Este conteúdo foi atualizado pela última vez em maio de 2023 e representa o estado do momento em que foi escrito. As políticas e os sistemas de segurança do Google Cloud podem mudar no futuro, à medida que melhoramos continuamente a proteção dos clientes.
Neste documento, apresentamos uma visão geral do processo seguro que ocorre quando você exclui os dados do cliente no Google Cloud. Conforme definido nos Termos de Serviço do Google Cloud, os dados do cliente são dados fornecidos ao Google por clientes ou usuários finais nos serviços na conta.
Neste documento, descrevemos como os dados do cliente são armazenados no Google Cloud, o pipeline de exclusão e como evitamos qualquer reconstrução de dados armazenados na nossa plataforma.
Para informações sobre nossos compromissos de exclusão de dados, consulte o Adendo sobre processamento de dados do Cloud (clientes).
Armazenamento e replicação de dados
O Google Cloud oferece serviços de armazenamento e serviços de banco de dados, como o Bigtable e o Spanner. A maioria dos aplicativos e serviços do Google Cloud acessa a infraestrutura de armazenamento do Google indiretamente usando esses serviços em nuvem.
A replicação de dados é fundamental para alcançar soluções de baixa latência, altamente disponíveis, escalonáveis e duráveis. Cópias redundantes dos dados do cliente podem ser armazenadas de forma local, regional e até mesmo global, dependendo da sua configuração e das demandas dos projetos do cliente. As ações realizadas em dados no Google Cloud podem ser replicadas simultaneamente em vários data centers, para que os dados do cliente sejam altamente disponíveis. Quando ocorrem alterações no desempenho do hardware, software ou ambiente de rede, os dados do cliente são transferidos automaticamente de um sistema ou instalação para outro, conforme as configurações do cliente, para que os projetos do cliente continuem sendo executados em escala e sem interrupções.
No nível de armazenamento físico, os dados do cliente são armazenados em repouso em dois tipos de sistemas: sistemas de armazenamento ativo e sistemas de armazenamento de backup. Esses dois tipos de sistemas processam dados de maneiras diferentes. Os sistemas de armazenamento ativo são os servidores de produção do Google Cloud que executam as camadas de aplicativos e armazenamento do Google. Os sistemas ativos são matrizes em massa de discos e unidades usadas para gravar novos dados, além de armazenar e recuperar dados em várias cópias replicadas. Os sistemas de armazenamento ativo são otimizados para executar operações de leitura/gravação ao vivo nos dados do cliente em alta velocidade e grande escala.
Os sistemas de armazenamento de backup do Google armazenam cópias completas e incrementais dos sistemas ativos do Google por um período definido para ajudar o Google a recuperar dados e sistemas no caso de uma falha ou um desastre catastrófico. Ao contrário dos sistemas ativos, os sistemas de backup são projetados para receber instantâneos periódicos dos sistemas do Google. As cópias de backup são retiradas após um período limitado conforme novas cópias de backup são feitas.
Em todos os sistemas de armazenamento descritos acima, os dados do cliente são criptografados quando armazenados em repouso. Para mais informações, consulte Criptografia padrão em repouso.
Pipeline de exclusão de dados
Depois que os dados do cliente são armazenados no Google Cloud, nossos sistemas são projetados para armazenar os dados com segurança até que o pipeline de exclusão de dados conclua as etapas. Nesta seção, descrevemos as etapas de exclusão.
Etapa 1: solicitação de exclusão
A exclusão dos dados do cliente começa quando você inicia uma solicitação de exclusão. Geralmente, uma solicitação de exclusão é direcionada para um recurso específico, um projeto do Google Cloud ou sua Conta do Google. As solicitações de exclusão podem ser tratadas de maneiras diferentes, dependendo do escopo da solicitação:
- Exclusão de recursos: recursos individuais que contêm dados de clientes, como buckets do Cloud Storage, podem ser excluídos de várias maneiras no console do Google Cloud ou usando a API. Por exemplo, é possível emitir um
comando de remoção de bucket ou
gcloud storage rm
para excluir um bucket de armazenamento por meio da linha de comando, ou é possível selecionar um bucket de armazenamento e excluí-lo do console do Google Cloud. - Exclusão de projeto: como proprietário, você pode encerrar um projeto do Google Cloud. A exclusão atua como uma solicitação de exclusão em massa de todos os recursos vinculados ao número de projeto correspondente.
- Exclusão da Conta do Google:quando você exclui sua Conta do Google, todos os projetos não associados a uma organização e que pertencem exclusivamente a você são excluídos. Quando há vários proprietários para um projeto que não é da organização, ele não é excluído até que todos os proprietários sejam removidos do projeto ou excluam as Contas do Google. Esse processo garante que os projetos continuem enquanto tiverem um proprietário.
- Exclusão de conta do Google Workspace ou do Cloud Identity: organizações vinculadas a uma conta do Google Workspace ou do Cloud Identity são excluídas quando você exclui uma conta do Google Workspace ou do Cloud Identity. Saiba mais em Excluir a Conta do Google da sua organização.
As solicitações de exclusão são usadas principalmente para gerenciar seus dados. No entanto, o Google pode emitir solicitações de exclusão automaticamente. por exemplo, ao encerrar seu relacionamento com o Google.
Etapa 2: exclusão reversível
A exclusão reversível é o ponto natural dentro do processo para fornecer um breve período interno de organização e recuperação. Ela garante que haja tempo para recuperar todos os dados que foram marcados para exclusão por acidente ou por engano. Os produtos individuais do Google Cloud podem adotar e configurar esse período de recuperação definido antes que os dados sejam excluídos dos sistemas de armazenamento subjacentes, desde que o período se encaixe na linha do tempo geral de exclusão do Google.
Quando os projetos são excluídos, o Google Cloud identifica primeiro o número exclusivo do projeto e, em seguida, transmite um sinal de suspensão para os produtos do Google Cloud (por exemplo, Engine e Bigtable) que contenham esse número de projeto. Nesse caso, o Compute Engine suspende as operações que são vinculadas a esse número de projeto, e as tabelas relevantes no Bigtable inserem um período de recuperação interna de até 30 dias. No final do período de recuperação, o Google Cloud transmite um sinal aos mesmos produtos para iniciar a exclusão lógica de recursos vinculados ao project_number exclusivo. Em seguida, o Google espera (e, quando necessário, retransmite o sinal) para coletar um sinal de confirmação (ACK) dos produtos aplicáveis e concluir a exclusão do projeto.
Quando uma conta do Google é encerrada, o Google Cloud pode impor um período de recuperação interna de até 30 dias, dependendo da atividade anterior da conta. Após esse período de carência, um sinal que contém o ID do usuário da conta de faturamento excluído é transmitido aos produtos do Google, e os recursos do Google Cloud vinculados exclusivamente a esse ID do usuário são marcados para exclusão.
Etapa 3: exclusão lógica de sistemas ativos
Depois que os dados são marcados para exclusão e o período de recuperação expirou, os dados são excluídos sucessivamente dos sistemas de armazenamento ativo e de backup do Google. Nos sistemas ativos, os dados são excluídos de duas maneiras.
Em todos os produtos do Google Cloud nas categorias de projeto Computação, Armazenamento e Banco de dados, exceto o Cloud Storage, as cópias dos os dados excluídos são marcados como armazenamento disponível e substituídos ao longo do tempo. Em um sistema de armazenamento ativo, como o Cloud Bigtable, os dados excluídos são armazenados como entradas em uma tabela estruturada em massa. A compactação de tabelas atuais para substituir dados excluídos pode ser dispendiosa, já que exige a reescrita de tabelas de dados (não excluídos). Assim, a coleta de lixo com marcação e varredura e os principais eventos de compactação ocorrem em intervalos regulares para recuperar o espaço de armazenamento e substituir dados excluídos.
No Google Cloud Storage, os dados do cliente também são apagados por meio de exclusão criptográfica. Essa é uma técnica padrão da indústria que torna os dados ilegíveis, excluindo as chaves de criptografia necessárias para descriptografar esses dados. Uma vantagem de usar o apagamento criptográfico, seja envolvendo chaves de criptografia fornecidas pelo cliente ou pelo Google, é que a exclusão lógica pode ser concluída mesmo antes da substituição de todos os blocos excluídos desses dados nos sistemas de armazenamento ativos e de backup do Google Cloud.
Etapa 4: expiração de sistemas de backup
Assim como ocorre com a exclusão dos sistemas ativos do Google, os dados excluídos são eliminados dos sistemas de backup usando técnicas de substituição e criptográficas. Entretanto, no caso de sistemas de backup, os dados do cliente são normalmente armazenados em grandes instantâneos agregados de sistemas ativos que são retidos por intervalos de tempo estáticos. O objetivo é garantir a continuidade dos negócios no caso de um desastre (por exemplo, uma interrupção afetando um data center inteiro), quando o tempo e a despesa de restaurar um sistema inteiramente a partir de sistemas de backup podem se tornar necessários. Em conformidade com as práticas razoáveis de continuidade dos negócios, os instantâneos completos e incrementais dos sistemas ativos são capturados em ciclos diários, semanais e mensais. Eles são descontinuados após um intervalo de tempo predefinido para dar espaço aos instantâneos mais recentes.
Quando um backup é descontinuado, ele é marcado como espaço disponível e substituído conforme novos backups diários/semanais/mensais são realizados.
Observe que qualquer ciclo de backup razoável impõe um atraso predefinido na propagação de uma solicitação de exclusão de dados por meio de sistemas de backup. Quando os dados do cliente são excluídos dos sistemas ativos, eles não são mais copiados nos sistemas de backup. Os backups realizados antes da exclusão expiram regularmente com base no ciclo de backup predefinido.
Por fim, o apagamento criptográfico dos dados excluídos pode ocorrer antes da expiração do backup que contém os dados do cliente. Sem a chave de criptografia usada para criptografar dados específicos do cliente, esses dados são irrecuperáveis mesmo durante a vida útil restante nos sistemas de backup do Google.
Linha do tempo de exclusão
O Google Cloud foi projetado para alcançar um alto grau de velocidade, disponibilidade, durabilidade e consistência. O design de sistemas otimizados para esses atributos de desempenho precisa ser cuidadosamente equilibrado com a necessidade de alcançar a exclusão de dados oportuna. O Google Cloud se compromete a excluir os dados do cliente em um período máximo de seis meses (180 dias). Esse compromisso incorpora os estágios do pipeline de exclusão do Google descritos acima, incluindo os seguintes:
- Etapa 2: depois que a solicitação de exclusão é feita, os dados normalmente são marcados para exclusão imediatamente, e nossa meta é realizar essa etapa em um período máximo de 24 horas. Depois que os dados são marcados para exclusão, um período interno de recuperação de até 30 dias pode ser aplicado, dependendo da solicitação de serviço ou exclusão.
- Etapa 3: o tempo necessário para concluir as tarefas de coleta de lixo e realizar a exclusão lógica dos sistemas ativos. Esses processos podem ocorrer imediatamente após o recebimento da solicitação de exclusão, dependendo do nível de replicação de dados e do tempo dos ciclos de coleta de lixo em andamento. Após a solicitação de exclusão, geralmente leva cerca de dois meses para excluir dados dos sistemas ativos, o que normalmente é tempo suficiente para concluir dois ciclos principais de coleta de lixo e garantir que a exclusão lógica seja concluída.
- Etapa 4: o ciclo de backup do Google foi projetado para invalidar os dados excluídos nos backups do data center dentro de seis meses a partir da solicitação de exclusão. A exclusão pode ocorrer mais cedo, dependendo do nível de replicação de dados e do tempo dos ciclos de backup contínuos do Google.
O diagrama a seguir mostra os estágios do pipeline de exclusão do Google Cloud e quando os dados são apagados dos sistemas ativos e de backup.
Garanta uma limpeza de mídia segura
Um programa disciplinado de limpeza de mídia aumenta a segurança do processo de exclusão, evitando ataques forenses ou laboratoriais à mídia de armazenamento físico depois que ela atinge o fim do ciclo de vida.
O Google rastreia meticulosamente o local e o status de todos os equipamentos de armazenamento nos nossos data centers por meio de aquisição, instalação, descontinuidade e destruição, usando códigos de barras e tags de recursos rastreados no banco de dados de ativos do Google. Para evitar que os equipamentos saiam do data center sem autorização, usamos várias técnicas como identificação biométrica, detecção de metais, câmeras, barreiras de veículos e sistemas de detecção de intrusão baseados em laser. Para mais informações, consulte a Visão geral do design de segurança da infraestrutura do Google.
A mídia de armazenamento físico pode ser desativada por vários motivos. Se um componente for reprovado em um teste de desempenho em qualquer momento do ciclo de vida, ele será removido do inventário e terá o uso descontinuado. O Google também atualiza hardware obsoleto para melhorar a velocidade de processamento e a eficiência de energia ou aumentar a capacidade de armazenamento. Se o hardware for desativado por falha, atualização ou qualquer outro motivo, a mídia de armazenamento será desativada com as proteções apropriadas. Os discos rígidos do Google usam tecnologias como a criptografia de disco total (FDE, na sigla em inglês) e o bloqueio de unidades para proteger os dados em repouso durante a desativação. Quando um disco rígido é descontinuado, indivíduos autorizados verificam se o disco foi apagado substituindo a unidade por zeros e executando um processo de verificação em várias etapas para garantir que ela não contenha dados.
Caso não possa ser apagada por qualquer motivo, a mídia permanecerá armazenada até que possa ser destruída fisicamente. Dependendo do equipamento disponível, podemos esmagar e deformar ou fragmentar a unidade em pequenos pedaços. Em ambos os casos, o disco é reciclado em uma instalação segura, garantindo que ninguém seja capaz de ler dados em discos do Google desativados. Todos os data centers aderem a uma política rígida de descarte e usam as técnicas descritas para garantir a conformidade com o NIST SP 800-88, Revisão 1, Diretrizes para limpeza de mídia e DoD 5220.22-M, Manual de operação do programa de segurança industrial nacional.