Información general sobre la seguridad de Google

Realiza tus despliegues en una infraestructura protegida por grandes expertos en seguridad de la información, las aplicaciones y las redes.

Modelo de seguridad de Google

El modelo de seguridad de Google es un proceso integral cimentado en los 15 años que lleva la empresa protegiendo la seguridad de sus clientes en aplicaciones como Gmail, la Búsqueda y muchas más. En Google Cloud Platform, tus aplicaciones y datos disfrutan de las ventajas de este mismo modelo de seguridad. Para obtener más información al respecto, lee los informes sobre la seguridad, la información general sobre el diseño de seguridad de la infraestructura, el encriptado en reposo, el encriptado en tránsito y la seguridad del transporte en la capa de aplicaciones.

Introducción a la seguridad de GCP por Niels Provos

Equipo de seguridad de la información

El modelo de seguridad de Google gira en torno a nuestro equipo de seguridad de la información, compuesto por grandes expertos en seguridad de la información, las aplicaciones y las redes. Este equipo se encarga de mantener los sistemas de defensa de la empresa en lo que a seguridad se refiere, ya sea mediante el desarrollo de los procesos de revisión, la creación de la infraestructura de seguridad y la implementación de las políticas de Google de dicho ámbito. Entre sus numerosos logros cabe destacar la detección de la vulnerabilidad heartbleed, la creación de un programa de recompensas por informar sobre problemas de seguridad de software y la adopción de una política para usar SSL de forma predeterminada en Google.

Más detalles sobre nuestro equipo de seguridad de la información

Seguridad física de los centros de datos

En los centros de datos de Google se sigue un modelo de seguridad por capas que incluye medidas como tarjetas de acceso electrónicas con un diseño personalizado, alarmas, barreras en los accesos para vehículos, vallas circundantes, detectores de metales y autenticación biométrica. El suelo de los centros de datos está protegido por un sistema de detección de intrusos con rayos láser.

Nuestros centros de datos están vigilados las 24 horas con cámaras interiores y exteriores de alta resolución que detectan y siguen a los posibles intrusos. Si se produce un incidente, es posible consultar los registros de acceso, los informes de actividad y las imágenes de las cámaras. Además, los centros de datos disponen de guardias de seguridad experimentados que han superado rigurosas comprobaciones de antecedentes y han recibido la formación adecuada para patrullar las instalaciones de forma regular. Menos del 1 % de los Googlers pisa alguno de nuestros centros de datos durante su paso por la empresa.

Más información sobre la seguridad física de los centros de datos

Seguridad de los servidores y la pila de software

En Google trabajamos con decenas de miles de servidores idénticos que se han diseñado expresamente para la empresa. Hemos tenido la seguridad muy presente a la hora de desarrollarlo todo, desde el hardware hasta la red y la pila de software de Linux personalizada. La homogeneidad, unida al hecho de que toda la pila sea propiedad de Google, reduce en gran medida nuestra infraestructura física de seguridad y nos permite reaccionar a las amenazas con mayor rapidez.

Más información sobre la seguridad de los servidores y la pila de software

Arranque de confianza para los servidores

El único modo de proteger el proceso de arranque de los servidores consiste en protegerlos mediante una entidad que se comporte siempre de forma fiable y previsible. Para ofrecer esa confianza en Google, hemos creado Titan, un chip de seguridad a medida que permite verificar el firmware del sistema y los componentes de software, y es capaz de establecer una sólida identidad del sistema rooteada en el hardware.

Más información sobre Titan y el arranque de confianza para los servidores

Logotipo de servidor con Titan

Acceso a los datos

Google dispone de controles y prácticas destinados a proteger la seguridad de la información de los clientes. Las capas de la aplicación y la pila de almacenamiento de Google requieren que las solicitudes procedentes de otros componentes se autentiquen y reciban la autorización pertinente. También se controla el acceso a los entornos de producción por parte de los ingenieros administrativos de las aplicaciones de producción. Se utiliza un sistema de gestión de roles y grupos centralizado para definir y controlar el acceso de los ingenieros a los servicios de producción mediante un protocolo de seguridad que los autentica con certificados personales de clave pública de corta duración. Además, la emisión de los certificados personales está protegida por una autenticación de dos factores.

Más información sobre el acceso a los datos

Eliminación de datos

Cuando se retiran de los sistemas de Google, los discos duros que contienen información de los clientes se someten a un proceso de destrucción de datos antes de abandonar las instalaciones. En primer lugar, el personal autorizado realiza el borrado lógico del contenido de los discos según el proceso que haya aprobado el equipo de seguridad de Google. Después, otra persona autorizada inspecciona por segunda vez el disco para confirmar que los datos se han borrado con éxito. Los resultados de estos procesos de borrado se registran con el número de serie de la unidad para fines de seguimiento. Por último, la unidad borrada se guarda en el inventario para volver a utilizarse e instalarse. Si la unidad no puede borrarse debido a un fallo de hardware, se almacena en lugar seguro hasta que pueda destruirse físicamente. Todas las instalaciones se auditan semanalmente para garantizar que cumplan con la política de borrado de discos.

Más información sobre la eliminación de datos

Características de seguridad de Cloud Platform

En todos los productos de Google, incluido Cloud Platform, la seguridad es una parte fundamental del diseño y un requisito durante el desarrollo. Además, los equipos de ingenieros de fiabilidad del sitio de Google supervisan las operaciones de los sistemas de la plataforma para garantizar una alta disponibilidad y evitar el uso inadecuado de sus recursos. Las características de seguridad específicas se detallan en la documentación de cada producto, pero todos incluyen determinadas capacidades que abarcan toda la plataforma.

APIs de servicio seguro y acceso autenticado

Todos los servicios se administran mediante una infraestructura de pasarela de API global protegida. A esta infraestructura que sirve las API solo puede accederse a través de canales SSL o TLS encriptados. Además, todas las solicitudes deben incluir un token de autenticación de duración limitada que se genera mediante el inicio de sesión manual, o secretos privados basados en claves, generados mediante el sistema de autenticación anteriormente descrito.

Cualquier acceso a los recursos de Google Cloud Platform se regula mediante la misma infraestructura de autenticación sólida que utilizan otros servicios de Google. Esto significa que es posible usar cuentas de Google ya creadas o configurar un dominio gestionado de Google regulado. A la hora de administrar usuarios, tienes a tu disposición diferentes opciones: política de contraseñas, autenticación de dos factores obligatoria y una innovación en autenticación como son las claves de seguridad del hardware.

Almacenamiento de registros

Registramos todas las solicitudes a las API de la plataforma, como las solicitudes web y las de acceso a segmentos de almacenamiento y a cuentas de usuario. Gracias a las herramientas de Cloud Platform, puedes leer los registros de operaciones y acceso de Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN y Cloud Storage.

Encriptado de datos

Los servicios de Cloud Platform encriptan siempre el contenido de los clientes que se almacena en reposo, salvo por algunas excepciones poco significativas. Además, como el encriptado es automático, el cliente no tiene que hacer nada. En estos servicios, se utiliza como mínimo un mecanismo de encriptado; a veces, más. Por ejemplo, si se almacenan datos nuevos en discos persistentes, se encriptan según el estándar de encriptado avanzado (AES) de 256 bits, y cada clave de encriptado se encripta, a su vez, con un conjunto de claves maestras que rota de forma periódica. Las mismas políticas de encriptado y administración de claves, bibliotecas criptográficas y raíces de confianza que se aplican a tus datos en Google Cloud Platform se utilizan también en muchos de los servicios de producción de Google, como Gmail y los propios datos corporativos de Google.

Más información sobre las opciones de encriptado

Red global segura

Al estar conectada a la mayoría de proveedores de Internet del mundo, la red global de Google ayuda a mejorar la seguridad de los datos en tránsito, ya que limita los saltos por la Red pública. Gracias a Cloud Interconnect y a la VPN administrada, puedes crear canales encriptados entre el entorno de IP privada de tus instalaciones y la red de Google. De esta forma, las instancias están totalmente desconectadas de la Internet pública, pero puedes utilizarlas desde tu propia infraestructura privada.

Más información sobre el encriptado en tránsito

Detección de intrusos

Nuestra detección de intrusos se basa en un estricto control del tamaño y la configuración de la superficie de ataque de Google mediante medidas preventivas, controles de detección inteligentes en los puntos de entrada de datos y tecnologías que solventan automáticamente determinadas situaciones peligrosas.

Análisis de seguridad

Cloud Security Scanner ayuda a los desarrolladores de App Engine a identificar en sus aplicaciones web las vulnerabilidades más habituales, en particular el cross-site scripting (XSS) y el contenido mixto.

Cumplimiento y certificaciones

Cloud Platform y la infraestructura de Google han obtenido certificaciones de diversos estándares y controles de cumplimiento, cuyo número no para de aumentar. Además, se someten a diferentes auditorías de terceros independientes que comprueban la seguridad, protección y privacidad de los datos. Puedes obtener más información sobre cada una de las certificaciones en nuestra página sobre cumplimiento.

Logotipo de los programas de garantía

La seguridad de los proyectos en Cloud Platform, una responsabilidad compartida

Google se compromete a cumplir con su parte de responsabilidad a la hora de mantener la seguridad de tus proyectos, pero se trata de una responsabilidad compartida. Para lograrlo, te ofrecemos diversas funciones.

Parches del sistema operativo y la aplicación

Google Compute Engine y Google Kubernetes Engine funcionan con la tecnología de las máquinas virtuales. Si usas estas tecnologías en tus proyectos, debes mantener actualizados el sistema operativo de la máquina virtual y las aplicaciones con los parches de seguridad más recientes. Google se encarga de mantener la seguridad y los parches de los entornos del sistema operativo de alojamiento.

Administración de usuarios y credenciales

Google Cloud Platform te permite definir permisos de usuarios en el proyecto para que los miembros del equipo puedan disponer de accesos con privilegios mínimos.

Mantenimiento de las reglas de cortafuegos de la red

De manera predeterminada, todo el tráfico entrante desde fuera de una red se bloquea y no se admite ningún paquete en las instancias de máquina virtual sin reglas de cortafuegos explícitas. Si quieres permitir el tráfico de red entrante, debes configurar los cortafuegos para permitir estas conexiones. Gracias a este enfoque de permisos de red, puedes especificar el origen y el tipo de tráfico que puede llegar a tus instancias informáticas.

Prueba de penetración

Si quieres evaluar la seguridad de tu infraestructura de Cloud Platform con pruebas de penetración, no hace falta que nos lo comuniques. Basta con que cumplas la política de uso aceptable y las condiciones del servicio de Cloud Platform, y te asegures de que las pruebas afecten exclusivamente a tus proyectos, nunca a aplicaciones de otros clientes. Si encuentras alguna vulnerabilidad, notifícala a través del Vulnerability Reward Program.

Administración de datos confidenciales

Los datos pueden tener diferentes grados de confidencialidad. Cloud Platform te ofrece las capacidades fundamentales para crear aplicaciones seguras, pero tu deber es garantizar que la trasmisión y el acceso a estos datos se realicen de la forma adecuada en tu aplicación. Por tanto, debes evitar que tus usuarios finales compartan información importante fuera de la red corporativa o de la infraestructura de nube pública (es decir, prevención de la pérdida de datos), y garantizar la seguridad de los datos que puedan identificar a un individuo específico (es decir, información personal identificable). Consulta el artículo sobre la prevención de la pérdida de datos para obtener más información.

Registro y supervisión

Cloud Platform ofrece algunas herramientas, como Google Cloud Logging y Google Cloud Monitoring, con las que resulta más fácil recoger y analizar los registros de solicitudes, así como supervisar la disponibilidad de tus servicios de infraestructura (como las instancias de máquinas virtuales). Estas herramientas también te ayudan a crear paneles de control personalizados y configurar alertas para cuando surjan problemas.

Respuesta a las vulnerabilidades de las CPU

Obtén información sobre Spectre y Meltdown.

Más información

Preguntas frecuentes

Respuestas a las preguntas más habituales.

Ver las preguntas frecuentes

Boletines de seguridad

No te pierdas los últimos boletines de seguridad de Compute Engine.

Consultar los boletines de seguridad

Prácticas recomendadas

Conoce las prácticas recomendadas para empresas.

Leer las prácticas recomendadas

Partners de seguridad de Cloud

La seguridad de Google Cloud Platform cuenta con un rico ecosistema de partners.

Consultar los partners de seguridad de Google Cloud Platform

¿Dudas sobre la seguridad? Ponte en contacto con nosotros

  • Si tienes alguna pregunta relacionada con la seguridad del producto que no se responda en este documento, ponte en contacto con el equipo de asistencia de Google o con tu equipo de Cuentas.
  • Si crees que has encontrado una vulnerabilidad en la seguridad de la plataforma, infórmanos de ella.
  • Conoce el compromiso con la transparencia que adquirimos en nuestro enfoque de las operaciones, los datos y las políticas.
  • Denuncias de uso inadecuado: si sospechas que se está haciendo un uso inadecuado de los servicios de Cloud Platform, notifícanoslo.