En este documento, se incluyen las prácticas recomendadas y los lineamientos para crear una base empresarial segura cuando se ejecutan cargas de trabajo que usanCloud de Confiance by S3NS. Una base empresarial segura incluye controles para lo siguiente:
- Autenticación y autorización
- Organization
- Redes
- Registro, supervisión y alertas
- Administración de claves y secretos
- Postura y estadísticas de seguridad
Autenticación y autorización
En esta sección, se incluyen las prácticas recomendadas y los lineamientos para Identity and Access Management (IAM) y Cloud Identity cuando se ejecutan cargas de trabajo en Cloud de Confiance by S3NS.
Inhabilita los otorgamientos automáticos de IAM para las cuentas de servicio predeterminadas
| ID de control de Google | IAM-CO-4.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa la restricción booleana De forma predeterminada, algunos sistemas otorgan permisos demasiado amplios a las cuentas automatizadas, lo que representa un posible riesgo de seguridad. Por ejemplo, si no aplicas esta restricción y creas una cuenta de servicio predeterminada, se le otorgará automáticamente el rol de editor ( |
| Productos aplicables |
|
| Ruta | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Bloquea la creación de claves de cuentas de servicio externas
| ID de control de Google | IAM-CO-4.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa la restricción booleana |
| Productos aplicables |
|
| Ruta | constraints/iam.disableServiceAccountKeyCreation |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Bloquea las cargas de claves de cuentas de servicio
| ID de control de Google | IAM-CO-4.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa la restricción booleana |
| Productos aplicables |
|
| Ruta | constraints/iam.disableServiceAccountKeyUpload |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura la separación de obligaciones para los administradores de políticas de la organización
| ID de control de Google | OPS-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asigna el rol de administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) a los grupos responsables de la postura de seguridad de la organización Cloud de Confiance by S3NS . Para evitar la creación de recursos que incumplan la política de seguridad, no asignes este rol a los propietarios del proyecto. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la verificación en dos pasos para las cuentas de administrador avanzado
| ID de control de Google | CI-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Google recomienda usar las llaves de seguridad Titan para la verificación en 2 pasos (2SV) en las cuentas de administrador avanzado. Sin embargo, para los casos de uso en los que esto no es posible, te recomendamos que uses otra llave de seguridad como alternativa. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica la verificación en dos pasos en la unidad organizativa del administrador avanzado
| ID de control de Google | CI-CO-6.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Aplicar la verificación en 2 pasos (2SV) para una unidad organizativa (UO) específica o para toda la organización Te recomendamos que crees una UO para los administradores avanzados y que apliques la 2SV en esa UO. |
| Productos aplicables |
Cloud Identity |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea una dirección de correo electrónico exclusiva para el administrador avanzado principal
| ID de control de Google | CI-CO-6.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Crea una dirección de correo electrónico que no sea específica de un usuario en particular como la cuenta principal de administrador avanzado de Cloud Identity.
|
| Productos aplicables |
Cloud Identity |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea cuentas de administrador redundantes
| ID de control de Google | CI-CO-6.7 |
|---|---|
| Implementación | Obligatorio |
| Descripción | No tener un solo administrador avanzado o administrador de la organización Crea una o más cuentas de administrador secundario (hasta 20). Un solo administrador avanzado o administrador de la organización puede generar situaciones de bloqueo. Esta situación también conlleva un mayor riesgo, ya que una persona puede realizar cambios que alteren la plataforma, posiblemente sin supervisión. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa Privileged Access Manager
| ID de control de Google | GCVE-CO-3.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa Privileged Access Manager para administrar el acceso con privilegios. Para todos los demás accesos, usa grupos de acceso, permite que las membresías de los grupos venzan automáticamente y, luego, implementa un flujo de trabajo de aprobación para las membresías de los grupos. Usar el modelo de privilegio mínimo te permite proporcionar acceso solo cuando sea necesario y a los recursos que se necesiten. El uso de roles prediseñados simplifica el uso y reduce la expansión causada por los roles personalizados, por lo que no tienes que preocuparte por administrar el ciclo de vida de los roles. |
| Productos aplicables |
Identity and Access Management (IAM) |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Define la fuente de información de la identidad
| Implementación | Obligatorio |
|---|---|
| Descripción | Decide cuál será tu fuente de información para aprovisionar identidades de usuarios administradas. Los patrones incluyen la creación de identidades de usuario en Cloud Identity, la sincronización de identidades desde un proveedor de identidad existente o el uso de la federación de identidades de personal. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica políticas de contraseñas seguras
| Implementación | Obligatorio |
|---|---|
| Descripción | Exige contraseñas seguras y únicas para todas las cuentas de usuario. Considera usar un administrador de contraseñas. Las credenciales débiles o inexistentes son un patrón común que los usuarios maliciosos pueden explotar fácilmente. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa roles basados en funciones laborales
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa roles de Identity and Access Management (IAM) basados en las funciones laborales para asignar permisos a los usuarios. Las funciones laborales son roles predefinidos que permiten a los administradores proporcionar un conjunto de permisos que se limita a una función laboral, lo que mejora la productividad y reduce las idas y vueltas para solicitar permisos. Para alinearte mejor con los requisitos de tu organización, puedes crear roles personalizados basados en roles predefinidos. |
| Productos aplicables |
IAM |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe los miembros externos en los grupos
| Implementación | Obligatorio |
|---|---|
| Descripción | Establece políticas para toda la organización para evitar que se agreguen miembros externos a los Grupos de Google. De forma predeterminada, las cuentas de usuario externas se pueden agregar a los grupos en Cloud Identity. Te recomendamos que configures el uso compartido para que los propietarios de grupos no puedan agregar miembros externos. Ten en cuenta que esta restricción no se aplica a la cuenta de administrador avanzado ni a otros administradores delegados con permisos de administrador de Grupos de Google. Debido a que la federación de tu proveedor de identidad se ejecuta con privilegios de administrador, la configuración de uso compartido de grupos no se aplica a esta sincronización de grupo. Te recomendamos que revises los controles en el proveedor de identidad y el mecanismo de sincronización para asegurarte de que los miembros que no son de dominio se agreguen a grupos o que apliques restricciones de grupo. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo establecer la duración de la sesión diaria
| Implementación | Obligatorio |
|---|---|
| Descripción | Establece la duración de la sesión para que los servicios de Cloud de Confiance by S3NS vencen al menos una vez al día. Dejar una cuenta abierta durante un período prolongado es un riesgo de seguridad. Aplicar una duración máxima de la sesión finaliza automáticamente la sesión después de un tiempo determinado, lo que obliga a un nuevo acceso seguro. Esta práctica reduce la oportunidad de que un usuario malicioso use una contraseña robada y garantiza que el acceso se vuelva a verificar periódicamente. En el caso de los clientes nuevos, se aplica automáticamente una duración de sesión predeterminada de 16 horas. Es posible que los clientes que crearon su organización de Cloud de Confiance by S3NS antes de 2023 tengan un parámetro de configuración predeterminado para no requerir nunca la reautenticación. Revisa este parámetro de configuración para asegurarte de tener una política de reautenticación con una duración de sesión que esté entre 1 y 24 horas. La política de reautenticación invalida el token de actualización y obliga al usuario a volver a autenticar gcloud CLI con regularidad mediante su contraseña o llave de seguridad. La duración de la sesión para los servicios de Cloud de Confiance by S3NS es un parámetro de configuración distinto de la duración de la sesión para los servicios de Google, que controla las sesiones web de acceso a todos los servicios de Google Workspace, pero no controla la reautenticación para Cloud de Confiance by S3NS . Cloud de Confiance by S3NSSi usas los servicios de Google Workspace, establece la duración de la sesión para ambos. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo corregir cuentas personales no administradas
| Implementación | Obligatorio |
|---|---|
| Descripción | No permitas cuentas personales no administradas. Consolida las cuentas personales no administradas y considera una solución para evitar la creación de más cuentas personales no administradas con tu dominio. Las cuentas personales no administradas no se rigen por los procesos de incorporación, traslado y baja (JML), por lo que existe el riesgo de que un empleado siga teniendo acceso a tus recursos después de dejar su trabajo. Estas cuentas también se consideran externas en relación con los controles, como el uso compartido restringido del dominio. |
| Productos aplicables |
Cloud Identity |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica administradores exclusivos y aprobación de varias partes
| Implementación | Obligatorio |
|---|---|
| Descripción | Asegúrate de que las cuentas de administrador avanzado estén separadas de las cuentas de usuario diarias. Las cuentas de administrador avanzado deben ser cuentas exclusivas que se usen solo cuando se realicen cambios importantes. Para aumentar la seguridad, activa la aprobación de varias partes para las acciones de administrador. Activar la aprobación de varias partes significa que dos administradores aprueban las acciones sensibles, lo que ayuda a evitar que los atacantes pongan en riesgo una cuenta de administrador y bloqueen a otros usuarios administradores. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la autenticación de varios factores para todos los usuarios de Cuentas de Google y Cloud Identity
| ID de control de Google | CI-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita la autenticación de varios factores (MFA), también conocida como autenticación en 2 pasos (2SV), para todos los usuarios de Cuentas de Google y Cloud Identity, no solo para los administradores avanzados. La MFA para administradores avanzados está habilitada de forma predeterminada. La MFA agrega otra capa de defensa porque las contraseñas por sí solas no suelen ser una medida de seguridad lo suficientemente sólida. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo revocar los roles de creador predeterminados
| Implementación | Obligatorio |
|---|---|
| Descripción | Quita los roles de creador de proyectos y creador de cuentas de facturación en todo el dominio que se otorgan de forma predeterminada a todos los miembros de una organización nueva. Las organizaciones nuevas otorgan los roles de Creador de proyectos y Creador de cuentas de facturación a todas las identidades de usuario administradas en el dominio. Si bien estos roles son útiles para comenzar, esta configuración no está diseñada para entornos de producción. Permitir que proliferen las cuentas de facturación genera una mayor sobrecarga administrativa y tiene consecuencias técnicas cuando los servicios se dividen en varias cuentas de facturación. Permitir la creación de proyectos de formato libre puede generar proyectos que no se ajusten a tus convenciones de administración. En cambio, quita estos roles y establece un proceso de creación de proyectos para solicitar proyectos nuevos y asociarlos con la facturación. |
| Productos aplicables |
IAM |
| Ruta | resourcemanager.organizations/iamPolicy.bindings |
| Operador | not_contains |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Rota las claves de la cuenta de servicio
| Implementación | Obligatorio |
|---|---|
| Descripción | Si debes usar claves de cuentas de servicio, rótalas al menos una vez cada 90 días. Un intervalo de rotación limita el tiempo que un atacante puede tener acceso al sistema. Sin un intervalo de rotación, el atacante tendrá acceso para siempre. Cuando sea posible, considera usar la federación de identidades para cargas de trabajo en lugar de las claves de cuenta de servicio. |
| Productos aplicables |
IAM |
| Ruta | constraints/iam.serviceAccountKeyExpiryHours |
| Operador | <= |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa la federación de identidades para cargas de trabajo
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa la federación de identidades para cargas de trabajo para permitir que los sistemas y las cargas de trabajo de CI/CD que se ejecutan en otras nubes se autentiquen en Cloud de Confiance by S3NS. La federación de identidades para cargas de trabajo permite que las cargas de trabajo que se ejecutan fuera de Cloud de Confiance se autentiquen sin necesidad de una clave de cuenta de servicio. Al evitar las claves de cuentas de servicio y otras credenciales de larga duración, la federación de identidades para cargas de trabajo puede ayudarte a reducir el riesgo de filtración de credenciales. |
| Productos aplicables |
IAM |
| Ruta | iam.googleapis.com/WorkloadIdentityPool |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
| ID de control de Google | CI-CO-6.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | De forma predeterminada, la recuperación automática de la cuenta de administrador avanzado está desactivada para los clientes nuevos. Sin embargo, es posible que los clientes existentes tengan activado este parámetro de configuración. Desactivar este parámetro de configuración ayuda a mitigar el riesgo de que un teléfono vulnerado, un correo electrónico vulnerado o un ataque de ingeniería social puedan permitir que un atacante obtenga privilegios de administrador avanzado en tu entorno. Planifica un proceso interno para que un administrador avanzado se comunique con otro administrador avanzado de tu organización si perdió el acceso a su cuenta y asegúrate de que todos los administradores avanzados estén familiarizados con el proceso para la recuperación con ayuda del equipo de asistencia. Para desactivar la función, ve a la configuración de recuperación de la cuenta en la Consola del administrador de Google. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Establece el tiempo de espera de sesión inactiva para casos de uso sensibles
| Implementación | Obligatorio |
|---|---|
| Descripción | Establece el tiempo de espera de sesión inactiva en 15 minutos para los casos de uso sensibles. Los atacantes pueden usar las sesiones inactivas para robar credenciales. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplicar llaves de seguridad físicas para administradores
| Implementación | Obligatorio |
|---|---|
| Descripción | Si es posible, proporciona llaves de seguridad de hardware a los administradores avanzados o administradores de la organización como segundo factor. Las cuentas de administrador avanzado son los objetivos más valiosos para los ataques sofisticados. Las llaves de seguridad de hardware proporcionan un alto nivel de protección porque son resistentes al phishing. Las llaves de seguridad de hardware son la defensa más sólida posible contra la apropiación de cuentas para tus administradores más importantes y se basan en tu política estándar de MFA. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la verificación posterior al SSO
| Implementación | Obligatorio |
|---|---|
| Descripción | Si usas un proveedor de identidad externo, configura la verificación posterior al SSO. Habilita una capa de control adicional según el análisis de riesgos de acceso de Google. Después de aplicar este parámetro de configuración, es posible que los usuarios vean desafíos de acceso adicionales basados en el riesgo durante el acceso si Google determina que el acceso de un usuario es sospechoso. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita las políticas de límite de acceso de las principales
| Implementación | Obligatorio |
|---|---|
| Descripción | Habilita las políticas de límite de acceso de la entidad (PAB) para limitar el acceso de la entidad y ayudar a proteger contra el phishing y el robo de datos. Habilita una política de PAB para la organización y, así, evitar ataques de phishing externos. Los PAB mejoran la seguridad, ya que reducen el alcance de un ataque con una identidad vulnerada y ayudan a evitar ataques externos de phishing y otros ataques de exfiltración. |
| Productos aplicables |
IAM |
| Ruta | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Implementa etiquetas para asignar de manera eficiente políticas de IAM y políticas de la organización
| ID de control de Google | IAM-CO-6.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Las etiquetas proporcionan una forma de crear anotaciones para los recursos y, en algunos casos, permitir o denegar políticas de forma condicional en función de si un recurso tiene una etiqueta específica. Usa etiquetas y la aplicación condicional de políticas para obtener un control detallado de toda la jerarquía de tus recursos. |
| Productos aplicables |
Resource Manager |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Audita los cambios de alto riesgo en IAM
| ID de control de Google | IAM-CO-7.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Usa los registros de auditoría de Cloud para supervisar la actividad de alto riesgo, como las cuentas a las que se les otorgan roles de alto riesgo, como administrador de la organización y administrador avanzado. Configura alertas para este tipo de actividad. |
| Productos aplicables |
Registros de auditoría de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Bloquea el acceso a Cloud Shell para las cuentas de usuario administradas de Cloud Identity
| ID de control de Google | CI-CO-6.8 |
|---|---|
| Implementación | Recomendado |
| Descripción | Para evitar otorgar acceso excesivo a Cloud de Confiance by S3NS, bloquea el acceso a Cloud Shell para las cuentas de usuario administradas de Cloud Identity. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura el acceso adaptado al contexto para las consolas de Google
| ID de control de Google | IAM-CO-8.2 |
|---|---|
| Implementación | Opcional |
| Descripción | Con el acceso adaptado al contexto, puedes crear políticas de seguridad detalladas para el control de acceso a las aplicaciones en función de atributos, como la identidad del usuario, la ubicación, el estado de seguridad del dispositivo y la dirección IP. Te recomendamos que uses el Acceso adaptado al contexto para restringir el acceso a la Cloud de Confiance consola (https://console.cloud.google.com/) y a la Consola del administrador de Google (https://admin.cloud.google.com). |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
| ID de control de Google | CI-CO-6.3 |
|---|---|
| Implementación | Opcional |
| Descripción | Un atacante podría usar el proceso de recuperación automática para restablecer las contraseñas de administrador avanzado. Para mitigar los riesgos de seguridad asociados con los ataques al Sistema de señalización núm. 7 (SS7), los ataques de intercambio de SIM o cualquier otro ataque de phishing, te recomendamos que desactives esta función. Para desactivar la función, ve a la configuración de recuperación de la cuenta en la Consola del administrador de Google.
|
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Desactiva los servicios de Google que no uses
| ID de control de Google | CI-CO-6.6 |
|---|---|
| Implementación | Opcional |
| Descripción | En general, recomendamos desactivar los servicios que no usarás.
|
| Productos aplicables |
Cloud Identity |
| Ruta | http://admin.google.com > Apps > Additional Google Services |
| Operador | Configuración |
| Valor |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Organización
En esta sección, se incluyen las prácticas recomendadas y los lineamientos para Organization Policy Service y Resource Manager cuando se ejecutan cargas de trabajo en Cloud de Confiance by S3NS.
Restringe las versiones de TLS compatibles con las APIs de Google
| ID de control de Google | COM-CO-1.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Cloud de Confiance admite varias versiones del protocolo TLS. Para cumplir con los requisitos de cumplimiento, es posible que desees rechazar las solicitudes de protocolo de enlace de los clientes que usan versiones anteriores de TLS. Para configurar este control, usa la restricción de la política de la organización Restrict TLS Versions ( Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción de la versión de TLS se aplica al nodo de recursos especificado y a todas sus carpetas y proyectos (elementos secundarios). Por ejemplo, si rechazas la versión 1.0 de TLS para una organización, también se rechazará en todos los elementos secundarios que desciendan de esa organización. Puedes anular la restricción de la versión de TLS heredada actualizando la política de la organización en un recurso secundario. Por ejemplo, si tu política de la organización rechaza TLS 1.0 a nivel de la organización, puedes quitar la restricción para una carpeta secundaria estableciendo una política de la organización independiente en esa carpeta. Si la carpeta tiene elementos secundarios, la política de la carpeta también se aplicará a cada recurso secundario debido a la herencia de políticas. Para restringir aún más la versión de TLS solo a TLS 1.3, puedes configurar esta política para que también restrinja la versión de TLS 1.2. Debes implementar este control en las aplicaciones que alojes dentro de Cloud de Confiance by S3NS. Por ejemplo, a nivel de la organización, establece lo siguiente:
|
| Productos aplicables |
Todos; administrado por el servicio de políticas de la organización |
| Ruta | gcp.restrictTLSVersion |
| Operador | == |
| Valor |
|
| Tipo | String |
| ID de control del Administrador de cumplimiento | RESTRICT_LEGACY_TLS_VERSIONS |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe los principales autorizados
| ID de control de Google | COM-CO-4.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asegúrate de que solo se permitan identidades de tu organización en tu entorno de Cloud de Confiance by S3NS . Usa la restricción de política de la organización Uso compartido restringido al dominio ( Estas restricciones ayudan a evitar que los empleados otorguen acceso a cuentas externas que no están bajo el control de tu organización y que no cumplen con tus políticas de seguridad para la autenticación de varios factores (MFA) o la administración de contraseñas. Este control es fundamental para evitar el acceso no autorizado, ya que garantiza que solo se puedan usar identidades corporativas administradas y de confianza. |
| Productos aplicables |
|
| Ruta | constraints/iam.allowedPolicyMemberDomains |
| Operador | Es |
| Valor |
|
| Tipo | Lista |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe el uso de servicios del recurso
| ID de control de Google | RM-CO-4.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción Esta restricción permite que tu organización cree una lista de servicios aprobados, lo que ayuda a evitar que los empleados usen servicios no verificados. |
| Productos aplicables |
|
| Ruta | constraints/gcp.restrictServiceUsage |
| Operador | Es |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe las ubicaciones de recursos
| ID de control de Google | RM-CO-4.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción de ubicación de recursos ( Esta restricción permite que tu organización aplique que tus recursos y datos solo se creen y guarden en regiones geográficas específicas aprobadas. |
| Productos aplicables |
|
| Ruta | constraints/gcp.resourceLocations |
| Operador | Es |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Redes
En esta sección, se incluyen las prácticas recomendadas y los lineamientos para la nube privada virtual (VPC) y Cloud DNS cuando se ejecutan cargas de trabajo en Cloud de Confiance by S3NS.
Bloquea la creación de la red predeterminada
| ID de control de Google | VPC-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción booleana La red predeterminada es una red de nube privada virtual (VPC) de modo automático con reglas de firewall IPv4 propagadas previamente para permitir rutas de comunicación internas. En general, esta configuración no es una postura de seguridad recomendada para los entornos de producción. |
| Productos aplicables |
|
| Ruta | constraints/compute.skipDefaultNetworkCreation |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita las extensiones de seguridad de DNS
| ID de control de Google | DNS-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una función del sistema de nombres de dominio (DNS) que autentica las respuestas para búsquedas de nombres de dominio. No proporciona protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS. En Cloud DNS, habilita DNSSEC en los siguientes lugares:
|
| Productos aplicables |
Cloud DNS |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita el Acceso privado a Google
| ID de control de Google | GCVE-CO-1.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita el Acceso privado a Google en todas las subredes. Habilitar el Acceso privado a Google permite que los servicios accedan a los servicios de Cloud de Confiance by S3NS que no tienen direcciones IP externas. De forma predeterminada, el Acceso privado a Google no está habilitado en los recursos nuevos y requiere pasos adicionales para habilitarlo de forma explícita. |
| Productos aplicables |
Nube privada virtual (VPC) |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita el acceso privado a servicios para los productores de servicios
| ID de control de Google | GCVE-CO-1.6 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita el acceso privado a servicios para crear una red privada entre los servicios de Cloud de Confiance by S3NS , como las redes heredadas de Google Cloud VMware Engine, y los productores de servicios, como Cloud SQL. El acceso privado a los servicios ayuda a evitar exponer innecesariamente las conexiones de red de cargas de trabajo a Internet. |
| Productos aplicables |
Nube privada virtual (VPC) |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Inhabilita IPv6, a menos que sea necesario
| Implementación | Obligatorio |
|---|---|
| Descripción | Inhabilita la creación de subredes externas IPv6, a menos que sea específicamente necesario. Para reducir la superficie de ataque, considera inhabilitar IPv6 en los sistemas y las redes en los que no se administra o requiere de forma activa. Muchas organizaciones tienen controles de seguridad y supervisión avanzados para IPv4, pero es posible que sus herramientas y políticas no se extiendan por completo a IPv6, lo que puede crear un punto ciego importante para las amenazas. Ejecutar una red de pila doble también introduce complejidad operativa, ya que requiere configuraciones y conocimientos específicos para administrar y solucionar problemas de manera eficaz. Por lo tanto, si no tienes un factor comercial claro para IPv6, inhabilitarlo puede simplificar tu entorno y garantizar que todo el tráfico se filtre de manera coherente a través de tu postura de seguridad IPv4 establecida. |
| Productos aplicables |
Compute Engine |
| Ruta | constraints/compute.disableVpcExternalIpv6 |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe el tráfico saliente
| Implementación | Obligatorio |
|---|---|
| Descripción | Limita el acceso a fuentes externas, ya que, de forma predeterminada, se permite todo el acceso saliente. Establece reglas de firewall específicas para los patrones de tráfico previstos que deben salir. De forma predeterminada, a menudo se permite que los sistemas realicen conexiones salientes a Internet, lo que se puede considerar un riesgo de seguridad. Una política de bloqueo predeterminado bloquea el tráfico saliente y requiere que se creen reglas específicas solo para los destinos conocidos y necesarios. |
| Productos aplicables |
Cloud Next Generation Firewall |
| Ruta | cloudasset.assets/assetType |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Limita el acceso entrante a los puertos SSH y RDP
| Implementación | Obligatorio |
|---|---|
| Descripción | Cuando sea posible, restringe el acceso entrante solo a recursos y rangos de recursos específicos. Si Identity-Aware Proxy (IAP) está configurado, establece las reglas de firewall entrantes de SSH y del Protocolo de escritorio remoto (RDP) en los rangos de IP de IAP como fuentes. Las reglas de firewall permisivas de SSH y RDP permiten ataques de fuerza bruta. En su lugar, usa proxies que tengan reconocimiento de identidad Cloud de Confiance by S3NS (como IAP) para SSH y RDP. |
| Productos aplicables |
IAP |
| Ruta | cloudasset.assets/assetType |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita los Controles del servicio de VPC
| Implementación | Obligatorio |
|---|---|
| Descripción | Habilita los Controles del servicio de VPC como una capa adicional de protección para evitar la posible pérdida de datos. Los Controles del servicio de VPC pueden ayudar a evitar el robo de datos, ya que crean perímetros de aislamiento alrededor de tus recursos en la nube, datos sensibles y redes. El perímetro de servicio limita la utilidad de las credenciales vulneradas porque bloquea las solicitudes a servicios restringidos que se originan en extremos controlados por atacantes que están fuera de tu entorno. |
| Productos aplicables |
Controles del servicio de VPC |
| Ruta | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa políticas de Cloud Armor
| Implementación | Obligatorio |
|---|---|
| Descripción | En el caso de las aplicaciones que se exponen detrás de Cloud Load Balancing, usa las políticas predeterminadas de Google Cloud Armor o configura tus propias políticas para agregar protección de red de la capa 3 a la capa 7 para las aplicaciones o los servicios externos. Las políticas de seguridad de Cloud Armor ayudan a proteger tu aplicación, ya que proporcionan filtrado de capa 7. Estas políticas también revisan las solicitudes entrantes en busca de ataques web comunes o de otros atributos de capa 7 para bloquear el tráfico antes de que llegue a los servicios de backend con balanceo de cargas o los buckets de backend. Cada política de seguridad se compone de un conjunto de reglas que incluyen atributos de la capa 3 a la capa 7. |
| Productos aplicables |
Cloud Armor |
| Ruta | compute.backendServices/securityPolicy |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la restricción del alcance del servicio en las políticas de acceso de Access Context Manager
| ID de control de Google | COM-CO-8.1 |
|---|---|
| Implementación | Recomendaciones para la IA generativa en casos de uso |
| Descripción | Para cada perímetro de servicio, confirma en la consola de Cloud de Confiance que el tipo de perímetro esté establecido como regular. |
| Productos aplicables |
|
| Ruta | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe las APIs dentro de los perímetros de servicio de los Controles del servicio de VPC
| ID de control de Google | COM-CO-8.2 |
|---|---|
| Implementación | Recomendaciones para la IA generativa en casos de uso |
| Descripción | Para cada perímetro de servicio, usa Access Context Manager para confirmar que el perímetro protege la API. |
| Productos aplicables |
|
| Ruta | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| Operador | Anyof |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usar DNS zonal
| ID de control de Google | DNS-CO-4.1 |
|---|---|
| Implementación | Opcional |
| Descripción | La restricción booleana |
| Productos aplicables |
Política de la organización |
| Ruta | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| Operador | = |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Registro, supervisión y alertas
En esta sección, se incluyen las prácticas recomendadas y los lineamientos para los servicios de registro y auditoría en Cloud de Confiance by S3NS , así como la configuración de alertas para servicios como la Facturación de Cloud.
Comparte registros de auditoría de Cloud Identity
| ID de control de Google | CI-CO-6.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Si usas Cloud Identity, comparte los registros de auditoría de Cloud Identity con Cloud de Confiance by S3NS. Por lo general, los registros de auditoría de actividad del administrador de Google Workspace o Cloud Identity se administran y ven en la Consola del administrador de Google, por separado de los registros en tu entorno de Cloud de Confiance . Estos registros contienen información relevante para tu entorno de Cloud de Confiance , como los eventos de acceso del usuario. Te recomendamos que compartas los registros de auditoría de Cloud Identity con tu entorno de Cloud de Confiance para administrar de forma centralizada los registros de todas las fuentes. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa registros de auditoría
| ID de control de Google | COM-CO-7.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Los servicios deCloud de Confiance escriben entradas de registro de auditoría para responder quién hizo qué, dónde y cuándo con los recursos de Cloud de Confiance . Habilita el registro de auditoría a nivel de la organización. Puedes configurar el registro con la canalización que usas para configurar la organización de Cloud de Confiance . |
| Productos aplicables |
Registros de auditoría de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilitar los registros de flujo de VPC
| ID de control de Google | COM-CO-7.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Los registros de flujo de VPC registran una muestra de flujos de red que envían y reciben las instancias de VM, incluidas las que se usan como nodos de Google Kubernetes Engine (GKE). Por lo general, la muestra es del 50% o menos de los flujos de red de VPC. Cuando habilitas los registros de flujo de VPC, se habilita el registro en todas las VMs de una subred. Sin embargo, puedes reducir la cantidad de información que se escribe en el registro. Habilita los registros de flujo de VPC para cada subred de VPC. Puedes configurar el registro con una canalización que uses para crear un proyecto. |
| Productos aplicables |
Nube privada virtual |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita el registro de reglas de firewall
| ID de control de Google | COM-CO-7.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | De forma predeterminada, las reglas de firewall no escriben registros automáticamente.El registro de reglas de firewall te permite inspeccionar, verificar y analizar los efectos de tus reglas de firewall. Por ejemplo, puedes determinar si una regla de firewall diseñada para denegar tráfico está funcionando según lo previsto. El registro también es útil si quieres determinar cuántas conexiones se ven afectadas por una regla de firewall determinada. Habilita el registro para cada regla de firewall. Puedes configurar el registro con una canalización que uses para crear un firewall. |
| Productos aplicables |
Nube privada virtual |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la auditoría de la actividad del administrador
| ID de control de Google | COM-CO-7.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | De forma predeterminada, Cloud de Confiance habilita la auditoría de la actividad clave del administrador para las cuentas con privilegios y no permite que nadie la inhabilite. Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de IAM. Los registros de auditoría de actividad del administrador contienen entradas de registro para la creación, modificación y eliminación de restricciones de políticas de la organización a nivel de la organización, la carpeta y el proyecto. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos. Incluso si inhabilitas la API de Cloud Logging, los registros de auditoría de actividad del administrador se seguirán generando. Recomendamos que tu organización configure políticas y procedimientos para supervisar estas alertas, y generar acciones o alertas según las políticas de acceso de tu empresa para supervisar las actividades del administrador. |
| Productos aplicables |
Registros de auditoría de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Suscríbete a los boletines de seguridad
| ID de control de Google | GKE-CO-1.8 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Suscríbete a las notificaciones de boletines de seguridad para los servicios de Cloud de Confiance by S3NS y recibir alertas sobre vulnerabilidades y medidas de mitigación. Cuando hay boletines de seguridad disponibles que son relevantes para tu servicio Cloud de Confiance by S3NS (como GKE), el servicio puede publicar notificaciones sobre esos eventos como mensajes en los temas de Pub/Sub que configures. Puedes recibir estas notificaciones en una suscripción de Pub/Sub, integrarlas a servicios de terceros y filtrar por los tipos de notificaciones que deseas recibir. |
| Productos aplicables |
Todos |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura grupos de Contactos esenciales
| Implementación | Obligatorio |
|---|---|
| Descripción | Configura los contactos esenciales para asegurarte de que un alias de grupo o una lista de distribución supervisados reciban notificaciones importantes. Google envía alertas de seguridad importantes (como una posible vulneración de la cuenta) a las direcciones de correo electrónico que se indican como contactos esenciales. Si se usa el correo electrónico de una persona física para este fin, se perderá la alerta si esa persona no está disponible o dejó la empresa.Usar una dirección de correo electrónico de grupo supervisada ayuda a garantizar que estas alertas urgentes se envíen a un equipo activo que pueda responder rápidamente. |
| Productos aplicables |
Resource Manager |
| Ruta | essentialcontacts.googleapis.com/Contact |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Supervisa las anomalías de facturación
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa la función de anomalías en la facturación de Cloud Billing para hacer un seguimiento de los aumentos repentinos o las desviaciones en la inversión esperada. Un aumento repentino e inesperado en la factura de la nube es un indicador principal de una vulneración de seguridad. A veces, los aumentos inesperados en la facturación se deben a atacantes que obtuvieron acceso y usan recursos para actividades no autorizadas. Habilitar la detección de anomalías en la facturación proporciona un sistema de alerta temprana esencial para que puedas marcar automáticamente esta actividad sospechosa. |
| Productos aplicables |
Facturación de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Exporta registros a un receptor de registros para el almacenamiento a largo plazo
| Implementación | Obligatorio |
|---|---|
| Descripción | Crea un receptor de registros para exportar los registros de tu solución de supervisión de seguridad y establece el período de retención para satisfacer tus requisitos. Los períodos de retención de registros predeterminados a menudo no son lo suficientemente largos como para cumplir con los requisitos de 1 a 7 años que exigen las reglamentaciones de cumplimiento, como PCI o HIPAA. Crear un receptor de registros para exportarlos a una ubicación de almacenamiento a largo plazo es fundamental para cumplir con ciertas obligaciones legales y reglamentarias. Los receptores de registros también te permiten enviar registros a un sistema de supervisión de seguridad centralizado para la detección avanzada de amenazas. |
| Productos aplicables |
Cloud Logging |
| Ruta | logging.googleapis.com/LogSink/disabled |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita los registros de auditoría de acceso a los datos
| ID de control de Google | COM-CO-7.2 |
|---|---|
| Implementación | Se recomienda para ciertos casos de uso |
| Descripción | Para hacer un seguimiento de quién accedió a los datos en tu entorno de Cloud de Confiance by S3NS , habilita los registros de auditoría de acceso a los datos. Estos registros graban las llamadas a la API que leen, crean o modifican datos del usuario, así como las llamadas a la API que leen la configuración de los recursos. Te recomendamos que habilites los registros de auditoría de acceso a los datos para los modelos de IA generativa y los datos sensibles para asegurarte de que puedas auditar quién leyó la información. Para usar los registros de auditoría de acceso a los datos, debes configurar tu propia lógica de detección personalizada para actividades específicas, como los accesos de administrador avanzado. El volumen de los registros de auditoría de acceso a los datos puede ser grande. Habilitar los registros de acceso a los datos podría generar cargos en tu Cloud de Confiance proyecto por el uso de registros adicionales. |
| Productos aplicables |
Registros de auditoría de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura alertas de facturación
| ID de control de Google | CB-CO-6.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Crea presupuestos de Facturación de Cloud para supervisar todos tus Cloud de Confiance by S3NS cargos en un solo lugar y evitar sorpresas en tu factura. Después de establecer un importe del presupuesto, configura reglas de límite de alertas de presupuesto para cada proyecto y activa las notificaciones por correo electrónico. Estas notificaciones te ayudan a hacer un seguimiento de tus gastos en relación con tu presupuesto. También puedes usar los presupuestos de Facturación de Cloud para automatizar las respuestas de control de costos. |
| Productos aplicables |
Facturación de Cloud |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita los registros de Transparencia de acceso
| ID de control de Google | COM-CO-7.7 |
|---|---|
| Implementación | Opcional |
| Descripción | Los registros estándar te muestran lo que hacen los usuarios de tu organización, pero los registros de Transparencia de acceso muestran lo que hace el personal de asistencia de Google cuando accede a la cuenta. Por lo general, este acceso solo se produce en respuesta a una solicitud de asistencia. Los registros de Transparencia de acceso proporcionan un registro de auditoría completo y verificable de todo el acceso, lo que es fundamental para cumplir con los estrictos requisitos de cumplimiento y administración de datos. Puedes habilitar la Transparencia de acceso a nivel de la organización. |
| Productos aplicables |
Transparencia de acceso |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Exporta datos de facturación para un análisis detallado
| ID de control de Google | CB-CO-6.2 |
|---|---|
| Implementación | Opcional |
| Descripción | Para realizar un análisis de facturación más detallado, puedes exportar Cloud de Confiance by S3NS los datos de facturación a BigQuery o a un archivo JSON. Por ejemplo, puedes exportar automáticamente datos detallados, como el uso, las estimaciones de costos y los precios, durante todo el día a un conjunto de datos de BigQuery que especifiques. Luego, puedes acceder a los datos de la Facturación de Cloud desde BigQuery para realizar un análisis detallado o usar una herramienta como Data Studio para visualizar los datos. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Administración de claves y secretos
En esta sección, se incluyen las prácticas recomendadas y los lineamientos para Cloud Key Management Service y Secret Manager cuando se ejecutan cargas de trabajo enCloud de Confiance by S3NS.
Encripta los datos en reposo en Cloud de Confiance
| ID de control de Google | COM-CO-2.1 |
|---|---|
| Implementación | Obligatorio (predeterminado) |
| Descripción | Todos los datos en Cloud de Confiance se encriptan en reposo de forma predeterminada con algoritmos aprobados por el NIST. |
| Productos aplicables |
Cloud de Confiance predeterminado |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usar algoritmos aprobados por el NIST para la encriptación y la desencriptación
| ID de control de Google | COM-CO-2.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asegúrate de que Cloud Key Management Service (Cloud KMS) solo use algoritmos aprobados por el NIST para almacenar claves sensibles en el entorno. Este control garantiza el uso seguro de las claves, ya que solo se utilizan algoritmos y seguridad aprobados por el NIST. El campo Quita los algoritmos que no cumplan con las políticas de tu organización. |
| Productos aplicables |
Cloud KMS |
| Ruta | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| Operador | en |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo establecer el propósito de las claves de Cloud KMS
| ID de control de Google | COM-CO-2.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Establece el propósito de las claves de Cloud KMS en |
| Productos aplicables |
Cloud KMS |
| Ruta | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Asegúrate de que la configuración de la CMEK sea adecuada para los almacenes de datos seguros de BigQuery
| ID de control de Google | COM-CO-2.6 |
|---|---|
| Implementación | Obligatorio |
| Descripción | El nivel de protección indica cómo se realizan las operaciones criptográficas. Después de crear una clave de encriptación administrada por el cliente (CMEK), no puedes cambiar el nivel de protección. Los niveles de protección admitidos son los siguientes:
|
| Productos aplicables |
|
| Ruta | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| Operador | en |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Rota la clave de encriptación cada 90 días
| ID de control de Google | COM-CO-2.7 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asegúrate de que el período de rotación de tus claves de Cloud KMS esté establecido en 90 días. Una práctica recomendada general es rotar las claves de seguridad a intervalos regulares. Este control aplica la rotación de claves para las claves que se crean con los servicios de HSM. Cuando crees este período de rotación, también crea políticas y procedimientos adecuados para controlar de forma segura la creación, eliminación y modificación del material de claves, de modo que puedas proteger tu información y garantizar la disponibilidad. Asegúrate de que este período cumpla con las políticas corporativas de rotación de claves. |
| Productos aplicables |
Cloud KMS |
| Ruta | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| Operador | <= |
| Valor |
|
| Tipo | int32 |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura la rotación automática de secretos
| ID de control de Google | SM-CO-6.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Rota los secretos automáticamente y tiene procedimientos de rotación de emergencia disponibles en caso de una vulneración.
|
| Productos aplicables |
Secret Manager |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea una estrategia de encriptación administrada
| Implementación | Obligatorio |
|---|---|
| Descripción | Crea una estrategia de administración de la encriptación con Cloud Key Management Service (Cloud KMS) con Autokey, Cloud External Key Manager (Cloud EKM) o ambos. Esta estrategia permite que tu organización use y administre sus propias claves de encriptación para cumplir con tus requisitos específicos. El uso de tus propias claves de encriptación proporciona un control detallado y auditable sobre el acceso a los datos, incluida la capacidad de bloquear de inmediato el acceso a los datos inhabilitando la clave. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa CMEK para los mensajes de Pub/Sub
| ID de control de Google | PS-CO-6.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Cuando habilitas las claves de encriptación administradas por el cliente (CMEK) para Pub/Sub, obtienes un mayor control de las claves de encriptación que Pub/Sub usa para proteger tus mensajes. En la capa de la aplicación, Pub/Sub encripta de forma individual los mensajes entrantes cuando los recibe. Antes de que Pub/Sub publique mensajes en una suscripción, los encripta con la clave de encriptación de datos (DEK) más reciente que se generó para el tema. Pub/Sub desencripta los mensajes poco antes de entregarlos a los suscriptores.
Pub/Sub usa una cuenta de servicio Cloud de Confiance by S3NS para acceder a Cloud Key Management Service. Pub/Sub mantiene de forma interna la cuenta de servicio para cada proyecto, por lo que no estará visible en tu lista de cuentas de servicio.
|
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe la ubicación de las claves de encriptación administradas por el cliente
| ID de control de Google | COM-CO-2.2 |
|---|---|
| Implementación | Recomendado |
| Descripción | Usa la restricción de la política de la organización Restringe los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK ( Para modificar esta restricción, los administradores necesitan el rol de IAM de Administrador de políticas de la organización ( Si deseas agregar una segunda capa de protección, como la opción de usar tu propia clave, cambia esta restricción para que represente los nombres de las claves de la CMEK habilitada. Detalles del producto:
|
| Productos aplicables |
|
| Ruta | constraints/gcp.restrictCmekCryptoKeyProjects |
| Operador | notexists |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa CMEK para los servicios de Cloud de Confiance
| ID de control de Google | COM-CO-2.3 |
|---|---|
| Implementación | Recomendado |
| Descripción | Si necesitas más control sobre las operaciones de clave que el que permite Google Cloud-powered encryption keys , puedes usar claves de encriptación administradas por el cliente (CMEK). Estas claves se crean y administran con Cloud KMS. Almacena las claves como claves de software, en un clúster de HSM o en un sistema externo de administración de claves. Los índices de encriptación y desencriptación de Cloud KMS están sujetos a cuotas. Detalles específicos de Cloud Storage En Cloud Storage, usa CMEK en objetos individuales o configura tus buckets de Cloud Storage para usar una CMEK de forma predeterminada en todos los objetos nuevos que se agreguen a un bucket. Cuando se usa una CMEK, Cloud Storage encripta un objeto con la clave en el momento en el que se almacena en un bucket, y Cloud Storage lo desencripta automáticamente cuando el objeto se entrega a los solicitantes. Las siguientes restricciones se aplican cuando se usan CMEK con Cloud Storage:
|
| Productos aplicables |
|
| Ruta | constraints/gcp.restrictNonCmekServices |
| Operador | == |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Replicar secretos automáticamente
| ID de control de Google | SM-CO-6.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Elige la política de replicación automática para replicar tus secretos, a menos que tu carga de trabajo tenga requisitos de ubicación específicos. La política automática satisface las necesidades de disponibilidad y rendimiento de la mayoría de las cargas de trabajo. Si tu carga de trabajo tiene requisitos de ubicación específicos, puedes usar la API para seleccionar las ubicaciones de la política de replicación cuando crees el secreto.
|
| Productos aplicables |
Secret Manager |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Análisis y postura de seguridad
En este documento, se incluyen las prácticas recomendadas y los lineamientos para Security Command Center cuando se ejecutan cargas de trabajo en Cloud de Confiance by S3NS.
Habilita Security Command Center a nivel de la organización
| ID de control de Google | SCC-CO-6.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita Security Command Center a nivel de la organización para evitar configuraciones adicionales. Si no quieres usar Security Command Center, debes habilitar otra solución de administración de postura.
|
| Productos aplicables |
Security Command Center |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura alertas desde Security Command Center
| ID de control de Google | SCC-CO-7.1 |
|---|---|
| Implementación | Recomendado |
| Descripción | Las alertas de Security Command Center te brindan visibilidad de tu organización y te notifican sobre problemas con tus servicios de Cloud de Confiance by S3NS para que puedas tomar las medidas adecuadas. Puedes configurar alertas en Cloud Logging para recibir notificaciones sobre los errores relacionados con el agente de servicio de Security Command Center (
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com). |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
¿Qué sigue?
Revisa los controles de infraestructura.
Consulta más Cloud de Confiance by S3NS prácticas recomendadas y lineamientos de seguridad.