Descripción general de la seguridad en Google

Implementa en una infraestructura protegida por los mejores expertos en seguridad de la información, aplicaciones y redes

El modelo de seguridad de Google

El modelo de seguridad de Google es un proceso de extremo a extremo, desarrollado con el respaldo de más de 15 años de experiencia y que se enfoca en mantener a los clientes seguros en las aplicaciones de Google, como Gmail, la Búsqueda y otras apps. Con Google Cloud Platform, tus aplicaciones y datos se benefician del mismo modelo de seguridad. Para obtener más información sobre nuestro modelo de seguridad, puedes leer los siguientes informes: Seguridad, Descripción general del diseño de la infraestructura de seguridad, Encriptación en reposo, Encriptación en tránsito y Seguridad de transporte de la capa de la aplicación.

Descripción general de la seguridad en GCP de Niels Provos

Equipo de seguridad de la información

En el centro del modelo de seguridad de Google, se encuentra nuestro Equipo de seguridad de la información, el cual está compuesto de los mejores expertos en seguridad de la información, aplicaciones y redes. La labor de este equipo consiste en mantener los sistemas de defensa de la empresa, desarrollar procesos de revisión de seguridad, crear una infraestructura de seguridad y también implementar las políticas de seguridad de Google. Entre sus increíbles logros, se incluyen: el descubrimiento de la vulnerabilidad Heartbleed, el inicio de un programa de premios por informar problemas de seguridad de software y la implementación de la política de “SSL de forma predeterminada” en Google.

Más información sobre nuestro Equipo de seguridad de la información

Seguridad física de los centros de datos

Los centros de datos de Google tienen un modelo de seguridad en capas, que incluye dispositivos de seguridad, como tarjetas de acceso electrónicas personalizadas, alarmas, barreras de acceso para vehículos, cercas perimetrales, detectores de metales y el uso de la biometría. El piso del centro de datos posee detectores de intrusión de rayos láser.

Nuestros centros de datos se supervisan las 24 horas, los 7 días de la semana con cámaras de alta resolución interiores y exteriores, que pueden detectar y rastrear a los intrusos. En caso de que ocurra un incidente, se revisan el acceso a los registros, los registros de actividad y las imágenes de las cámaras. Además, guardias de seguridad experimentados, que han sido sometidos a rigurosas investigaciones de antecedentes y capacitaciones, patrullan los centros de datos de forma rutinaria. Menos del uno por ciento de los empleados de Google ingresarán alguna vez en uno de nuestros centros de datos.

Más información sobre la seguridad física de los centros de datos

Seguridad de los servidores y la pila de software

En Google, utilizamos cientos de miles de servidores personalizados idénticos. Diseñamos todo pensando en la seguridad, desde el hardware y las redes hasta la pila de software personalizada de Linux. La homogeneidad, combinada con la propiedad de la pila completa, reduce de manera significativa nuestra huella de seguridad y nos permite reaccionar de forma más rápida ante las amenazas.

Más información sobre la seguridad de los servidores y la pila de software

Inicio confiable de los servidores

La única forma de proteger el proceso de inicio de un servidor es con una entidad que siempre se comporte de una manera predecible. Google tiene un chip de seguridad para propósitos específicos llamado Titan que puede generar esta confianza en el hardware. Titan permite la verificación del firmware del sistema y de los componentes del software, y establece una identidad del sistema fuerte y basada en el hardware.

Obtén más información sobre el inicio confiable de los servidores y Titan

Logotipo de Titan Server

Acceso a los datos

Google cuenta con controles y prácticas para proteger la seguridad de la información del cliente. Las capas de la pila de almacenamiento y aplicaciones de Google exigen que las solicitudes provenientes de otros componentes sean autenticadas y autorizadas. También se controla el acceso de los ingenieros administrativos de aplicaciones de producción a los entornos de producción. Se utiliza un sistema de administración de funciones y grupo centralizado para definir y controlar el acceso de los ingenieros a los servicios de producción, mediante el uso de un protocolo de seguridad que autentica a los ingenieros a través del uso de certificados de claves públicas provisorias personales. A su vez, la emisión de los certificados personales se protege mediante la autenticación de dos factores.

Más información sobre el acceso a los datos

Eliminación de datos

Cuando se retiran de los sistemas de Google, los discos duros que contienen información de clientes están sujetos al proceso de destrucción de datos antes de dejar las instalaciones de Google. En primer lugar, como es lógico, individuos autorizados borran los discos mediante un proceso aprobado por el Equipo de seguridad de Google. Luego, otro individuo autorizado realiza una segunda inspección para confirmar que el disco se borró de manera correcta. Estos resultados de eliminación de datos se registran por el número de serie de la unidad para su seguimiento. Finalmente, la unidad borrada se libera al inventario para reutilizarla y reubicarla. Si la unidad no se puede borrar debido a errores de hardware, se almacena de manera segura hasta que se pueda destruir físicamente. Se realiza una auditoría a la semana en cada instalación para supervisar el cumplimiento de la política de eliminación de datos en discos.

Más información sobre la eliminación de datos

Características de seguridad de la plataforma

Todos los productos de Google, incluido Cloud Platform, están creados con seguridad como requisito principal de diseño y desarrollo. Es más, los equipos de ingenieros de confiabilidad en las instalaciones de Google supervisan las operaciones de los sistemas de la plataforma para asegurar la alta disponibilidad y evitar el uso abusivo de los recursos de la plataforma. Las características de seguridad específicas del producto se describen en cada documentación del producto, pero todas cumplen con capacidades determinadas que se encuentran en toda la plataforma.

API de servicio y acceso autenticado seguros

Todos los servicios se administran mediante una infraestructura de puerta de enlace API global segura. La única manera de acceder a esta infraestructura de entrega de API es mediante canales SSL/TLS encriptados. Cada solicitud debe incluir un token de autenticación provisoria generado mediante secretos basados en una clave privada o en un acceso humano dentro del sistema de autenticación descrito anteriormente.

Todo acceso a los recursos de Google Cloud Platform está regulado mediante la misma infraestructura sólida de autenticación que respalda a otros servicios de Google. Esto significa que se pueden usar cuentas de Google existentes o establecer un dominio regulado administrado por Google. Las características disponibles cuando administras usuarios incluyen la política de contraseñas, la autenticación de 2 factores obligatoria y nuevas innovaciones para la ejecución de la autenticación en forma de claves de seguridad de hardware.

Registros

Se registran todas las solicitudes de API de la plataforma (por ejemplo, solicitudes web, acceso a depósitos de almacenamiento y acceso a cuentas de usuario). Con las herramientas de Cloud Platform, puedes leer registros de operaciones y acceso para Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN y Cloud Storage.

Encriptación de datos

Los servicios de Cloud Platform siempre encriptan el contenido de los clientes almacenado en reposo, salvo en algunas pocas excepciones. La encriptación es automática y no requiere ninguna acción por parte de los clientes. Se usan uno o más mecanismos de encriptación. Por ejemplo, cuando se almacenan datos nuevos en los discos persistentes, se los encripta conforme al Estándar de encriptación avanzada de 256 bits (AES-256) y cada clave de encriptación se encripta, a su vez, con un conjunto de claves maestras que se rotan con regularidad. Las mismas políticas de administración de claves y encriptación, bibliotecas criptográficas y rutas de confianza que se usan para tus datos en Google Cloud Platform se emplean en varios de los servicios de producción de Google, incluidos Gmail y los propios datos corporativos de Google.

Obtén más información sobre tus opciones de encriptación

Red global segura

Debido a que se encuentra vinculada a la mayoría de los ISP del mundo, la red global de Google ayuda a mejorar la seguridad de los datos en tránsito mediante la limitación de los saltos en la Internet pública. Cloud Interconnect y las VPN administradas te permiten crear canales encriptados entre tu entorno de IP privado in situ y la red de Google. Esto te permite mantener las instancias completamente desconectadas de la Internet pública, y puedes seguir accediendo a ellas desde tu propia infraestructura privada.

Obtén más información sobre la encriptación en tránsito

Detección de intrusiones

La detección de intrusiones de Google implica controlar firmemente el tamaño y la composición de la superficie de ataque de Google a través de la aplicación de medidas preventivas, la implementación de controles de detección inteligentes en los puntos de entrada de datos y el uso de tecnologías que solucionen de inmediato algunas situaciones peligrosas.

Análisis de seguridad

Cloud Security Scanner ayuda a los programadores de App Engine a identificar las vulnerabilidades más comunes, específicamente las secuencias de comandos entre sitios (XSS) y el contenido mixto en sus aplicaciones web.

Certificaciones y cumplimiento

La infraestructura de Cloud Platform y Google está certificada para una cantidad cada vez mayor de normas y controles de cumplimiento. Además, se ha sometido a diversas auditorías independientes de terceros para poner a prueba la seguridad y privacidad de los datos. Lee más acerca de las certificaciones específicas en nuestra página de cumplimiento.

Logotipo de los programas de seguridad

Cómo mantener tus proyectos de Cloud Platform seguros

Google está comprometido con cumplir con su parte respecto a mantener tus proyectos seguros, pero la seguridad es una responsabilidad compartida. Te proporcionamos funciones que puedes utilizar para mantener tus proyectos seguros.

Parches para sistemas operativos y aplicaciones

Google Compute Engine y Google Kubernetes Engine usan la tecnología de las máquinas virtuales (VM). Si utilizas estas tecnologías en tus proyectos, es tu responsabilidad mantener el sistema operativo y las aplicaciones de las VM actualizados con los parches de seguridad más recientes. Google mantiene la seguridad y los parches de los entornos de los sistemas operativos del host.

Administración de usuarios y credenciales

Google Cloud Platform te permite establecer permisos de usuario a nivel de proyecto. Proporciona el acceso con menos privilegios a los miembros del equipo.

Mantenimiento de reglas de firewall de la red

De forma predeterminada, se bloquea todo el tráfico entrante proveniente del exterior de una red y no se permiten paquetes en la instancia de VM sin reglas de firewall explícitas. Para permitir el tráfico de red entrante, debes configurar los firewalls para que permitan estas conexiones. Este enfoque en los permisos de red te permite especificar el origen y el tipo de tráfico que deseas permitir que alcance tus instancias de proceso.

Pruebas de penetración

Si planeas evaluar la seguridad de tu infraestructura de Cloud Platform con pruebas de penetración, no es necesario que te comuniques con nosotros para comenzar a hacerlo. Deberás satisfacer la Política de Uso Aceptable y las Condiciones del Servicio de Cloud Platform y asegurarte de que las pruebas solo afecten a tus proyectos (y no a las aplicaciones de otros clientes). Si encuentras una vulnerabilidad, infórmala a través del Programa de recompensas por detección de vulnerabilidades.

Administración de datos confidenciales

Los datos poseen distintos niveles de confidencialidad. Cloud Platform proporciona las funcionalidades fundamentales necesarias para desarrollar aplicaciones seguras; sin embargo, es tu responsabilidad implementar el movimiento y el acceso adecuados a estos datos en el nivel de tu aplicación. Esto incluye evitar que tus usuarios finales compartan información crítica fuera de tu red corporativa o infraestructura de nube pública (es decir, la prevención de la pérdida de datos) y asegurarte de mantener seguros los datos que podrían identificar a un individuo específico (es decir, la información de identificación personal). Consulta Prevención de pérdida de datos para obtener más detalles.

Registros y supervisión

Cloud Platform proporciona herramientas como Google Cloud Logging y Google Cloud Monitoring, que facilitan la recopilación y el análisis de los registros de solicitud y la supervisión de la disponibilidad de tus servicios de infraestructura (p. ej., las instancias de VM). Estas herramientas también te facilitan la creación de paneles personalizados y el establecimiento de alertas cuando se produzcan problemas.

Respuesta a las vulnerabilidades de CPU

Obtén información sobre Spectre y Meltdown

Más información

Preguntas frecuentes

Respuestas a tus preguntas frecuentes

Ver las preguntas frecuentes

Boletines de seguridad

Ver los últimos boletines de seguridad de Compute Engine

Ver boletines de seguridad

Recomendaciones

Más información sobre las prácticas recomendadas para organizaciones empresariales

Leer las recomendaciones

Socios para la seguridad de la nube

La seguridad de GCP cuenta con un ecosistema próspero de socios

Obtén información sobre los socios para la seguridad de GCP

¿Tienes preguntas o dudas sobre la seguridad? Comunícate con nosotros

  • Si tienes preguntas sobre características del producto relacionadas con la seguridad que no aparecen aquí, comunícate con la Atención al cliente de Google o con el equipo de tu cuenta.
  • Si crees haber encontrado una vulnerabilidad de seguridad en la plataforma, infórmala.
  • Obtén más información sobre nuestro compromiso con la transparencia en el enfoque que usamos para las operaciones, los datos y las políticas.
  • Informes de abuso: Si sospechas que se está abusando de los servicios de Cloud Platform, infórmalo.