En este documento, se incluyen las prácticas recomendadas y los lineamientos para los sistemas de administración de datos cuando se ejecutan cargas de trabajo en Cloud de Confiance by S3NS.
Los sistemas de administración de datos, como BigQuery y Cloud Storage, te permiten almacenar los datos que necesitas para tus flujos de trabajo, incluidos los datos de entrenamiento, los artefactos del modelo y los datos de producción.
Controles comunes
Estos controles se aplican a todos los sistemas de administración de datos.
Habilita Sensitive Data Protection para la inspección de datos
| ID de control de Google | COM-CO-5.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Cloud de Confiance recomienda usar Sensitive Data Protection. Los infoTypes o las plantillas de trabajo que selecciones dependerán de tus sistemas particulares. |
| Productos aplicables |
Protección de datos sensibles |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles del almacén de datos
Estos controles se aplican a BigQuery.
Asegúrate de que los conjuntos de datos de BigQuery no sean legibles públicamente ni estén configurados como allAuthenticatedUsers
| ID de control de Google | BQ-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asegúrate de que BigQuery no tenga conjuntos de datos abiertos al acceso público, a menos que estén destinados a ser públicos. Los conjuntos de datos en BigQuery suelen contener datos sensibles. Restringe el acceso a la información de un conjunto de datos de BigQuery solo a usuarios específicos. Para configurar esta protección, debes establecer roles detallados. Revisar el acceso al conjunto de datos te ayuda a garantizar que no expongas datos a Internet de forma involuntaria. |
| Productos aplicables |
|
| Ruta | cloudasset.assets/assetType |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Asegúrate de que las tablas de BigQuery no sean legibles de forma pública ni estén configuradas como allAuthenticatedUsers
| ID de control de Google | BQ-CO-6.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Restringe el acceso a la información de una tabla de BigQuery solo a usuarios específicos. Para configurar esta protección, debes establecer roles detallados. |
| Productos aplicables |
|
| Ruta | cloudasset.assets/iamPolicy.bindings.members |
| Operador | anyof |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Encripta valores individuales en una tabla de BigQuery
| ID de control de Google | BQ-CO-6.3 |
|---|---|
| Implementación | Opcional |
| Descripción | Si tu organización requiere que encriptes valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). |
| Productos aplicables |
BigQuery |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa vistas autorizadas para conjuntos de datos de BigQuery
| ID de control de Google | BQ-CO-6.4 |
|---|---|
| Implementación | Opcional |
| Descripción | Las vistas autorizadas te permiten compartir un subconjunto de datos en un conjunto de datos con usuarios específicos. Por ejemplo, una vista autorizada te permite compartir resultados de consultas con usuarios y grupos específicos sin darles acceso a los datos de origen subyacentes. |
| Productos aplicables |
BigQuery |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa la seguridad a nivel de la columna de BigQuery
| ID de control de Google | BQ-CO-6.5 |
|---|---|
| Implementación | Opcional |
| Descripción | Usa la seguridad a nivel de la columna de BigQuery para crear políticas que verifiquen, en el momento de la consulta, si un usuario tiene acceso adecuado. BigQuery proporciona acceso detallado a columnas sensibles con etiquetas de política o clasificación basada en tipos de datos. |
| Productos aplicables |
BigQuery |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa la seguridad a nivel de la fila de BigQuery
| ID de control de Google | BQ-CO-6.6 |
|---|---|
| Implementación | Opcional |
| Descripción | Usa la seguridad a nivel de las filas y las políticas de acceso para habilitar el control de acceso detallado a un subconjunto de datos en una tabla de BigQuery. |
| Productos aplicables |
BigQuery |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa gráficos de recursos de BigQuery
| ID de control de Google | BQ-CO-7.1 |
|---|---|
| Implementación | Opcional |
| Descripción | Los gráficos de recursos de BigQuery permiten que los administradores de BigQuery observen cómo sus organizaciones, carpetas o reservas usan ranuras de BigQuery y el rendimiento de sus consultas. |
| Productos aplicables |
BigQuery |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles de almacenamiento
Estos controles se aplican a Cloud Storage.
Bloquea el acceso público a los buckets de Cloud Storage
| ID de control de Google | GCS-CO-4.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción booleana |
| Productos aplicables |
|
| Ruta | constraints/storage.publicAccessPrevention |
| Operador | == |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usar el acceso uniforme a nivel de bucket
| ID de control de Google | GCS-CO-4.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción booleana Usar dos sistemas diferentes y en conflicto para administrar los permisos en los buckets de almacenamiento es complejo y una causa común de filtraciones accidentales de datos. Este parámetro de configuración desactiva el sistema heredado (listas de control de acceso o LCA) y convierte el sistema moderno y centralizado (IAM) en la única fuente de información para todos los permisos. |
| Productos aplicables |
|
| Ruta | constraints/storage.uniformBucketLevelAccess |
| Operador | == |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Protege las claves HMAC de las cuentas de servicio
| ID de control de Google | GCS-CO-6.9 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Una clave HMAC es un tipo de credencial de larga duración que se asocia con una cuenta de servicio o una cuenta de usuario en Cloud Storage. Usa una clave HMAC para crear firmas que se incluyen en solicitudes a Cloud Storage. Una firma demuestra que un usuario o una cuenta de servicio autorizaron una solicitud. A diferencia de las credenciales de corta duración (como A diferencia de los tokens de OAuth 2.0, las claves HMAC no vencen automáticamente y siguen siendo válidas hasta que se revocan de forma manual. Las claves HMAC son credenciales de alto riesgo: si se ven comprometidas, proporcionan acceso persistente a tus recursos. Debes asegurarte de que existan los mecanismos adecuados para protegerlos. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.projects.hmacKeys/id |
| Operador | Ya existe. |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Detecta la enumeración de buckets de Cloud Storage por cuentas de servicio
| ID de control de Google | GCS-CO-7.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Las cuentas de servicio son identidades no humanas diseñadas para aplicaciones, y su comportamiento es predecible y automatizado. Por lo general, las cuentas de servicio no necesitan detallar los buckets, ya que ya están asignados. Por lo tanto, si detectas que una cuenta de servicio intenta recuperar una lista de todos los buckets de Cloud Storage, investiga el caso de inmediato. La enumeración de reconocimiento suele ser utilizada como técnica de reconocimiento por un agente malicioso que obtuvo acceso a la cuenta de servicio. |
| Productos aplicables |
|
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Detecta las modificaciones de políticas de IAM en buckets de Cloud Storage por cuentas de servicio
| ID de control de Google | GCS-CO-7.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Configura una alerta que detecte cuando se modifique la política de Identity and Access Management (IAM) de un bucket de Cloud Storage para otorgar acceso público. Esta alerta se activa cuando los principales En la alerta, establece el atributo |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Asegúrate de que la política de retención del bucket de Cloud Storage use el bloqueo de bucket
| ID de control de Google | GCS-CO-6.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Según tus requisitos reglamentarios, asegúrate de que cada política de retención de bucket de Cloud Storage esté bloqueada. Establece el período de retención en un período que cumpla con tus requisitos. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/retentionPolicy.isLocked |
| Operador | != |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Establece reglas de ciclo de vida para la acción SetStorageClass
| ID de control de Google | GCS-CO-6.11 |
|---|---|
| Implementación | Recomendado |
| Descripción | Aplica reglas de ciclo de vida a cada bucket de Cloud Storage que tenga un tipo de acción |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle.rule.action.type |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo establecer las regiones permitidas para las clases de almacenamiento
| ID de control de Google | GCS-CO-6.12 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que las clases de almacenamiento para la configuración del ciclo de vida no se encuentren dentro de las clasificaciones regionales permitidas.
|
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle.rule.action.storageClass |
| Operador | nin |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la administración del ciclo de vida para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.13 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que la administración del ciclo de vida de Cloud Storage esté habilitada y configurada. El control del ciclo de vida contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle |
| Operador | Ya existe. |
| Valor |
|
| Tipo | Objeto |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita las reglas de administración del ciclo de vida para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.14 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que las reglas de administración del ciclo de vida de Cloud Storage estén habilitadas y configuradas. El control de reglas contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle.rule |
| Operador | Vacío |
| Valor |
|
| Tipo | Arreglo |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Revisar y evaluar las conservaciones temporales en objetos activos
| ID de control de Google | GCS-CO-6.16 |
|---|---|
| Implementación | Recomendado |
| Descripción | Identifica todos los objetos en los que temporaryHold está establecido como TRUE y comienza un proceso de investigación y validación. Esta evaluación es adecuada para los siguientes casos de uso:
|
| Productos aplicables |
Cloud Storage |
| Ruta | storage.objects/temporaryHold |
| Operador | == |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica políticas de retención en buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.17 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que todos los buckets de Cloud Storage tengan una política de retención. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/retentionPolicy.retentionPeriod |
| Operador | agesmaller |
| Valor |
|
| Tipo | int64 |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica etiquetas de clasificación para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.18 |
|---|---|
| Implementación | Recomendado |
| Descripción | La clasificación de datos es un componente fundamental de cualquier programa de administración y seguridad de datos. Es fundamental aplicar una etiqueta de clasificación con valores como público, interno, confidencial o restringido a cada bucket. Confirma que |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/labels.classification |
| Operador | notexists |
| Valor |
|
| Tipo | Extendido |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica buckets de registros para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.3 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que cada bucket de Cloud Storage incluya un bucket de registros. |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/logging.logBucket |
| Operador | notexists |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura reglas de eliminación para buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.5 |
|---|---|
| Implementación | Recomendado |
| Descripción | En Cloud Storage, Configura |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle.rule.action.type |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Asegúrate de que la condición isLive sea falsa para las reglas de eliminación
| ID de control de Google | GCS-CO-6.6 |
|---|---|
| Implementación | Recomendado |
| Descripción | En el caso de las reglas de eliminación, asegúrate de que la condición En Cloud Storage, Casos de uso:
|
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/lifecycle.rule.condition.isLive |
| Operador | == |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica el control de versiones para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.7 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que todos los buckets de Cloud Storage tengan habilitado el control de versiones. Los casos de uso incluyen lo siguiente:
|
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/versioning.enabled |
| Operador | != |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica propietarios para los buckets de Cloud Storage
| ID de control de Google | GCS-CO-6.8 |
|---|---|
| Implementación | Recomendado |
| Descripción | Asegúrate de que |
| Productos aplicables |
Cloud Storage |
| Ruta | storage.buckets/labels.owner |
| Operador | notexists |
| Valor |
|
| Tipo | Extendido |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita el registro de actividades clave de Cloud Storage
| ID de control de Google | GCS-CO-7.4 |
|---|---|
| Implementación | Recomendado |
| Descripción | Habilita el registro adicional en torno a objetos de almacenamiento particulares según su caso de uso. Por ejemplo, registra el acceso a los buckets de datos sensibles para que puedas rastrear quién obtuvo acceso y cuándo. Cuando habilites el registro adicional, considera el volumen de registros que podrías generar. |
| Productos aplicables |
Cloud Storage |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles de la base de datos
Restringe las direcciones IP públicas de Cloud SQL
| Implementación | Obligatorio |
|---|---|
| Descripción | Configura la restricción de política de la organización Impedir el uso de direcciones IP públicas ayuda a evitar que tus bases de datos tengan direcciones IP públicas, lo que garantiza que sean privadas y solo se pueda acceder a ellas desde aplicaciones internas de confianza. |
| Productos aplicables |
Cloud SQL |
| Ruta | constraints/sql.restrictPublicIp |
| Operador | = |
| Valor |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |