En este artículo encontrarás las respuestas a algunas de las preguntas más frecuentes relacionadas con la seguridad y el cumplimiento en Google Cloud Platform.
Visita la página sobre seguridad y cumplimiento en Google Cloud Platform para obtener más información sobre la protección de la plataforma y sus productos.
Prueba de penetración
¿Debo informar a Google cuando vaya a realizar una prueba de penetración en mi proyecto?Si quieres evaluar la seguridad de tu infraestructura de Cloud Platform con pruebas de penetración, no hace falta que nos lo comuniques. Deberás cumplir la política de uso aceptable y las condiciones de servicio de Cloud Platform, y asegurarte de que las pruebas solo afecten a tus proyectos (y no a las aplicaciones de otros clientes). Si encuentras alguna vulnerabilidad, notifícala a través del Vulnerability Reward Program.
Detección de intrusos
¿Con qué sistemas de protección cuenta Google para hacer frente a hackers y a otros intrusos?La tecnología, la escala y la agilidad de nuestra infraestructura te ofrecen unas ventajas de seguridad sin igual. Nuestros centros de datos están desarrollados mediante servidores con un diseño personalizado y que utilizan nuestro propio sistema operativo para lograr una seguridad y un rendimiento óptimos. Google cuenta con más de quinientos ingenieros de seguridad (entre los que se incluyen algunos de los expertos en la materia más importantes del mundo). Estos trabajan a contrarreloj para detectar amenazas lo antes posible y reaccionar rápidamente. Nos volvemos mejores a medida que aprendemos de cada incidente. De hecho, incentivamos a los miembros de la comunidad para que investiguen cuestiones relativas a la seguridad y les animamos activamente a que expongan las vulnerabilidades de nuestros sistemas. La seguridad y la fiabilidad ocupan un lugar destacado en nuestra labor. Aquí tienes algunos ejemplos:
- En los centros de datos de Google se utiliza hardware con un diseño personalizado y dotado de un sistema de archivos y un sistema operativo reforzados. Todos y cada uno de estos sistemas se han optimizado para ofrecer la máxima seguridad y el mejor rendimiento. Como Google controla todo el hardware, tiene la capacidad para responder con rapidez ante cualquier debilidad o amenaza que pueda surgir.
- Ciframos los datos en tránsito que se transmiten entre nuestra empresa y nuestros clientes, así como entre los centros de datos. También ciframos los datos en reposo en los servicios de Cloud Platform.
- Para proteger la información frente a los avances en el campo de la criptoanalítica, en el 2013 Google duplicó la longitud de las claves de cifrado RSA a 2048 bits. Remplazamos estas claves regularmente, lo que nos permite subir el listón del sector en materia de seguridad.
Protección de las instancias
La seguridad que ofrece Google Cloud Platform es estupenda, ¿por qué debo preocuparme por asegurar mi instancia?Los proyectos de Google Cloud Platform emplean el mismo sistema de seguridad que utiliza Google para garantizar la protección de sus clientes en otras de sus propiedades. No obstante, si tu instancia no está configurada correctamente, es posible que sea vulnerable a los ataques. Piensa en ello como si la instancia fuera tu casa: si bien la policía patrulla por el barrio, debes cerrar la puerta con llave.
Sigue estas prácticas recomendadas para mantener tus instancias a buen recaudo en Google Cloud Platform:
- Conéctate a tu instancia de forma segura. Es recomendable configurar los cortafuegos de forma apropiada y proteger los puertos si va a haber usuarios externos que utilicen la aplicación. Consulta el artículo sobre la conexión segura a las instancias de VM para obtener más consejos que te sirvan para proteger tu instancia. Para las empresas, consulta esta sección dedicada a las redes y la seguridad.
- Comprueba que el cortafuegos del proyecto no sea público para todos los usuarios de Internet. Si estableces todas las reglas del cortafuegos como 0.0.0/0 y las dejas abiertas, cualquier fuente online puede establecer una conexión con tu instancia. A no ser que quieras que tu instancia sea pública, una práctica recomendada bastante generalizada es permitir que solo pueda acceder tu aplicación (y solo a través de los puertos que esta necesite). Si quieres obtener más información sobre las prácticas recomendadas, consulta los artículos sobre los cortafuegos y sus reglas en la guía de redes y cortafuegos de Compute Engine.
- Utiliza una contraseña segura. Las contraseñas sirven para garantizar que solo las personas autorizadas tienen acceso a tu instancia. Consulta el artículo Crear una contraseña segura para obtener más información al respecto. También debes proteger la cuenta de Gmail que usas para acceder a la consola de Google Cloud Platform. Echa un vistazo a la lista de comprobación de seguridad de Gmail para obtener consejos sobre cómo poner tu cuenta a buen recaudo.
- Comprueba que todo el software está actualizado. Verifica que el software que has instalado está actualizado y que no se tiene constancia de vulnerabilidades que puedan poner en peligro tu instancia.
- Supervisa la utilización del proyecto a través de la API correspondiente para identificar anomalías. Google Cloud Platform pone Stackdriver Logging a disposición de los usuarios. Gracias a este producto, puedes recoger y almacenar registros de aplicaciones y servicios en Google Cloud Platform. Puedes aprovechar el almacenamiento de registros para crear métricas basadas en ellos que sirvan como método de supervisión y creación de alertas sobre cualquier comportamiento sospechoso. Consulta la documentación de Stackdriver Logging para obtener más información. Investiga cualquier uso sospechoso para verificar que no hay software malicioso pirateando tu instancia.
Si quieres obtener más información sobre cómo diseñar un sistema seguro, consulta este artículo.
Como propietario del proyecto, eres responsable de garantizar la seguridad del software instalado en tu máquina. Si crees que se ha vulnerado la seguridad de tu instancia, sigue estos pasos para mitigar los daños:
- Detén la instancia inmediatamente.
- Informa a los usuarios afectados; es posible que se pregunten por qué se ha interrumpido el servicio.
- Analiza el comportamiento de tu instancia y el software instalado para identificar el origen de la vulnerabilidad.
- Verifica que todo el software está actualizado. Comprueba las vulnerabilidades conocidas del software instalado en tu máquina y toma medidas proactivas para aplicar los últimos parches de seguridad.
- Utiliza otros métodos de protección para garantizar que la seguridad de tu proyecto no se ha visto afectada por un tercero y vuelve a instalarlo.
- Sigue las directrices incluidas en la sección ¿Qué puedo hacer para proteger mi instancia? (en este mismo artículo) para mantener tu proyecto a buen recaudo a partir de ese momento.
- Si recibes un aviso de Google Cloud Platform sobre el comportamiento sospechoso de tu proyecto, puedes solicitar una apelación de dicho aviso. Para ello, ve a la consola de Google Cloud Platform y explica los pasos que has seguido para proteger la instancia.
Nosotros no podemos ver qué se ha instalado en tu instancia o qué software ha provocado el problema. La responsabilidad de investigar el origen de la vulnerabilidad y de tomar medidas para reducir el impacto recae sobre ti. Visita la página de asistencia de Cloud Platform si necesitas más ayuda para solucionar el problema.
Esto puede ocurrir por varios motivos. A veces, una aplicación de un tercero puede hacer que tu instancia sea vulnerable. Supervisar tu instancia resulta fundamental para verificar que es segura.
Consulta la política de uso aceptable de Google Cloud Platform para comprobar que tus proyectos la cumplen. En casos extremadamente aislados, nuestros algoritmos podrían marcar el comportamiento intencionado de tu proyecto como sospechoso a raíz de una instancia comprometida. Ante esta situación puedes ir a la consola de Google Cloud Platform y proporcionar una justificación comercial. Un miembro de nuestro equipo revisará tu apelación y te responderá en un plazo de dos días laborables.
Bloquear cuentas
¿Cómo puedo bloquear cuentas particulares para que dejen de acceder a Google Cloud Console en mi red?Si tu organización utiliza G Suite o tiene un dominio administrado para las cuentas de Google, puedes aplicar un proxy web para restringir el acceso a la consola de Cloud Platform. Consulta el artículo Bloquear el acceso a las cuentas de usuario particular en el Centro de Ayuda para administradores de G Suite.
Los usuarios bloqueados recibirán el mensaje "Google Developers Console no está disponible para usuario@domain.com en esta red. Ponte en contacto con tu administrador de red para obtener más información".