Melhores Práticas de Segurança para Google Cloud

As regras definidas pela LGPD fizeram com que muitas empresas precisassem implementar melhorias no processo de tratamento de dados para ficar em conformidade – inclusive na nuvem pública.

Isso ocorre por conta do Modelo de Responsabilidade Compartilhada, no qual o provedor é responsável pela segurança da camada de infraestrutura e o usuário pela configuração dos produtos e serviços da nuvem utilizados..

E para ajudar nesta configuração, cuja responsabilidade é exclusiva do usuário, separamos abaixo uma lista com algumas das melhores práticas para manter a nuvem do Google Cloud segura e em conformidade. 

 

1. Defina uma arquitetura consistente

Os recursos do Google Cloud são organizados hierarquicamente. Essa hierarquia permite mapear a estrutura operacional da empresa e gerenciar os acessos e permissões.

Embora essa estrutura forneça um alto nível de flexibilidade é possível gerar uma grande complexidade no momento de gerenciar os recursos. 

Para evitar esse problema, é recomendado criar uma hierarquia que corresponda à estrutura corporativa da organização. O Google Cloud oferece um serviço chamado Resource Manager que ajuda no processo de gerenciar centralmente todos os projetos e recursos. 

 

2. Gerencie identidades do Google

Configurar o gerenciamento de identidade da conta é o ponto de partida para qualquer cuidado de segurança na nuvem, pois permite criar e gerenciar usuários, grupos e controlar permissões de acesso. Para fazer isso, o Google oferece várias opções de segurança como o Cloud Identity e o IAM. 

O Google Cloud Identity permite gerenciar a segurança dos aplicativos e dispositivos em nuvem. Algumas práticas recomendadas para esse serviço são: 

  • Ativar a autenticação multi factor (MFA) para todo os usuários;
  • Ativar a autenticação single sign-on (SSO).

O Identity and Access Management (IAM) permite definir quem (identidade) possui determinado acesso (função) e para qual recurso. Algumas práticas recomendadas para esse serviço são: 

  • Atribuir funções do IAM aos grupos ao invés de usuários individuais;
  • Conceder somente as permissões necessárias de acordo com o princípio do privilégio mínimo.

 

3. Controle o tráfego de rede

As redes VPCs são utilizadas para criar e gerenciar recursos como sub-redes, regras de firewall e rotas. Por padrão, ao criar um novo projeto no Google Cloud é criada também uma rede VPC padrão com regras de firewall associadas. Essas redes são previsíveis e possuem acessos permissivos, o que aumenta o risco de acesso indesejado. 

Portanto, é recomendado criar regras de VPC e firewall personalizadas para restringir o tráfego como portas e protocolos, endereços IPs, entre outros. 

 

4. Criptografe os dados em repouso e em trânsito

Para evitar o acesso indevido e atividades maliciosas nos recursos do Google Cloud como instâncias e bancos de dados é necessário implementar a criptografia dos dados em repouso e em trânsito. 

A criptografia em repouso utiliza o padrão AES e também chaves criptográficas do Cloud KMS para proteger os dados durante o armazenamento.

E para proteger os dados em trânsito entre um site e um provedor de nuvem ou entre dois serviços é utilizado o protocolo Transport Layer Security (TLS). 

 

5. Monitore registros de atividades

Para ter visibilidade das atividades realizadas na nuvem é necessário implementar o registro e monitoramento de logs a fim de manter a integridade dos aplicativos, pipelines e outros processos. Para isso o Google Cloud oferece os seguintes serviços: 

O Cloud Logging é utilizado para coletar logs que fornecem informações de diagnóstico sobre a integridade dos ativos de nuvem. Vale mencionar que o Cloud Logging fornece uma API que pode gravar logs de qualquer fonte, incluindo aplicativos locais. 

Além de consumir logs, é necessário monitorá-los para manter uma operação confiável. Para isso, o Cloud Monitoring analisa e fornece informações sobre o desempenho e a integridade da infraestrutura e também envia alertas quando determinados eventos acontecem.

 

6. Utilize um produto de CSPM

As soluções CSPM auxiliam as organizações a realizar os processos e configurações necessárias para manter a segurança e conformidade. 

Por isso indicamos o CleanCloud Score, produto de CSPM que avalia mais de 80 vulnerabilidades na nuvem Google Cloud de acordo com as principais regulações de proteção de dados, como LGPD.