Descripción general de la residencia de datos

Este tema es una descripción general de cómo aplicar requisitos de residencia de datos para los datos mediante Cloud SQL.

La residencia de datos hace referencia a la ubicación física de los datos y las normativas locales que se aplican a ellos.

En un entorno local tradicional, varios componentes integran y controlan la residencia de datos. Por ejemplo, una empresa puede alojar una puerta de enlace de asignación de token como un agente de seguridad para el acceso a la nube (CASB) para proteger los datos de la aplicación antes de que se transmitan al extranjero. En Google Cloud, varios servicios de Google Cloud, incluido Cloud SQL, controlan la residencia de los datos.

Es importante que Google Cloud admita la residencia de los datos, ya que la geografía es cada vez más relevante para la privacidad. Si se garantiza el respeto de las diferencias en la privacidad regional, la residencia de datos ayuda a mejorar la privacidad regional para sus clientes.

Residencia de datos en computación en la nube

A continuación, se enumeran algunos problemas de residencia de datos que debes conocer:

  • Si los usuarios de una empresa no conocen la ubicación física de los datos, no sabrán las regulaciones locales. A fin de poder investigar las políticas de residencia de datos para cada ubicación, los usuarios deben saber dónde están los centros de datos.
  • Los usuarios y proveedores de la empresa pueden usar Acuerdos de Nivel de Servicio (ANS) para establecer ubicaciones permitidas. Sin embargo, ¿qué sucede si los datos deben almacenarse en una región distinta de las condiciones del ANS?
  • Los usuarios deben asegurarse de que sus datos, y todos los servicios y recursos que usan en sus proyectos en la nube, cumplan con las regulaciones de residencia de datos del país host.
    • ¿Qué debes hacer si quieres decidir dónde almacenar tus datos y claves de encriptación?
    • ¿Qué sucede si deseas determinar en qué ubicaciones los usuarios pueden acceder a tus datos?

Los servicios de Google Cloud, incluido Cloud SQL, abordan algunos de estos problemas, ya que permiten hacer lo siguiente:

  • Configura la ubicación de almacenamiento de tus datos. Puedes seleccionar la región cuando creas tu instancia de Cloud SQL o puedes editar la región si editas una instancia existente.
  • Usa la función de réplica de lectura entre regiones para Cloud SQL a fin de asegurarte de que cumples con los estándares de residencia de datos de una región designada.
  • Controla las ubicaciones de la red desde las que los usuarios pueden acceder a los datos y el acceso de los administradores de la nube a estos datos.

Las funciones anteriores de Cloud SQL te permiten controlar la ubicación de tus datos y el acceso a ellos, ya sea por parte de Google o de cualquier persona.

Cloud SQL puede ayudarte a enfrentar los desafíos de la residencia de datos en tres áreas:

En las siguientes secciones, se analiza cada área con más detalle.

Almacenar datos

La residencia de datos implica almacenar información de identificación personal (PII) dentro de una región en particular, donde esos datos se procesan de acuerdo con las regulaciones de esa región.

Parte del almacenamiento de datos cumple con las demandas legales y reglamentarias de un país, como las leyes de localidad de datos. Por ejemplo, un país puede exigir que los datos relacionados con el Gobierno se almacenen en ese país. O una empresa puede estar obligada, por contrato, a almacenar datos de algunos de sus clientes en otro país. Por lo tanto, es fundamental cumplir con los requisitos de residencia de datos del país en el que se almacenan los datos.

Con Google Cloud, puedes configurar dónde se almacenan tus datos, incluso en las copias de seguridad. Esto te brinda la capacidad de elegir las regiones en las que almacenas tus datos. Cuando elijas configurar recursos para Cloud SQL en esas regiones, Google almacenará los datos en reposo solo en esas regiones, de conformidad con nuestras Condiciones específicas del servicio. Puedes seleccionar la región cuando creas tu instancia o puedes editar la región si editas una instancia existente.

Para obtener más información sobre las ubicaciones de las copias de seguridad, consulta Ubicaciones de copias de seguridad personalizadas.

Puedes usar restricciones de políticas de la organización para aplicar los requisitos de residencia de datos a nivel de la organización, el proyecto o la carpeta. Estas restricciones te permiten definir las ubicaciones permitidas de Google Cloud donde los usuarios pueden crear recursos para servicios compatibles. Para la residencia de datos, puedes limitar la ubicación física de un nuevo recurso con la restricción de ubicaciones de recursos. También puedes ajustar las políticas de una restricción para especificar multirregiones, como asia y europe, o regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas.

Otra función que te ayuda a aplicar la residencia de datos es la opción Controles del servicio de VPC. Los Controles del servicio de VPC te permiten restringir el uso de las API de Cloud SQL para importar y exportar datos mediante la API de Cloud SQL Admin o la API de Cloud Storage. Esta restricción garantiza que los datos permanezcan dentro de las ubicaciones de red que seleccionaste. Mediante los Controles del servicio de VPC, creas un perímetro de servicio que define los límites virtuales desde los que se puede acceder a un servicio, lo que evita que los datos se transfieran a esos límites. Puedes aplicar esta restricción incluso si el usuario está autorizado de acuerdo con tu política de IAM de Google Cloud.

Encripta datos

Los servicios de Google Cloud, incluido Cloud SQL, encriptan el contenido de los clientes en reposo y en tránsito mediante diversos métodos de encriptación. La encriptación es automática y no requiere ninguna acción por parte de los clientes.

Cloud SQL también te permite agregar otra capa de encriptación a los datos mediante claves de encriptación administradas por el cliente (CMEK). Están diseñadas para organizaciones que tienen datos sensibles o regulados y, por lo tanto, necesitan administrar la clave de encriptación por su cuenta. La función CMEK te permite usar tus propias claves criptográficas para los datos en reposo en Cloud SQL. Después de agregar CMEK, Cloud SQL usa las claves para acceder a los datos cada vez que se realiza una llamada a la API.

Si deseas que tus CMEK se almacenen en las regiones en las que implementas tus servicios, puedes usar Cloud Key Management Service (Cloud KMS). Debes establecer la ubicación de la clave cuando la creas. También puedes usar Cloud HSM para almacenar esas claves dentro de un módulo de seguridad de hardware físico (HSM) ubicado en la región que elijas.

Otra forma de elegir dónde deseas almacenar tus CMEK es usar un producto de terceros. Para almacenar y administrar claves en un producto de administración de claves de terceros que se implementa fuera de la infraestructura de Google, puedes usar Cloud External Key Manager (Cloud EKM).

Acceso a los datos

Con Cloud SQL, puedes controlar qué usuarios pueden acceder a tus datos.

Para controlar el acceso del personal de ingeniería y de Atención al cliente de Google, usa la Aprobación de acceso. Aprobación de acceso te permite solicitar a los empleados de Google que obtengan tu aprobación explícita antes de que accedan a tus datos o configuraciones en Google Cloud (para conocer las exclusiones, consulta Exclusiones de la Aprobación de acceso).

La Aprobación de acceso complementa la visibilidad proporcionada por la Transparencia de acceso, que genera registros de auditoría casi en tiempo real cuando los administradores de Google interactúan con tus datos. Los registros de auditoría incluyen la ubicación de la oficina del administrador y el motivo del acceso. También puedes aplicar atributos específicos a los administradores que tienen permiso para acceder a tus datos o configuraciones, incluida la región geográfica desde la que operan y otros atributos relevantes para el cumplimiento.

Por último, Key Access Justifications funciona sin problemas con Cloud KMS y Cloud EKM. Cada vez que se solicita una de tus claves para encriptar o desencriptar datos, Key Access Justification proporciona una justificación detallada, junto con un mecanismo para que apruebes o rechaces el acceso a claves mediante una política automatizada que establezcas.

Mediante la Aprobación de acceso, la Transparencia de acceso y las Key Access Justifications con Cloud KMS y Cloud EKM, puedes impedir que Google desencripte tus datos. Como resultado, eres árbitro del acceso a tus datos.

Revisión general

Google Cloud y sus servicios, incluido Cloud SQL, trabajan en conjunto para que puedas controlar la ubicación de tus datos y el acceso a ellos por parte de Google o de cualquier persona. Con estas consideraciones ya abordadas, puedes compilar con confianza cargas de trabajo esenciales en Google Cloud.