Perguntas frequentes sobre a segurança do Cloud

Aqui, você encontra respostas para algumas perguntas frequentes a respeito da segurança e conformidade do Google Cloud Platform.

Para mais informações sobre a segurança da plataforma e dos produtos dela, consulte Segurança e conformidade do Google Cloud Platform.

Teste de penetração

Planejo fazer um teste de penetração no meu projeto. Será que preciso avisar o Google?

Se você planeja avaliar a segurança da sua infraestrutura do Cloud Platform com um teste de penetração, não é necessário entrar em contato com nossa equipe.  Você precisará seguir a Política de uso aceitável e os Termos de Serviço do Cloud Platform, além de garantir que os testes afetarão somente seus projetos, e não os aplicativos de outros clientes.  Se uma vulnerabilidade for localizada, reporte-a por meio do Programa de premiação por vulnerabilidades.

Detecção de intrusões

Como o Google me protege de hackers e outros invasores?

A tecnologia, escala e agilidade da nossa infraestrutura oferece benefícios de segurança exclusivos a você. Nossos data centers contam com servidores personalizados que executam nosso próprio sistema operacional para garantir a segurança e o desempenho. A equipe do Google tem mais de 500 engenheiros de segurança, entre eles, alguns dos maiores especialistas da área. Eles trabalham 24 horas por dia para encontrar ameaças logo no início e reagir com rapidez. Nossas habilidades aumentam à medida que aprendemos com cada incidente. Além disso, estamos envolvidos com a comunidade de pesquisas sobre segurança e a incentivamos a expor as vulnerabilidades dos nossos sistemas. Veja alguns exemplos de como a segurança e a confiabilidade são essenciais para nosso trabalho:

  • Os data centers do Google usam hardware personalizado, que executa um sistema operacional e um sistema de arquivos com proteção personalizada. Cada um desses sistemas foi otimizado em termos de segurança e desempenho. O Google controla toda a pilha de hardware, por isso conseguimos reagir rapidamente a ameaças ou outras possíveis vulnerabilidades.
  • Os dados em trânsito entre o Google, nossos clientes e nossos data centers são criptografados, assim como os dados em repouso nos nossos serviços do Cloud Platform.
  • Para se proteger contra ataques criptoanalíticos, o Google duplicou o tamanho das chaves de criptografia RSA para 2.048 bits em 2013. Alteramos as chaves com regularidade e, assim, estabelecemos um padrão alto para todo o setor.

Como proteger as instâncias

O Google Cloud Platform oferece ótima segurança, então por que me preocupar em proteger minha instância?

Com o Google Cloud Platform, seus projetos são protegidos pelo mesmo modelo de segurança oferecido aos nossos clientes nos outros Serviços do Google. No entanto, caso a configuração da sua instância esteja incorreta, ela poderá ficar vulnerável a um ataque. Fazendo um paralelo, você também precisa trancar as portas da sua casa mesmo sabendo que a polícia patrulha seu bairro.

O que posso fazer para proteger minha instância?

Para proteger suas instâncias no Google Cloud Platform, siga estas práticas recomendadas:

  • Conecte-se à instância com segurança. Para aplicativos externos, recomendamos que você configure seus firewalls corretamente e proteja suas portas. Para dicas sobre como proteger sua instância, consulte Como se conectar às instâncias de VM com segurança. Para empresas, consulte Redes e segurança.
  • Confira se o firewall do projeto não está aberto para todos na Internet. Deixar todas as regras de firewall abertas como 0.0.0/0 significa que qualquer fonte na Internet pode estabelecer uma conexão com sua instância. A menos que você queira que ela fique disponível para o público, a prática recomendada é permitir acesso somente ao seu aplicativo e apenas às portas para as quais ele precisa de acesso. Para informações sobre práticas recomendadas relacionadas a firewalls, consulte Regras de firewall e Firewalls no guia Usar redes e firewalls do Compute Engine.
  • Use uma senha forte. Senhas garantem que somente pessoas autorizadas tenham acesso à sua instância. Para saber como criar senhas fortes, consulte Como criar uma senha forte. Além disso, lembre-se de proteger a conta do Gmail que você usa para acessar o console do Cloud Platform. Para saber como fazer isso, consulte Dicas de segurança do Gmail.
  • Verifique se todos os softwares estão atualizados. Certifique-se de que os softwares instalados estejam atualizados e não tenham vulnerabilidades conhecidas que possam prejudicar sua instância.
  • Monitore o uso do projeto de perto por meio da API de monitoramento para identificar atividades anormais. O Google Cloud Platform oferece Stackdriver Logging, um produto que permite coletar e armazenar registros de aplicativos e serviços na plataforma. Use a geração de registros para criar métricas com base em registros que monitorar comportamentos incomuns e emitem alertas. Para mais informações, consulte Documentação do Stackdriver Logging. Investigue qualquer uso suspeito para garantir que sua instância não foi invadida por um software mal-intencionado.

Para mais dicas sobre como projetar um sistema robusto, consulte Como projetar sistemas robustos.

O que devo fazer se meu projeto do Google Cloud for comprometido?

Como proprietário de um projeto, você é responsável pela proteção do software instalado na sua máquina. Se você acredita que sua instância foi comprometida, as etapas a seguir ajudarão a limitar os danos:

  • Interrompa a instância imediatamente.
  • Avise os usuários afetados. Eles podem estar se perguntando por que seu serviço ficou indisponível.
  • Analise o comportamento da sua instância e o software que você instalou para identificar a origem da vulnerabilidade.
  • Certifique-se de que os softwares instalados na sua máquina estejam atualizados. Verifique se há vulnerabilidades conhecidas neles e tome medidas proativas para aplicar as correções de segurança mais recentes.
  • Adote medidas de segurança adicionais para ter certeza de que seu projeto não foi comprometido por terceiros. Depois disso, reinstale-o completamente.
  • Siga as diretrizes na seção O que posso fazer para proteger minha instância? acima para garantir que seu projeto esteja seguro daqui em diante.
  • Caso você tenha recebido uma mensagem do Google Cloud Platform sobre um comportamento suspeito no seu projeto, conteste esse aviso. Para isso, acesse o console da plataforma e explique as etapas que você seguiu para proteger a instância.
Minha instância foi comprometida. Vocês podem me dizer como faço para consertá-la?

Infelizmente, não temos visibilidade suficiente para saber o que está instalado na sua instância ou qual software causou o problema. Você é responsável por investigar a origem da vulnerabilidade e adotar as medidas necessárias para minimizá-la. Caso precise de mais ajuda para resolver o problema, consulte a página de suporte do Cloud Platform.

Minha instância está segura, e eu segui todas as diretrizes. Mesmo assim, recebi um aviso sobre um comportamento estranho na minha instância. O que devo fazer?

Há muitos motivos para isso acontecer. Às vezes, o aplicativo de terceiros pode tornar sua instância vulnerável. É muito importante monitorá-la para garantir que ela esteja protegida.

Além disso, leia a Política de uso aceitável do Google Cloud Platform para garantir que seu projeto esteja em conformidade com as regras. Em casos extremamente raros, nossos algoritmos podem sinalizar o comportamento intencional do seu projeto como uso suspeito originado em uma instância comprometida. Nesses casos, é possível contestar a sinalização. Basta acessar o console do Google Cloud Platform e fornecer uma justificativa de negócios. Um membro da nossa equipe analisará sua contestação e responderá em até dois dias úteis.

Como bloquear contas

Como posso bloquear o acesso de contas do consumidor ao Google Cloud Console na minha rede?

Caso sua empresa tenha G Suite ou um domínio gerenciado para Contas do Google, você pode aplicar um proxy Web para restringir o acesso ao console do Cloud Platform. Para mais informações, acesse Bloquear o acesso a contas do consumidor na Central de Ajuda do Administrador do G Suite.

Os usuários bloqueados receberão a mensagem: "O Google Developers Console não está disponível para user@domain.com nesta rede. Fale com o administrador da sua rede para mais informações."

Isso foi útil?
Como podemos melhorá-lo?