentes de segurança experientes que já passaram por rigorosos treinamentos e testes de conhecimento. Menos de 1% dos funcionários do Google vai acessar nossos data centers.

Saiba mais sobre a segurança física do nosso data center

Segurança do servidores e da pilha de software

No Google, geramos dezenas de milhares de servidores personalizados e idênticos. Tudo o que construímos, desde hardware e redes até nossa pilha de software Linux personalizada, sempre teve como foco a segurança. A homogeneidade, combinada à propriedade de toda a pilha, reduz consideravelmente falhas de segurança e nos permite reagir com rapidez às ameaças.

Saiba mais sobre a segurança do servidor e da pilha de software

Acesso aos dados

O Google tem controles e práticas para proteger as informações dos clientes. As camadas de aplicativos e a pilha de armazenamento do Google exigem que solicitações recebidas de outros componentes sejam autenticadas e autorizadas. O acesso de engenheiros administrativos de produção a aplicativos também é controlado. Um grupo centralizado e um sistema de gerenciamento de funções são usados para definir e controlar o acesso de engenheiros aos serviços de produção por um protocolo de segurança que autentica os engenheiros por certificados pessoais de chave pública de curta duração; por outro lado a emissão de certificados pessoais é protegida por autenticação de dois fatores.

Saiba mais sobre o acesso a dados

Eliminação de dados

Depois de desativados dos sistemas do Google, os discos rígidos com informações de clientes passam por um processo de destruição de dados antes de serem retirados das instalações do Google. Primeiramente, os dados são apagados dos discos por pessoas autorizadas em um processo aprovado pela Equipe de segurança do Google. Depois, outra pessoa autorizada faz nova inspeção para garantir que o disco foi apagado com êxito. Os resultados da limpeza são registrados com o número de série da unidade para rastreamento. Por fim, a unidade limpa pode ser inventariada para nova utilização e implantação. Se o disco não puder ser limpo devido a alguma falha do hardware, ele será armazenado em segurança até ser fisicamente destruído. Cada instalação é auditada semanalmente. Dessa forma, é possível monitorar a conformidade com a política de limpeza de dados do disco.

Saiba mais sobre eliminação de dados

Recursos de segurança de plataforma

Todos os produtos do Google, incluindo o Cloud Platform, são criados tendo a segurança como principal elemento de design e desenvolvimento. Além disso, as equipes de engenharia responsáveis pela confiabilidade do site do Google supervisionam as operações dos sistemas para garantir alta disponibilidade e evitar abuso de recursos da plataforma. Os recursos de segurança específicos do produto são descritos na documentação relacionada, mas todos se aplicam aos recursos que abrangem várias plataformas.

APIs de serviço seguro e acesso autenticado

Todos os serviços são gerenciados por uma infraestrutura de gateway de API global e segura. A infraestrutura que atende APIs só é acessada por canais SSL/TLS criptografados e cada solicitação exige a entrada de token de autenticação de duração limitada gerado pelo login do usuário ou por chaves secretas pelo sistema de autenticação descrito acima.

Todos os acessos aos recursos do Google Cloud Platform são regulamentados pela mesma infraestrutura robusta e autenticada que suporta outros serviços do Google. Isso quer dizer que você pode usar contas do Google ou configurar um domínio regulamentado gerenciado pelo Google. Os recursos que estarão disponíveis quando você estiver gerenciando usuários abrangem política de senha, autenticação obrigatória em 2 etapas e uma inovação recente para a obrigatoriedade de autenticação na forma de chaves de segurança de hardware.

Registros

Todas as solicitações de APIs de plataforma como solicitações Web, acesso a repositório de armazenamento e acesso a conta de usuário são registradas. Com as ferramentas do Cloud Platform, você pode ler os registros de operações e acesso do Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN e Cloud Storage.

Criptografia de dados

Os serviços do Cloud Platform sempre criptografam conteúdo de cliente armazenado em repouso sem qualquer ação do cliente, usando um ou mais mecanismos de criptografia, com algumas exceções. Por exemplo, todo novo armazenamento em discos permanentes criptografados sob o Padrão avançado de criptografia de 256 bits e cada chave de criptografia são criptografados com um conjunto de chaves mestras atualizadas. As mesmas políticas de criptografia e gerenciamento de chaves, bibliotecas de criptografia e raiz de confiança usadas nos dados do Google Cloud Platform são adotadas por vários serviços de produção, incluindo seus dados corporativos do Google e do Gmail.

Saiba mais sobre nossas opções de criptografia

Rede global segura

Por estar vinculada à maioria dos ISPs do mundo, a rede global do Google melhora a segurança dos dados em trânsito, limitando o número de saltos na Internet pública. O Cloud Interconnect e o VPN gerenciado permitem a criação de canais criptografados entre o ambiente de IP privado nas instalações e na rede do Google. Isso permite que você mantenha as instâncias totalmente desconectadas da Internet pública ao mesmo tempo que preserva o acesso de sua infraestrutura particular.

Detecção de intrusões

A detecção de intrusões do Google envolve um rígido controle do tamanho e da composição da superfície de ataque. O uso de medidas preventivas que empregam controles de detecção inteligente nos pontos de entrada de dados e a adoção de tecnologias solucionam situações de risco automaticamente.

Verificação de segurança

O Cloud Security Scanner ajuda desenvolvedores do App Engine a identificar as vulnerabilidades mais comuns, especialmente conteúdo de scripting entre sites (XSS, na sigla em inglês) e conteúdo misto nos aplicativos da Web.

Conformidade e certificações

O Cloud Platform e a infraestrutura do Google receberam certificação de conformidade com diversos padrões e controles e passam por várias auditorias independentes de terceiros para testar a proteção, privacidade e segurança dos dados. Leia mais sobre essas certificações acessando nossa página de conformidade.

Logotipo dos programas de garantia

Como manter a segurança de seus projetos no Cloud Platform

O Google tem o compromisso de manter seus projetos seguros, mas segurança é uma responsabilidade compartilhada. Disponibilizamos recursos para você manter seu projeto em segurança.

Sistema operacional e patches de aplicativo

O Google Compute Engine e o Google Container Engine contam com o suporte de máquinas virtuais (VMs, na sigla em inglês). Se você usar essas tecnologias em seus projetos, será responsável por manter atualizados o sistema operacional e os aplicativos da máquina virtual com os patches de segurança mais recentes. O Google cuida da segurança e da aplicação de patches nos ambientes do sistema operacional do host.

Usuários e gerenciamento de credenciais

O Google Cloud Platform permite a definição de permissões do usuário no nível do projeto. Ofereça acesso com o mínimo de privilégio possível para os membros da equipe.

Manutenção da regra do firewall de rede

Por padrão, todo o tráfego de entrada externo à rede é bloqueado e nenhum pacote é permitido em uma instância de máquina virtual sem regras de firewall explícitas. Para possibilitar o tráfego de entrada na rede, configure seus firewalls para permitir essas conexões. Essa abordagem relacionada às permissões de rede permite que você determine a origem e o tipo de tráfego autorizado para acessar suas instâncias de computação.

Teste de penetração

Se você pretende avaliar a segurança da sua infraestrutura do Cloud Platform realizando o teste de penetração, não precisa entrar em contato com a gente para isso. Basta seguir a Política de uso aceitável e os Termos de serviço do Cloud Platform e garantir que os testes só afetarão os seus projetos (e não outros aplicativos de clientes). Se uma vulnerabilidade for localizada, você pode reportá-la por meio do Programa de premiação de vulnerabilidades.

Gerenciamento de dados confidenciais

Os dados apresentam diferentes níveis de confidencialidade. O Cloud Platform oferece os recursos básicos necessários para o desenvolvimento de aplicativos seguros. No entanto, você é responsável por impor as políticas apropriadas de operações e acesso aos dados no seu aplicativo. Isso inclui evitar que os usuários finais compartilhem informações importantes fora da sua rede corporativa ou infraestrutura de nuvem pública (isto é, prevenção de perda de dados) e oferecer garantias de que os dados que identificam indivíduos específicos (isto é, informações de identificação pessoal) estão seguros. Consulte o artigo sobre prevenção contra perda de dados para mais informações.

Registro e monitoramento

O Cloud Platform oferece ferramentas, como o Google Cloud Logging e o Google Cloud Monitoring, que facilitam a coleta e a análise de registros de solicitações e o monitoramento da disponibilidade dos serviços da infraestrutura (instâncias de máquina virtual, por exemplo). Essas ferramentas também permitem a criação de painéis personalizados e a definição de alertas em caso de problemas.

Compliance com a PCI e a HIPAA

Leia a nossa documentação de conformidade para entender o seu papel no cumprimento de medidas regulatórias específicas, incluindo a Diretiva de Proteção de Dados da UE.

Perguntas frequentes

Respostas para perguntas frequentes

Ver perguntas frequentes

Boletins de segurança

Veja os boletins de segurança atualizados do Compute Engine

Ver boletins de segurança

Práticas recomendadas

Saiba mais sobre as práticas recomendadas para organizações corporativas

Ler as práticas recomendadas

Parceiros de segurança do Cloud

A segurança do GCP conta com um sólido ecossistema de parceiros

Ver os parceiros de segurança do GCP

Dúvidas ou preocupações sobre a segurança? Entre em contato

  • Se tiver perguntas sobre segurança relacionadas a recursos de segurança do produto não abordados aqui, contate o Suporte do Google ou a equipe responsável por sua conta.
  • Se você achar alguma vulnerabilidade de segurança na plataforma, entre em contato.
  • Para entender a postura do Google em relação a transparência e processamento de solicitações de informações, consulte nosso relatório de transparência.
  • Denúncia de abuso: se você suspeitar que está ocorrendo um abuso dos serviços do Cloud Platform, denuncie.

Monitore seus recursos de onde você estiver

Instale o app do Google Cloud Console para ajudar você a gerenciar seus projetos.