Neste documento, você encontra as práticas recomendadas para implementar a segurança dos dados no Framework da arquitetura do Google Cloud.
Como parte da arquitetura de implantação, você precisa considerar quais dados planeja processar e armazenar no Google Cloud e a confidencialidade dos dados. Projete os controles para proteger os dados durante o ciclo de vida deles, identificar a propriedade e a classificação de dados e proteger dados contra uso não autorizado.
Para um blueprint de segurança que implanta um data warehouse do BigQuery com as práticas recomendadas de segurança descritas neste documento, consulte Proteger um data warehouse do BigQuery que armazena dados confidenciais.
Classificar seus dados automaticamente
Realize a classificação de dados no início do ciclo de vida do gerenciamento de dados, o ideal, quando os dados são criados. Os esforços de classificação de dados geralmente exigem apenas algumas categorias, como as seguintes:
- Público: dados aprovados para acesso público.
- Internos: dados não confidenciais que não são liberados para o público.
- Confidencial: dados confidenciais disponíveis para distribuição interna geral.
- Restrito: dados altamente confidenciais ou regulamentados que exigem distribuição restrita.
Use a Proteção de dados confidenciais para descobrir e classificar dados no ambiente do Google Cloud. A proteção de dados confidenciais tem suporte integrado para verificar e classificar dados confidenciais no Cloud Storage, no BigQuery e Datastore. Ela também tem uma API de streaming para oferecer suporte a outras fontes de dados e cargas de trabalho personalizadas.
A proteção de dados confidenciais pode identificar dados confidenciais usando InfoTypes integrados. Ele pode classificar, mascarar, tokenizar e transformar automaticamente elementos confidenciais (como dados de PII) para permitir que você gerencie o risco de coletar, armazenar e usar dados. Em outras palavras, ela pode ser integrada aos processos de ciclo de vida dos dados para garantir que os dados em todos os estágios estejam protegidos.
Para mais informações, consulte Desidentificação e reidentificação de PII em conjuntos de dados de grande escala usando a proteção de dados confidenciais.
Gerenciar a governança de dados usando metadados
A governança de dados é uma combinação de processos que garantem que os dados sejam seguros, privados, precisos, disponíveis e utilizáveis. Embora você seja responsável por definir uma estratégia de governança de dados para sua organização, o Google Cloud fornece ferramentas e tecnologias para ajudar a colocar sua estratégia em prática. O Google Cloud também fornece um framework para governança de dados (PDF) na nuvem.
Use o Data Catalog para encontrar, selecionar e usar metadados para descrever seus recursos de dados na nuvem. Você pode usar o Data Catalog para procurar recursos de dados e incluir tags nos metadados. Para acelerar seus esforços de classificação de dados, integre o Data Catalog à Proteção de dados sensíveis para identificar automaticamente dados sensíveis. Depois que os dados forem marcados, é possível usar o Google Identity and Access Management (IAM) para restringir quais dados os usuários podem consultar ou usar por meio das visualizações do Data Catalog.
Use o Metastore do Dataproc ou o metastore do Hive para gerenciar metadados de cargas de trabalho. O Data Catalog tem um conector do Hive que permite que o serviço descubra metadados dentro de um metastore do Hive.
Use o Dataprep by Trifacta para definir e aplicar regras de qualidade de dados por meio de um console. Use o Dataprep no Cloud Data Fusion ou use o Dataprep como um serviço independente.
Proteger os dados de acordo com a fase do ciclo de vida e a classificação
Depois de definir os dados no contexto do ciclo de vida e classificá-los com base na sensibilidade e risco, você pode atribuir os controles de segurança corretos para protegê-los. É preciso garantir que os controles forneçam proteções adequadas, atendam aos requisitos de conformidade e reduzam os riscos. you medida que você migra para a nuvem, revise sua estratégia atual e onde pode ser necessário alterar os processos atuais.
A tabela a seguir descreve três características de uma estratégia de segurança de dados na nuvem.
| Característica | Descrição |
|---|---|
| Identificação | Entender a identidade de usuários, recursos e aplicativos à medida que
criam, modificam, armazenam, usam, compartilham e excluem dados. Use o Cloud Identity e o IAM para controlar o acesso aos dados. Se suas identidades exigirem certificados, considere o Serviço de autoridade de certificação. Veja mais informações em Gerenciar identidade e acesso. |
| Limite e acesso | Configure controles para acessar os dados, por quem e em quais circunstâncias. Os limites de acesso aos dados podem ser gerenciados nesses níveis:
|
| Visibilidade | É possível auditar o uso e criar relatórios que demonstram como os dados são controlados e acessados. O Google Cloud Logging e a transparência no acesso fornecem insights sobre as atividades dos seus próprios administradores e usuários da nuvem. Para mais informações, consulte Monitorar seus dados. |
Criptografar seus dados
Por padrão, o Google Cloud criptografa dados de clientes armazenados em repouso sem que você tenha que intervir no processo. Além da criptografia padrão, o Google Cloud oferece opções para criptografia de envelopes e gerenciamento de chaves de criptografia. Por exemplo, os discos permanentes do Compute Engine são criptografados automaticamente, mas é possível fornecer ou gerenciar suas próprias chaves.
Identifique as soluções que melhor se adaptam às suas necessidades de geração, armazenamento e rotação de chave, seja para chaves de armazenamento, computação ou cargas de trabalho de Big Data.
O Google Cloud inclui as seguintes opções de criptografia e gerenciamento de chaves:
- Chaves de criptografia gerenciadas pelo cliente (CMEK). É possível gerar e gerenciar suas chaves de criptografia usando o Cloud Key Management Service (Cloud KMS). Use essa opção se você tiver determinados requisitos de gerenciamento de chaves, como a necessidade de alternar as chaves de criptografia regularmente.
- Chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês). É possível criar e gerenciar suas próprias chaves de criptografia e fornecê-las ao Google Cloud quando necessário. Use essa opção se você gerar suas próprias chaves usando seu sistema de gerenciamento de chaves no local para trazer sua própria chave (BYOK). Se você fornecer suas próprias chaves usando a CSEK, o Google as replicará e as disponibilizará nas cargas de trabalho. No entanto, a segurança e a disponibilidade das CSEKs são de sua responsabilidade, porque as chaves fornecidas pelo cliente não são armazenadas em modelos de instância ou na infraestrutura do Google. Se você perder o acesso às chaves, o Google não poderá ajudar a recuperar os dados criptografados. Pense cuidadosamente sobre quais chaves você quer criar e gerenciar. Use a CSEK apenas para informações mais confidenciais. Outra opção é executar a criptografia do lado do cliente nos dados e armazená-los no Google Cloud, onde os dados são criptografados novamente pelo Google.
- Sistema de gerenciamento de chaves terceirizado com o Cloud External Key Manager (Cloud EKM). O Cloud EKM protege seus dados em repouso usando chaves de criptografia armazenadas e gerenciadas em um sistema de gerenciamento de chaves terceirizado que você controla fora da infraestrutura do Google. Ao usar esse método, você tem uma alta garantia de que seus dados não poderão ser acessados por ninguém de fora da sua organização. O Cloud EKM permite que você alcance um modelo seguro de "chave própria" (HYOK, na sigla em inglês) para o gerenciamento de chaves. Para informações de compatibilidade, consulte a lista de serviços ativados do Cloud EKM.
O Cloud KMS também permite criptografar seus dados com chaves de criptografia baseadas em software ou módulos de segurança de hardware (HSMs, na sigla em inglês) validados pelo nível 3 do FIPS 140-2. Se você estiver usando o Cloud KMS, suas chaves criptográficas serão armazenadas na região em que o recurso for implantado. O Cloud HSM distribui suas necessidades de gerenciamento de chaves nas regiões, fornecendo redundância e disponibilidade global de chaves.
Para informações sobre como a criptografia de envelopes funciona, consulte Criptografia em repouso no Google Cloud.
Controlar o acesso dos administradores da nuvem aos seus dados
É possível controlar o acesso da equipe de suporte e engenharia do Google ao seu ambiente no Google Cloud. O Access Approval permite que você aprove explicitamente antes que os funcionários do Google acessem seus dados ou recursos no Google Cloud. Esse produto complementa a visibilidade fornecida pela transparência no acesso, que gera registros quando a equipe do Google interage com seus dados. Esses registros incluem o local do escritório e o motivo do acesso.
Se você usar esses produtos juntos, poderá negar ao Google a capacidade de descriptografar seus dados por qualquer motivo.
Configurar o local de armazenamento dos seus dados e o local onde os usuários podem acessá-los
É possível controlar os locais de rede em que os usuários podem acessar dados usando o VPC Service Controls. Este produto permite limitar o acesso a usuários em uma região específica. É possível aplicar essa restrição mesmo se o usuário estiver autorizado de acordo com a política do Google IAM. Com o VPC Service Controls, é possível criar um perímetro de serviço que define os limites virtuais de onde um serviço pode ser acessado, evitando que os dados sejam movidos para além desses limites.
Para ver mais informações, consulte os seguintes tópicos:
- Como automatizar a classificação de dados enviados para o Cloud Storage
- Governança de dados na nuvem
- Governança de dados para armazenamento de dados no BigQuery
- O metastore do Cloud Hive agora está disponível
Gerenciar secrets usando o Secret Manager
O Secret Manager permite armazenar todos os secrets em um local centralizado. Secrets são informações de configuração, como senhas de bancos de dados, chaves de API ou certificados TLS. É possível alternar automaticamente as chaves secretas e configurar os aplicativos para usar automaticamente a versão mais recente de uma senha. Cada interação com o Gerenciador de secrets gera um registro de auditoria para você visualizar todos os acessos a cada secret.
A Proteção de dados sensíveis também tem uma categoria de detectores para ajudar a identificar credenciais e secrets em dados que podem ser protegidos com o Secret Manager.
Monitorar seus dados
Para ver a atividade do administrador e os registros de uso de chaves, utilize os registros de auditoria do Cloud. Para ajudar a proteger os dados, monitore os registros com o Cloud Monitoring para garantir o uso adequado das chaves.
O Cloud Logging captura eventos do Google Cloud e permite adicionar outras origens, se necessário. É possível segmentar os registros por região, armazená-los em buckets e integrar o código personalizado para o processamento de registros. Por exemplo, consulte Solução personalizada para análise automatizada de registros.
Também é possível exportar registros para o BigQuery para executar análises de segurança e acesso. Assim, é possível identificar alterações não autorizadas e acesso inadequado aos dados da organização.
O Security Command Center pode ajudar a identificar e resolver problemas de acesso não seguro a dados organizacionais confidenciais que são armazenados na nuvem. Com uma única interface de gerenciamento, é possível procurar uma variedade de vulnerabilidades e riscos de segurança na infraestrutura em nuvem. Por exemplo, é possível monitorar a exportação de dados, verificar os sistemas de armazenamento quanto a dados confidenciais e detectar quais buckets do Cloud Storage estão abertos para a Internet.
A seguir
Saiba mais sobre segurança de dados com os seguintes recursos:
Implantar aplicativos com segurança (próximo documento desta série)
Proteger um armazenamento de dados do BigQuery que armazena dados confidenciais
Como projetar e implantar uma estratégia de segurança de dados (PDF)