Questi contenuti sono stati aggiornati a maggio 2024 e rappresentano lo status quo alla data dall'ora in cui è stato scritto. Le norme e i sistemi di sicurezza di Google potrebbero cambiare nel miglioramento continuo della protezione dei nostri clienti.
Questo documento offre una panoramica del processo protetto che si verifica quando eliminare i dati dei clienti su Google Cloud. Come definito nella sezione Termini di servizio di Google Cloud, I dati dei clienti sono dati forniti a Google dai clienti o dagli utenti finali tramite i servizi collegati all'account.
Questo documento descrive il modo in cui i dati dei clienti vengono archiviati in Google Cloud, di eliminazione dei dati e come impediamo la ricostruzione dei dati archiviati sulla nostra piattaforma.
Per informazioni sui nostri impegni in materia di eliminazione dei dati, consulta Addendum per il trattamento dei dati Cloud (Clienti).
Archiviazione e replica dei dati
Google Cloud offre servizi di archiviazione e servizi di database come Bigtable e Spanner. La maggior parte delle applicazioni e accedono indirettamente all'infrastruttura di archiviazione di Google tramite questi servizi i servizi di machine learning.
La replica dei dati è fondamentale per ottenere una bassa latenza, un'alta disponibilità scalabili e duraturi. È possibile archiviare copie ridondanti dei dati dei clienti a livello locale, regionale e persino globale, a seconda della configurazione per soddisfare le esigenze dei tuoi progetti. Le azioni intraprese sui dati in Google Cloud possono essere replicati contemporaneamente in più data center, in modo che i dati dei clienti ad alta disponibilità. Quando si verificano cambiamenti che incidono sulle prestazioni dell'hardware, o un ambiente di rete, i dati dei clienti vengono automaticamente da un sistema o da una struttura a un'altra, in base alle preferenze le impostazioni di configurazione, in modo che i progetti dei clienti continuino a funzionare su larga scala e senza interruzioni.
A livello di archiviazione fisica, i dati inattivi dei clienti vengono archiviati in due tipi di sistemi: sistemi di archiviazione attivi e sistemi di archiviazione di backup. Questi due tipi di sistemi elaborano i dati in modo diverso. I sistemi di archiviazione attivi ai server di produzione di Google Cloud che eseguono l'applicazione e di archiviazione di Kubernetes. I sistemi attivi sono array di massa di dischi e unità utilizzati per scrivere nuovi dati, oltre ad archiviare e recuperare i dati in più copie replicate. I sistemi di archiviazione attivi sono ottimizzati per eseguire operazioni di lettura e scrittura in tempo reale dei dati dei clienti rapidamente e su larga scala.
I sistemi di archiviazione dei backup di Google memorizzano copie complete e incrementali dei sistemi attivi per un periodo di tempo definito al fine di aiutare Google a recuperare i dati e in caso di interruzione o disastro catastrofiche. A differenza dei sistemi attivi, i sistemi di backup sono progettati per ricevere snapshot periodici dei sistemi Google; le copie di backup vengono ritirate dopo un periodo di tempo limitato quando vengono create nuove copie di backup.
In tutti i sistemi di archiviazione descritti sopra, i dati dei clienti vengono criptati quando memorizzati at-rest. Per ulteriori informazioni, vedi Crittografia at-rest predefinita.
Pipeline di eliminazione dati
Una volta archiviati i dati dei clienti in Google Cloud, i nostri sistemi vengono progettati per archiviare i dati in modo sicuro fino a quando la pipeline di eliminazione dei dati non completa fasi iniziali. In questa sezione vengono descritte le fasi di eliminazione.
Fase 1: richiesta di eliminazione
L'eliminazione dei dati dei clienti inizia quando avvii una richiesta di eliminazione. In genere, una richiesta di eliminazione viene indirizzata a una risorsa specifica, dal progetto Google Cloud o dal tuo Account Google. Le richieste di eliminazione possono essere gestite in in modi diversi a seconda dell'ambito della richiesta:
- Eliminazione delle risorse: singole risorse contenenti i dati dei clienti,
come i bucket Cloud Storage, possono essere eliminati in vari modi
dalla console Google Cloud o utilizzando l'API. Ad esempio, puoi inviare un
rimuovi il bucket
gcloud storage rmper eliminare un bucket di archiviazione tramite la riga di comando seleziona un bucket di archiviazione ed eliminalo dalla console Google Cloud. - Eliminazione di progetti: come proprietario di un progetto Google Cloud, puoi terminare il progetto. L'eliminazione di un progetto agisce come una richiesta di eliminazione collettiva e le risorse associate numero progetto.
- Eliminazione dell'Account Google:quando elimini il tuo Account Google, questo elimina tutti i progetti non associati a un'organizzazione e che sono di tua proprietà. Quando esistono più proprietari per un progetto non dell'organizzazione, il progetto non viene eliminato finché tutti i proprietari rimosso dal progetto o eliminare i propri Account Google. Questo processo garantisce che i progetti continuino finché hanno un proprietario.
- Eliminazione degli account Google Workspace o Cloud Identity: Organizzazioni associate a Google Workspace o Cloud Identity vengono eliminati quando elimini un account Google Workspace Account Cloud Identity. Per ulteriori informazioni, vedi Eliminare l'Account Google dell'organizzazione.
Utilizzi le richieste di eliminazione principalmente per gestire i tuoi dati. Tuttavia, Google può emettere automaticamente le richieste di eliminazione; ad esempio rapporto con Google.
Fase 2: eliminazione temporanea
L'eliminazione temporanea è il punto del processo che fornisce una breve gestione temporanea interna e un periodo di recupero per garantire che ci sia tempo per recuperare tutti i dati che è stato contrassegnato per l'eliminazione per errore. Google Cloud individuale potrebbero adottare e configurare tale periodo di recupero prima che vengono eliminati dai sistemi di archiviazione sottostanti quando il periodo di tempo è adeguato entro i tempi previsti per l'eliminazione di Google.
Quando i progetti vengono eliminati, Google Cloud identifica prima il numero di progetto univoco, poi trasmette un indicatore di sospensione ai prodotti Google Cloud (ad esempio, Compute Engine e Bigtable) contenenti il numero di progetto. In questo caso, Compute Engine sospende le operazioni associate a questo del progetto e le tabelle pertinenti in Bigtable inseriscono un periodo di recupero interno massimo di 30 giorni. Al termine del periodo di recupero, Google Cloud trasmette un segnale agli stessi prodotti per iniziare l'eliminazione di risorse legate al numero di progetto univoco. Successivamente, Google attende (e, se necessario, ritrasmette il segnale) la ricezione di un segnale di conferma (ACK) dai prodotti interessati per completare l'eliminazione del progetto.
Quando un Account Google viene chiuso, Google Cloud potrebbe imporre una di recupero fino a 30 giorni, in base all'attività passata dell'account. In seguito la scadenza del periodo di tolleranza, un indicatore che contiene l'ID utente dell'account di fatturazione eliminato viene trasmesso ai prodotti Google e alle risorse Google Cloud collegate esclusivamente a quell'ID utente vengono contrassegnati per l'eliminazione.
Fase 3: cancellazione logica dai sistemi attivi
Dopo che i dati sono stati contrassegnati per l'eliminazione e l'eventuale periodo di recupero è scaduto, i vengono eliminati successivamente dai sistemi di archiviazione attivi e di backup di Google. Attivato sistemi attivi, i dati vengono eliminati in due modi.
In tutti i prodotti Google Cloud in Compute, Progetto Storage e Database tranne Cloud Storage, le copie dei dati eliminati vengono contrassegnate come spazio di archiviazione disponibile e sovrascritto nel tempo. In un sistema di archiviazione attivo, ad esempio Bigtable, i dati eliminati vengono archiviati come voci all'interno di una tabella strutturata. La compattazione delle tabelle esistenti per sovrascrivere i dati eliminati costoso, in quanto richiede la riscrittura di tabelle di dati esistenti (non eliminati), di garbage collection "mark-and-sweep" e i principali eventi di compattazione sono in programma per si verificano a intervalli regolari per recuperare spazio di archiviazione e sovrascrivere i dati eliminati.
In Cloud Storage, i dati dei clienti vengono eliminati anche tramite crittografia o la cancellazione dei dati. Si tratta di una tecnica standard del settore che rende i dati illeggibili eliminando le chiavi di crittografia necessarie per decriptare i dati. Un vantaggio dell'utilizzo della cancellazione crittografica, sia che si tratti di un chiavi di crittografia fornite dal cliente, è la possibilità di completare anche prima che tutti i blocchi eliminati di quei dati vengano sovrascritti I sistemi di archiviazione attivi e di backup di Google Cloud.
Fase 4: scadenza dai sistemi di backup
Analogamente all'eliminazione dai sistemi attivi di Google, i dati eliminati vengono eliminati dai sistemi di backup che usano sia tecniche di sovrascrittura che di crittografia. Nella nel caso dei sistemi di backup, tuttavia, i dati dei clienti vengono generalmente archiviati in snapshot aggregati di sistemi attivi che vengono conservati per periodi statici per garantire la continuità aziendale in caso di disastro (ad esempio, che interessa un intero data center), quando le spese e i tempi del ripristino potrebbe diventare necessario un sistema interamente da sistemi di backup. Coerentemente con le ragionevoli pratiche di continuità operativa, gli snapshot completi e incrementali dei sistemi attivi vengono creati con cicli giornalieri, settimanali e mensili e ritirati dopo un periodo di tempo predefinito per fare spazio agli snapshot più recenti.
Quando un backup viene ritirato, viene contrassegnato come spazio disponibile e sovrascritto come nuovo vengono eseguiti backup giornalieri, settimanali o mensili.
Un ciclo di backup ragionevole impone un ritardo predefinito nella propagazione di una richiesta di eliminazione dei dati attraverso i sistemi di backup. Quando i dati dei clienti vengono eliminati dai sistemi attivi, non viene più copiata nei sistemi di backup. Backup che eseguite prima della scadenza dell'eliminazione, in base al modello in un ciclo di backup.
Infine, la cancellazione crittografica dei dati eliminati potrebbe avvenire prima del backup che contiene i dati dei clienti è scaduta. Senza la chiave di crittografia utilizzati per criptare dati specifici dei clienti, questi ultimi non sono recuperabili durante la sua vita residua sui sistemi di backup di Google.
Cronologia dell'eliminazione
Google Cloud è progettato per raggiungere un elevato grado di velocità, disponibilità, durabilità e coerenza. La progettazione di sistemi ottimizzati questi attributi di prestazioni devono essere attentamente bilanciati con la necessità di raggiungere l'eliminazione tempestiva dei dati. Google Cloud si impegna a eliminare i dati dei clienti per un periodo massimo di circa sei mesi (180 giorni). Questo impegno include le fasi della pipeline di eliminazione di Google descritte sopra, incluse le seguenti:
- Fase 2: dopo aver effettuato la richiesta di eliminazione, in genere i dati vengono contrassegnati per l'eliminazione immediatamente e il nostro obiettivo è eseguire questo passaggio entro per un periodo massimo di 24 ore. Quando i dati sono stati contrassegnati per l'eliminazione, viene potrebbe essere applicato un periodo di recupero interno massimo di 30 giorni, a seconda del o una richiesta di eliminazione.
- Fase 3: il tempo necessario per completare le attività di garbage collection e ottenere l'eliminazione logica dai sistemi attivi. Questi processi possono verificarsi subito dopo la ricezione della richiesta di eliminazione, a seconda del livello della replica dei dati e delle tempistiche dei cicli di garbage collection in corso. Dopo aver effettuato la richiesta di eliminazione, in genere occorrono circa due mesi eliminare i dati dai sistemi attivi, operazione che in genere è sufficiente per il completamento due cicli di garbage collection principali e assicurare che l'eliminazione logica venga completata.
- Fase 4: il ciclo di backup di Google è progettato in modo da far scadere i dati eliminati nei backup dei data center entro sei mesi dalla richiesta di eliminazione. L'eliminazione potrebbe avvenire prima, a seconda del livello di replica dei dati e le tempistiche dei cicli di backup in corso di Google.
Il seguente diagramma mostra le fasi dell'eliminazione di Google Cloud e quando i dati vengono cancellati dai sistemi attivi e di backup.
Garantisci la sanificazione dei media sicura e protetta
Un programma disciplinato di sanificazione dei media migliora la sicurezza dell’eliminazione prevenendo attacchi forensi o di laboratorio allo spazio di archiviazione fisico contenuti multimediali dopo aver raggiunto la fine del ciclo di vita.
Google monitora meticolosamente la posizione e lo stato di tutte le apparecchiature di archiviazione all'interno dei nostri data center, tramite acquisizione, installazione, la distruzione di Google mediante codici a barre e tag asset monitorati nella risorsa di Google per configurare un database. Varie tecniche quali l'identificazione biometrica, il rilevamento dei metalli, le telecamere, le barriere per i veicoli e i sistemi di rilevamento delle intrusioni basati su laser sono impiegate per impedire alle apparecchiature di lasciare il piano del data center senza autorizzazione. Per ulteriori informazioni, consulta Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
I supporti di archiviazione fisica possono essere dismessi per diversi motivi. Se non supera un test delle prestazioni in qualsiasi momento durante il ciclo di vita, viene rimosso dall'inventario e ritirato. Inoltre, Google esegue l'upgrade dell'hardware obsoleto migliorare la velocità di elaborazione e l'efficienza energetica o aumentare la capacità di archiviazione. Se l'hardware viene dismesso a causa di guasti, upgrade o per qualsiasi altro motivo, i supporti di archiviazione vengono dismessi usando le misure di protezione appropriate. Dischi rigidi di Google usano tecnologie come la crittografia completa del disco (FDE) e il blocco delle unità per per proteggere i dati at-rest durante il ritiro. Quando un disco rigido viene ritirato, le persone autorizzate verificano che il disco sia cancellato sovrascrivendo l'unità zero ed eseguendo un processo di verifica in più passaggi per garantire che non contiene dati.
Se il supporto di archiviazione non può essere per qualche motivo cancellato, viene conservato in modo sicuro finché non può essere distrutto fisicamente. A seconda delle attrezzature disponibili, possiamo schiacciare e deformare l'unità o distruggerla in piccoli pezzi. In entrambi i casi, il disco viene riciclato in una struttura protetta, assicurando che nessuno possa leggere i dati sui dischi di Google ritirati. Ogni data center aderisce rigorose norme per lo smaltimento e utilizza le tecniche descritte per ottenere la conformità con NIST SP 800-88 Revisione 1 Linee guida per la sanificazione dei media e Manuale d'uso del programma per la sicurezza industriale nazionale DoD 5220.22-M.