Información general sobre la seguridad de Google Workspace Migrate

Para asegurar la privacidad y la seguridad de los datos en Google Workspace Migrate, hemos diseñado y creado nuestra infraestructura de modo que funcione de forma segura. A continuación, te indicamos cómo protegemos tus datos durante una migración con Google Workspace.

Diseño de la arquitectura  |  Gobierno de datos  |  Requisitos y configuración de acceso

Diseño de la arquitectura

La plataforma Google Workspace Migrate procesa las migraciones en varios flujos asíncronos para maximizar el rendimiento. Para obtener mejores resultados, la plataforma Google Workspace Migrate se puede desplegar en varios servidores de migración que se gestionan y protegen desde una ubicación central. Cada servidor se conecta a los demás servidores de migración desde la misma red y en una ubicación física cercana.

Flujo de datos

Todas las conexiones externas a Google Workspace Migrate son seguras cuando se hacen migraciones que tienen su origen o destino en APIs remotas, como Google Drive. Durante una migración, la plataforma Google Workspace Migrate escribe información en dos bases de datos: MySQL y CouchDB. Aunque en las bases de datos se almacenan algunos metadatos, el contenido de los objetos binarios que se migran nunca se conserva.

Nota: Para poder subirlos, los datos de archivos se almacenan de forma temporal y local en los nodos, pero no se almacenan en caché en los servidores de las bases de datos. Tampoco se almacenan blobs de datos de la migración, ni en caché ni de otro modo.

Puertos

Durante una migración, Google Workspace Migrate usa los siguientes puertos:

• 3306: el puerto predeterminado de la base de datos MySQL.
• 5131: este puerto configura los nodos de dirección de retrollamada que se comunican con la plataforma Google Workspace Migrate.
• 5984: el puerto predeterminado de la base de datos CouchDB.

Además de estos, después de instalar los servidores de nodo, puedes configurar un puerto con un certificado TLS para usarlo en estos servidores.

Base de datos MySQL

MySQL almacena los ajustes de configuración persistentes y los detalles generales de los registros. Por ejemplo:

• Mapeados de todos los objetos
• Información general de conexión y configuración (cuentas, conexiones, puentes, etc.)
• Metadatos de objetos, listas y plantillas de configuración
• Configuración, registros y metadatos de escaneados
• Permisos de usuario y metadatos del proyecto
• Información sobre transacciones y ejecuciones, excepto datos de registros detallados

Base de datos CouchDB

CouchDB almacena registros de todos los mapeados de usuarios y la información de configuración. Por ejemplo:

• Contenido de listas y de plantillas de configuración
• Registros y configuración de puentes
• Configuración y datos de informes de escaneados
• Información detallada de los registros sobre transacciones

Sistemas de archivos

La plataforma y los sistemas de archivos de nodo almacenan estos elementos:

• Configuración del host
• Credenciales de las bases de datos
• Claves de encriptado
• Metadatos de la asociación de nodos
• El estado del sistema de cada objeto mientras se está migrando

Cifrado

El sistema de archivos local y las bases de datos de MySQL y CouchDB están incluidos en el ámbito del cifrado:

• Sistema de archivos y CouchDB: se utilizan las claves de encriptado gestionadas por el cliente (CMEK) que establezcas durante el proceso de configuración. En CouchDB, el cifrado se realiza a nivel de aplicación. Consulta más información en el artículo Configurar la clave de cifrado.
• MySQL: el cifrado se realiza en el nivel de almacenamiento mediante el cifrado de datos en reposo de MySQL. Puedes configurar una clave para el cifrado durante el proceso de configuración. Si quieres obtener más información sobre el cifrado de MySQL, consulta el artículo 15.13 Cifrado de datos en reposo de InnoDB.

Gobierno de datos

Con Google Workspace Migrate, los administradores pueden controlar la planificación temporal y el destino de una migración. Puedes crear, configurar y controlar tu propia instancia de Google Cloud, lo que te permite acceder a tus recursos en la nube siempre que lo necesites.

Google Workspace ofrece unos compromisos contractuales muy estrictos sobre la propiedad de los datos, el uso de la información, la seguridad, la transparencia y la responsabilidad. Todo el contenido que migras con Google Workspace es tuyo.

Para mejorar el rendimiento, Google Workspace Migrate registra datos genéricos de telemetría durante las migraciones. Entre estos datos, se incluyen los siguientes:

• La cantidad y los tipos de objetos que se han migrado
• El número de usuarios y grupos afectados
• Tasas de latencia y de errores

Nunca registramos información personal identificable (IPI).

Por último, queremos mencionar que no verás publicidad en Google Workspace. Google nunca recoge ni usa datos de los servicios de Google Workspace con fines publicitarios. Tampoco vende tus datos a terceros.

Puedes consultar más información sobre la seguridad de Google Workspace en este informe de seguridad de Google Workspace.

Datos en tránsito

Para Google, proteger los datos en tránsito es una gran prioridad. Durante una migración, los datos no salen de tu red. Google Workspace Migrate usa certificados TLS como protocolo criptográfico. Además, tienes la opción de configurar un certificado TLS en la plataforma Google Workspace Migrate y en los servidores de nodo.

Google Workspace Migrate tiene un diseño de eje y radio, con la plataforma como eje y los nodos de los extremos como los radios. Durante la instalación, el usuario asigna a cada nodo una llave de seguridad que la plataforma debe proporcionarle para demostrar que puede asociarse con él. Durante el primer inicio, el nodo también genera una clave de encriptado pública y una privada.

Cuando la plataforma se asocia a un nodo, emplea estas claves para negociar una clave compartida AES‐256 y un par de claves de acceso aleatorias específicas para esa asociación. Si las solicitudes enviadas a los servicios que conforman este canal de comunicación entre la plataforma y el nodo no están encriptadas correctamente o no incluyen la clave de acceso correcta, se rechazan.

Normas, reglamentos y certificaciones

Google Cloud cumple con distintas normas y reglamentos, y así lo avalan varias certificaciones de terceros independientes. Estas auditorías y certificaciones realizadas por auditores externos acreditados muestran nuestro compromiso de proteger los datos de los usuarios. Además, permiten verificar las tecnologías y los procesos de protección de datos que utiliza Google.

Google Workspace ha obtenido varias certificaciones de seguridad, privacidad y control de cumplimiento, como ISO 27001, ISO 27017, ISO 27018, SOC 2 y SOC 3. También cumple las normativas de la HIPAA y el Reglamento General de Protección de Datos.

Consulta más información sobre las certificaciones de terceros en el Centro de recursos para el cumplimiento.

Requisitos y configuración de acceso de Google Workspace

Para hacer migraciones, necesitas una cuenta de servicio en la plataforma Google Workspace Migrate y en la conexión de destino de Google Workspace.

• Plataforma Google Workspace Migrate: se usa una clave de la cuenta de servicio para acceder al directorio de administradores (para gestionar el rol de administrador de la migración) y a la API de Google Workspace Migrate. Esta cuenta de servicio se encarga de autorizar el acceso a la plataforma (en función de cómo hayas asignado el rol de administrador) y de enviar métricas agregadas y anonimizadas a Google. Más información
• Conexión de destino de Google Workspace: se necesita una cuenta de servicio para migrar los datos a una instancia de Google Workspace. Debe tener delegación de todo el dominio y estar autorizada con suficientes permisos de acceso.

  Nota: No hace falta que crees una cuenta de servicio para la conexión de destino. Puedes usar la misma cuenta de servicio que hayas configurado para la plataforma Google Workspace Migrate.

Además, se deben autorizar varios permisos de la API OAuth de Google en el dominio.