Panoramica sulla sicurezza di Google

Questi contenuti sono stati aggiornati l'ultima volta a luglio 2024 e rappresentano lo status quo. al momento in cui è stata scritta. Le norme e i sistemi di sicurezza di Google potrebbero cambiare in futuro, grazie al costante miglioramento della protezione per i nostri clienti.

Scarica la versione PDF

Introduzione

Tradizionalmente, le aziende si sono affidate al cloud pubblico per risparmiare sui costi, sperimentare nuove tecnologie e fornire capacità di crescita. Sempre più spesso le aziende si affidano al cloud pubblico per la loro sicurezza, comprendendo che i cloud provider possano investire più di quanto facciano le aziende nella tecnologia, persone e processi per offrire un'infrastruttura più sicura.

In qualità di innovatore del cloud, Google comprende le relative questioni di sicurezza. Il nostro cloud sono progettati per offrire una sicurezza migliore rispetto a quella di molte applicazioni on-premise approcci. Per noi la sicurezza è una priorità nelle nostre operazioni, di utenti in tutto il mondo.

La sicurezza è alla base della nostra struttura organizzativa, della nostra cultura, delle priorità di formazione e le procedure di assunzione. È alla base della progettazione dei nostri data center e della tecnologia che ospitano. È fondamentale per le nostre operazioni quotidiane pianificazione, compreso il modo in cui affrontiamo le minacce. Ha la priorità nel modo in cui gestire i dati dei clienti, i controlli sugli account, i controlli di conformità e certificazioni.

Il presente documento descrive il nostro approccio alla sicurezza, alla privacy e alla conformità per Google Cloud, la nostra suite di prodotti e servizi per il cloud pubblico. La documento è incentrato sui controlli fisici, amministrativi e tecnici che che ti consente di proteggere i tuoi dati.

La cultura di Google incentrata sulla sicurezza e sulla privacy

La cultura di Google sottolinea l'importanza di proteggere l'elevato volume di informazioni che appartengono ai nostri clienti. Questa cultura influenza le modalità di assunzione dei dipendenti e l'onboarding dei dipendenti. Promuoviamo e rafforziamo la protezione dei dati linee guida e tecnologie attraverso formazione continua ed eventi incentrati su sicurezza e privacy.

Il nostro team dedicato alla sicurezza

Il nostro team di sicurezza dedicato include alcuni dei principali esperti al mondo nel della sicurezza delle informazioni, delle applicazioni, della crittografia e della rete. Questo team mantiene i nostri sistemi di difesa, sviluppa processi di controllo della sicurezza, crea un'infrastruttura di sicurezza e implementa le nostre politiche di sicurezza. Il team ricerca attivamente le vulnerabilità della sicurezza utilizzando strumenti commerciali e personalizzati. Il team esegue anche test di penetrazione, controlli di qualità e controlli della sicurezza.

I membri del team di sicurezza esaminano i piani di sicurezza per le nostre reti e e forniscono servizi di consulenza specifici per ogni progetto al nostro prodotto e team di tecnici e di sviluppo. Ad esempio, i nostri ingegneri di crittografia recensiscono i prodotti che includono implementazioni di crittografia. Il team di sicurezza monitora per attività sospette sulle nostre reti e per proteggere le informazioni se necessario. Il team esegue anche valutazioni di sicurezza di routine e che possono comportare il coinvolgimento di esperti esterni per condurre regolari verifiche e valutazioni.

Collaborazione con la comunità di esperti della sicurezza

Da tempo intratteniamo uno stretto rapporto con la comunità di ricerca sulla sicurezza, e apprezziamo molto il loro aiuto nell'identificazione delle potenziali vulnerabilità Google Cloud e altri prodotti Google. I nostri team di sicurezza partecipano attività di ricerca e sensibilizzazione a beneficio della comunità online. Ad esempio: eseguiamo Project Zero, un team di ricercatori dedicati alla sicurezza che le vulnerabilità zero-day. Alcuni esempi di questa ricerca sono la scoperta l'exploit Spectre, l'exploit Meltdown, Exploit SSL 3.0 POODLE, e Punti deboli della suite di crittografia.

I tecnici e i ricercatori di sicurezza di Google partecipano attivamente e pubblica nella comunità accademica dedicata alla sicurezza e alla comunità di ricerca sulla privacy. Inoltre, organizzare e partecipare progetti open source e conferenze accademiche. I team di sicurezza di Google hanno pubblicato un'analisi le nostre prassi ed esperienza Creazione di sistemi sicuri e affidabili libro.

Il nostro premio per la vulnerabilità Programma offre premi nell'ordine di decine di migliaia di dollari per ogni vulnerabilità. Il programma incoraggia i ricercatori a segnalare progettazione e problemi di implementazione che potrebbero mettere a rischio i dati dei clienti. Nel 2023 abbiamo assegnato ai ricercatori un premio in denaro di oltre 10 milioni di dollari. Per migliorare la sicurezza di codice open source, il Vulnerability Reward Program offre anche una varietà di iniziative i ricercatori. Per ulteriori informazioni su questo programma, inclusi i premi che che abbiamo fornito, vedi Bug Hunters Key Statistiche.

I nostri crittografi di livello mondiale partecipano al servizio di crittografia leader del settore in modo programmatico a gestire i progetti. Ad esempio, abbiamo progettato il Secure AI Framework (SAIF). per contribuire a proteggere i sistemi di AI. Inoltre, per proteggere le connessioni TLS attacchi informatici quantistici, abbiamo sviluppato algoritmo combinato di curva ellittica e post-quantistica (CECPQ2). I nostri crittografi hanno sviluppato Tink, una libreria open source di API crittografiche. Usiamo Tink anche di prodotti e servizi interni.

Per ulteriori informazioni su come segnalare problemi di sicurezza, consulta In che modo Google gestisce le vulnerabilità di sicurezza.

Formazione sulla sicurezza e sulla privacy interna

Tutti i dipendenti di Google ricevono una formazione sulla sicurezza e sulla privacy nell'ambito processo di orientamento e riceve una formazione continua su privacy e sicurezza. la loro carriera in Google. Durante l'orientamento, i nuovi dipendenti accettano Codice di condotta Ciò evidenzia il nostro impegno a proteggere i dati dei clienti.

A seconda del loro ruolo professionale, i dipendenti potrebbero dover svolgere formazione su aspetti specifici della sicurezza. Ad esempio, la sicurezza delle informazioni istruisce i nuovi ingegneri su pratiche di programmazione sicura, progettazione di prodotti e strumenti automatizzati per i test delle vulnerabilità. I tecnici partecipano regolarmente alla sicurezza briefing e ricevere newsletter sulla sicurezza che trattano nuove minacce, schemi, tecniche di mitigazione e altro ancora.

La sicurezza e la privacy sono un'area in continua evoluzione e riconosciamo che l'impegno Il coinvolgimento dei dipendenti è uno strumento fondamentale per aumentare la consapevolezza. Organizziamo regolari conferenze interne aperte a tutti i dipendenti per aumentare la consapevolezza e delle innovazioni in materia di sicurezza e privacy dei dati. Ospitiamo eventi in tutti gli uffici di tutto il mondo per aumentare la consapevolezza in merito a sicurezza e privacy nell'ambito dello sviluppo di software, e l'applicazione delle norme.

Il nostro team dedicato alla privacy

Il nostro team dedicato alla privacy supporta iniziative interne in materia di privacy per aiutare migliorare processi critici, strumenti interni, prodotti e privacy dell'infrastruttura. Il team dedicato alla privacy opera separatamente dallo sviluppo del prodotto e le organizzazioni che operano nel settore della sicurezza. Partecipano ai lanci di prodotti Google esaminando la documentazione di progettazione e l'esecuzione di revisioni del codice per garantire vengano rispettati i requisiti di privacy. Il team aiuta a rilasciare prodotti che incorporano rigorosi standard di privacy per la raccolta dei dati utente.

I nostri prodotti sono progettati per fornire a utenti e amministratori opzioni di configurazione della privacy. Dopo il lancio dei prodotti, il team dedicato alla privacy supervisiona i processi automatizzati in corso per verificare che i dati raccolti prodotti siano gestiti in modo appropriato. Inoltre, il team dedicato alla privacy gestisce ricerca sulle best practice relative alla privacy per le nostre tecnologie emergenti. Per comprendere come ci impegniamo a rispettare la privacy dei dati utente e a rispettare leggi e normative sulla privacy, consulta il nostro impegno a rispettare i dati leggi sulla protezione dei dati. Per ulteriori informazioni informazioni, consulta le Risorse sulla privacy assistenza.

Specialisti interni di controlli e conformità

Abbiamo un team di revisione interno dedicato che esamina i nostri prodotti conformità con leggi e normative sulla sicurezza di tutto il mondo. Come nuovi standard di controllo vengono creati e aggiornati gli standard esistenti, il team di controllo interno determina i controlli, i processi e i sistemi necessari per incontrarli. Questo team supporta controlli e valutazioni indipendenti da parte di parti. Per ulteriori informazioni, vedi Assistenza per i requisiti di conformità più avanti in questo documento.

Sicurezza operativa

La sicurezza è parte integrante delle nostre operazioni cloud, non una riflessione a posteriori. Questo descrive i nostri programmi di gestione delle vulnerabilità, la prevenzione del malware di monitoraggio della sicurezza e programmi di gestione degli incidenti.

Gestione delle vulnerabilità

Il nostro processo interno di gestione delle vulnerabilità ricerca attivamente la sicurezza e minacce in tutti gli stack tecnologici. Questo processo utilizza una combinazione strumenti commerciali, open source e interni appositamente progettati e include seguenti:

  • Processi di controllo qualità
  • Revisioni della sicurezza del software
  • Attività di penetrazione manuali e automatizzate, tra cui allenamenti del Red Team
  • Controlli esterni

L'organizzazione di gestione delle vulnerabilità e i suoi partner sono responsabili il monitoraggio e il follow-up delle vulnerabilità. Perché la sicurezza migliora solo una volta risolti completamente i problemi, le pipeline di automazione rivalutano continuamente stato del deployment delle patch per mitigare le vulnerabilità e segnalare un deployment parziale.

Per contribuire a migliorare le capacità di rilevamento, dell'organizzazione si concentra su indicatori di alta qualità che separano il rumore dai segnali che indicano minacce reali. L'organizzazione promuove anche l'interazione con settore e con la community open source. Ad esempio, eseguono una Programma a premi Patch per lo Tsunami scanner di sicurezza di rete, che premia gli sviluppatori che creano rilevatori di vulnerabilità.

Per ulteriori informazioni sulle vulnerabilità che abbiamo mitigato, vedi Bollettini sulla sicurezza di Google Cloud.

Prevenzione dei malware

Google mantiene le protezioni antimalware per i suoi prodotti principali (come Gmail, Google Drive, Google Chrome, YouTube, Google Ads e Ricerca Google) che utilizzano una varietà di sistemi di rilevamento del malware. tecniche. Per rilevare proattivamente i file di malware, utilizziamo la scansione del web, detonazione, rilevamento statico personalizzato, rilevamento dinamico e machine learning il rilevamento automatico. Utilizziamo anche diversi motori antivirus.

Per proteggere i nostri dipendenti, utilizziamo la sicurezza avanzata integrata di Chrome Enterprise Premium e la funzionalità Navigazione sicura avanzata in Google Chrome. Queste funzionalità consentono il rilevamento proattivo del phishing e malware durante la navigazione dei nostri dipendenti sul web. Inoltre, mettiamo in atto le applicazioni le impostazioni di sicurezza disponibili in Google Workspace, come Sandbox per la sicurezza di Gmail, per eseguire in modo proattivo la scansione degli allegati sospetti. I log di queste funzionalità alimentano i nostri sistemi di monitoraggio della sicurezza, descritti nella sezione che segue.

Monitoraggio della sicurezza

Il nostro programma di monitoraggio della sicurezza è incentrato sulle informazioni raccolte traffico di rete interno, dalle azioni dei dipendenti sui sistemi e dall'esterno conoscenza delle vulnerabilità. Uno dei principi fondamentali di Google è aggregare e archiviare dati di telemetria sulla sicurezza in un'unica posizione per un'analisi unificata della sicurezza.

In molti punti della nostra rete globale, il traffico interno viene ispezionato comportamenti sospetti, ad esempio la presenza di traffico che potrebbe indicare una botnet e connessioni a Internet. Utilizziamo una combinazione di strumenti open source e commerciali per acquisire e analizzare il traffico per consentirci di eseguire questa analisi. Un account di proprietà basato sulla nostra tecnologia supporta anche questa analisi. Integriamo l'analisi della rete esaminando i log di sistema per identificare come i tentativi di accesso ai dati dei clienti.

I nostri tecnici della sicurezza esaminano i rapporti di sicurezza in entrata e monitorano mailing list, post di blog e wiki. Analisi automatizzata della rete e l'analisi dei log di sistema aiuta a determinare la possibile presenza di una minaccia sconosciuta; se i processi automatici rilevano un problema e lo riassegnano al nostro personale di sicurezza.

Gestione degli incidenti

Abbiamo un rigoroso processo di gestione degli incidenti per gli eventi di sicurezza che potrebbero pregiudicare la riservatezza, l'integrità o la disponibilità di sistemi o dati. Le nostre Security Incident-Management Program è in linea con le linee guida del NIST sulla gestione incidenti (NIST SP 800-61). Legenda membri del nostro personale sono formati in analisi forensi e nella gestione di prove in la preparazione di un evento, compreso l'utilizzo di i nostri strumenti.

Testiamo i piani di risposta agli incidenti per aree chiave, come i sistemi che memorizzano e i dati dei clienti. Questi test prendono in considerazione vari scenari, tra cui gli addetti ai lavori e le vulnerabilità dei software. Per garantire una risoluzione rapida incidenti di sicurezza, il team di sicurezza di Google è disponibile 24 ore su 24, 7 giorni su 7, per tutti i dipendenti. Se un incidente ha un impatto sui tuoi dati, Google o i suoi partner ti informano e il nostro team esamina l'incidente. Per ulteriori informazioni sul nostro incidente relativo ai dati il processo di risposta, vedi Processo di risposta agli incidenti relativi ai dati.

Tecnologia incentrata sulla sicurezza

Google Cloud viene eseguito su una piattaforma tecnologica progettata e creata per operare in sicurezza. Siamo innovatori in ambito hardware, software, di rete e di sistema tecnologie di gestione dei dati. Progettiamo i nostri server, i nostri sistemi operativi proprietari e i nostri data center geograficamente distribuiti. Utilizzando i principi di una difesa approfondita, abbiamo creato un'infrastruttura IT più sicura più facili da gestire rispetto alle tecnologie più convenzionali.

Data center all'avanguardia

La nostra attenzione alla sicurezza e alla protezione dei dati è tra i nostri principi principali criteri. La posizione fisica la sicurezza nei data center di Google è un modello di sicurezza a più livelli. Sicurezza fisica include misure di sicurezza come schede di accesso elettroniche progettate su misura, rilevatori, barriere di accesso ai veicoli, recinzioni perimetrali, metal detector e biometria. Nella Inoltre, per rilevare e monitorare gli intrusi, utilizziamo misure di sicurezza come i sistemi laser il rilevamento delle intrusioni e il monitoraggio 24 ore su 24, 7 giorni su 7, attraverso un sistema interno ad alta fotocamere esterne. I log degli accessi, le registrazioni delle attività e i filmati della videocamera disponibili in caso di incidente. Agenti di sicurezza esperti, che hanno sottoposti a rigorosi controlli dei precedenti e corsi di formazione, pattugliano regolarmente i nostri dati center. Man mano che ci si avvicina al piano del data center, ci sono anche misure di sicurezza aumentano. L'accesso al piano del data center è possibile solo tramite un sistema di sicurezza che implementa il controllo dell'accesso a più fattori mediante badge di sicurezza e biometria. Possono accedervi solo i dipendenti approvati con ruoli specifici. Pochissima I dipendenti Google avranno mai accesso a uno dei nostri data center.

All'interno dei nostri data center, impieghiamo controlli di sicurezza in ambito fisico-logico standard, definita come "la lunghezza del braccio da una macchina in un rack alla dell'ambiente di runtime." Questi controlli includono il rafforzamento dell'hardware, controllo dell'accesso, rilevamento di eventi anomali e autodifesa del sistema. Per ulteriori informazioni per informazioni, consulta In che modo Google protegge lo spazio fisico-logico in un data .

Alimentazione dei nostri data center

Per mantenere tutto in funzione 24 ore su 24, 7 giorni su 7 e fornire servizi senza interruzioni, i nostri dati centrali dispongono di sistemi di alimentazione ridondanti e controlli ambientali. Ogni elemento fondamentale ha una fonte di alimentazione primaria e alternativa, entrambe con la stessa potenza. I generatori di backup possono fornire energia elettrica di emergenza sufficiente per gestire ogni dato del centro al massimo. I sistemi di raffreddamento mantengono un funzionamento costante temperatura di server e altro hardware, riducendo il rischio di assistenza di interruzioni durante ridurre al minimo l'impatto ambientale. Le apparecchiature di rilevamento ed estinzione degli incendi aiutano a prevenire danni all'hardware. Riscaldamento rilevatori di fumo e di incendio e di fumo attivano suoni visibili e udibili allarmi alle console delle operazioni di sicurezza e alle scrivanie di monitoraggio remoto.

Siamo la prima grande azienda di servizi internet a ricevere una certificazione esterna dei nostri elevati standard ambientali, di sicurezza sul luogo di lavoro e di gestione dell'energia in tutti i nostri data center. Ad esempio, per dimostrare il nostro impegno a di gestione dell'energia, abbiamo ottenuto ISO 50001 le certificazioni per i nostri data center in Europa. Per ulteriori informazioni su come ridurre il nostro impatto ambientale in Google Cloud, consulta Efficienza.

Hardware e software personalizzati per i server

I nostri data center dispongono di server e apparecchiature di rete appositamente progettati, alcuni dei quali che noi stessi progettiamo. Sebbene i nostri server siano personalizzati per massimizzare prestazioni, raffreddamento ed efficienza energetica, sono inoltre progettate per per proteggerti da attacchi di intrusione fisica. A differenza della maggior parte dei prodotti hardware, i nostri server non includono componenti superflui come schede video, chipset (o connettori di periferiche), che possono introdurre vulnerabilità. Esaminiamo i fornitori dei componenti e scegliamo i componenti con attenzione, collaborando con i fornitori per controllare e convalidare le proprietà di sicurezza fornite componenti. Progettiamo chip personalizzati, Titan che ci aiutano a identificare e autenticare in modo sicuro i dispositivi Google legittimi a livello di hardware, incluso il codice utilizzato da questi dispositivi per l'avvio.

Le risorse server vengono allocate dinamicamente. L'allocazione dinamica offre flessibilità per la crescita e ci consente di adattarci in modo rapido ed efficiente alle esigenze del cliente della domanda aggiungendo o riallocando risorse. Questo ambiente è gestito da software proprietario che monitora costantemente i sistemi per rilevare modifiche. I nostri meccanismi di auto-riparazione automatici sono progettati per consentirci per monitorare e risolvere eventi destabilizzanti, ricevere notifiche su incidenti e rallentare le potenziali compromissioni sulla rete.

Monitoraggio e smaltimento dell'hardware

Teniamo meticolosamente traccia della posizione e dello stato delle apparecchiature nei nostri dati center mediante codici a barre e asset tag. Implementiamo metal detector e strumenti sorveglianza per assicurarsi che nessuna attrezzatura lasci il pavimento del data center senza autorizzazione. Se un componente non supera un test delle prestazioni in nessuna durante il suo ciclo di vita, vengono rimossi dall'inventario e ritirato.

I nostri dispositivi di archiviazione, inclusi dischi rigidi, unità a stato solido e non volatili i moduli di memoria dual inline (DIMM), usano tecnologie come la crittografia dell'intero disco (FDE) e il blocco delle unità per proteggere i dati at-rest. Quando un dispositivo di archiviazione viene pensionati, le persone autorizzate verificano che il dispositivo sia igienizzato. Inoltre, eseguire una procedura di verifica in più passaggi per assicurarti che il dispositivo non contenga e i dati di Google Cloud. Se per qualsiasi motivo un dispositivo non può essere resettato, viene distrutto fisicamente. La distruzione fisica viene eseguita con un distruggimento che rompe il dispositivo piccoli pezzi, che vengono poi riciclati in una struttura protetta. Ogni data center è conforme a una rigorosa politica di smaltimento e qualsiasi variazione viene affrontata immediatamente. Per ulteriori informazioni, consulta la sezione Eliminazione dei dati on Google Cloud.

Pratiche di sviluppo software

Cerchiamo proattivamente di limitare le opportunità di vulnerabilità introdotte utilizzando le protezioni del controllo del codice sorgente e revisioni in due parti. Abbiamo anche forniscono librerie che impediscono agli sviluppatori di introdurre determinate classi di sicurezza. Ad esempio, disponiamo di librerie e framework progettati per eliminare le vulnerabilità XSS nelle app web. Disponiamo anche di strumenti automatizzati rilevare automaticamente i bug di sicurezza; questi strumenti includono fuzzer, strumenti di analisi e scanner di sicurezza web.

Per ulteriori informazioni, vedi Sviluppo di software sicuro.

Controlli di sicurezza principali

I servizi Google Cloud sono progettati per offrire una sicurezza migliore di molti soluzioni on-premise. Questa sezione descrive i principali controlli di sicurezza che per proteggere i tuoi dati.

Crittografia

La crittografia aggiunge un livello di difesa per la protezione dei dati. La crittografia assicura che Se un utente malintenzionato ottiene l'accesso ai tuoi dati, non potrà leggerli senza avere accesso anche alle chiavi di crittografia. Anche se un utente malintenzionato riceve l'accesso ai tuoi dati (ad esempio, accedendo alla connessione tramite cavo tra i dati center o rubando un dispositivo di archiviazione), non saranno in grado di comprendere decriptarlo.

La crittografia fornisce un meccanismo importante per proteggere la privacy delle i tuoi dati. Consente ai sistemi di manipolare i dati, ad esempio per il backup, e tecnici per supportare la nostra infrastruttura, senza fornire accesso ai contenuti per i sistemi o i dipendenti.

Protezione dei dati at-rest

Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere gli utenti archiviati nei data center di produzione Google. La crittografia viene applicata il livello dell'applicazione, quello del dispositivo di archiviazione o entrambi.

Per ulteriori informazioni sulla crittografia at-rest, inclusa la chiave di crittografia e l'archivio chiavi, vedi Crittografia at-rest in Google Cloud.

Protezione dei dati in transito

I dati possono essere vulnerabili ad accessi non autorizzati mentre si spostano su internet o all'interno delle reti. Traffico tra i tuoi dispositivi e Google Front End (GFE) è criptato usando protocolli di crittografia efficaci come TLS.

Per ulteriori informazioni, vedi Crittografia dei dati in transito in Google Cloud.

Integrità della catena di fornitura del software

L'integrità della catena di fornitura del software garantisce che il codice sottostante e i file binari per i servizi che elaborano i tuoi dati siano verificati e che trasferiscano test di attestazione. In Google Cloud, abbiamo sviluppato Autorizzazione binaria per Borg (BAB) per esaminare e autorizzare di produzione di cui eseguiamo il deployment. BAB aiuta ad assicurare che solo il codice autorizzato possono elaborare i tuoi dati. Oltre a BAB, utilizziamo chip di sicurezza hardware (denominata Titan) di cui eseguiamo il deployment su server, dispositivi e periferiche. Questi chip offrono funzionalità di sicurezza fondamentali come l'archiviazione sicura delle chiavi, la radice di attendibilità e l'autorità di firma responsabile.

Per proteggere la catena di fornitura del software, puoi implementare Autorizzazione binaria per applicare i criteri prima di eseguire il deployment del codice. Per informazioni su sulla sicurezza della catena di fornitura, consulta SLSA.

Protezione dei dati in uso

Google Cloud supporta la crittografia dei dati in uso con Confidential Computing. Confidential Computing fornisce l'isolamento e l'attestazione hardware utilizzando un un ambiente di esecuzione affidabile (Trusted Execution Environment, TEE). Confidential Computing protegge i carichi di lavoro eseguendo il calcolo in isolamento crittografico, garantire la riservatezza in un ambiente cloud multi-tenant. Questo tipo di un ambiente crittograficamente isolato aiuta a impedire l'accesso non autorizzato o modifiche alle applicazioni e ai dati mentre queste sono per gli utilizzi odierni. Il TEE fornisce attestazioni verificabili in modo indipendente che attestano il lo stato del sistema e l'esecuzione del codice. Confidential Computing potrebbe essere una buona opzione per le organizzazioni che gestiscono dati sensibili e regolamentati e che devono garanzie di sicurezza e privacy verificabili.

Vantaggi della sicurezza della nostra rete globale

In altri servizi cloud e soluzioni on-premise, i dati dei clienti viaggiano tra i dispositivi sulla rete internet pubblica in percorsi noti come hop. Il numero di hop dipende dal percorso ottimale tra l'ISP del cliente e i dati Google Cloud. Ogni hop aggiuntivo introduce una nuova opportunità di attacco dei dati o intercettato. Poiché la nostra rete globale è collegata alla maggior parte degli ISP del mondo, la nostra rete limita gli hop nella rete internet pubblica e, di conseguenza, aiuta a limitare l'accesso a questi dati da parte di malintenzionati.

La nostra rete utilizza più livelli di difesa (difesa in profondità) per contribuire a proteggere contro gli attacchi esterni. Solo servizi e protocolli autorizzati che soddisfare i nostri requisiti di sicurezza; altro è eliminati automaticamente. Per applicare la segregazione della rete, utilizziamo firewall e elenchi di controllo dell'accesso. Il traffico viene instradato tramite i server GFE per facilitare il rilevamento e bloccare le richieste dannose e gli attacchi DDoS (Distributed Denial-of-Service). I log vengono regolarmente esaminati per individuare eventuali abusi di programmazione. L'accesso ai dispositivi in rete è limitato solo ai dipendenti autorizzati.

La nostra infrastruttura globale ci consente di eseguire Scudo. Project Shield offre gratuitamente, una protezione illimitata verso i siti web vulnerabili agli attacchi DDoS che utilizzati per censurare le informazioni. Project Shield è disponibile per i siti web di notizie, umani siti web sui diritti d'autore e siti web che monitorano le elezioni.

Soluzioni a bassa latenza e ad alta disponibilità

La nostra rete di dati IP è composta dalla nostra fibra, da fibra disponibile pubblicamente, dei cavi sottomarini. Questa rete ci consente di offrire prodotti ad alta disponibilità a bassa latenza in tutto il mondo.

I componenti della piattaforma sono progettati in modo da garantire un'elevata ridondanza. Questa ridondanza si applica alla progettazione dei nostri server, al modo in cui archiviamo i dati, alla rete e a internet connettività e agli stessi servizi software. Questa "ridondanza di tutto" include la gestione delle eccezioni e crea una soluzione che non dipende da un singolo server, data center o connessione di rete.

I nostri data center sono distribuiti geograficamente per ridurre al minimo gli effetti della a livello regionale sui prodotti globali, ad esempio a causa di calamità naturali o o in caso di interruzioni del servizio. In caso di guasti all'hardware, al software o a una rete, i servizi della piattaforma e dei piani di controllo vengono spostati in modo automatico e rapido da una struttura un'altra in modo che i servizi della piattaforma possano continuare senza interruzioni.

La nostra infrastruttura a elevata ridondanza ti aiuta anche a proteggere la tua attività e la perdita di dati. Puoi creare ed eseguire il deployment di risorse Google Cloud in più regioni e zone per creare sistemi resilienti e ad alta disponibilità. Le nostre sono progettati per ridurre al minimo i tempi di inattività o i periodi di manutenzione per la manutenzione o l'upgrade della nostra piattaforma. Per ulteriori informazioni Google Cloud integra resilienza e disponibilità al suo interno di infrastruttura e servizi, dalla progettazione alle operazioni, vedi Guida all'affidabilità dell'infrastruttura Google Cloud.

Disponibilità del servizio Google Cloud

Alcuni servizi Google Cloud non sono disponibili in tutte le aree geografiche. Alcune le interruzioni del servizio sono temporanee (a causa di un evento imprevisto, come di rete), ma altre limitazioni del servizio sono permanenti a causa restrizioni imposte dal governo. La nostra esaustiva trasparenza Report e stato dashboard mostrano recenti e in corso interruzioni del traffico e la disponibilità dei servizi Google Cloud. Forniamo questi dati per aiutarti di analizzare e comprendere la disponibilità dei servizi.

Accesso ai dati e restrizioni

Questa sezione descrive come limitiamo l'accesso ai dati e come rispondiamo alle richieste di dati da parte delle forze dell'ordine.

Utilizzo dei dati

I dati che memorizzi sui nostri sistemi appartengono a te. Non scansioniamo i tuoi dati per per scopi pubblicitari, non li vendiamo a terze parti e non li utilizziamo per addestrare i nostri modelli di AI senza la tua autorizzazione. La guida al trattamento dei dati l'Addendum per Google Cloud descrive le nostre il nostro impegno per la protezione dei dati. in cui si afferma che non elaboreremo per qualsiasi scopo diverso dall'adempimento dei nostri obblighi contrattuali. Se scegliere di non usare più i nostri servizi, forniamo strumenti che ti consentono per portare i tuoi dati con te, senza penalità o costi aggiuntivi. Per ulteriori informazioni informazioni sui nostri impegni per Google Cloud, consulta le nostre principi di fiducia.

Accesso amministrativo per i dipendenti Google

La nostra infrastruttura è progettata per isolare logicamente i dati di ciascun cliente i dati di altri clienti e utenti, anche se sono archiviati server fisico. Solo un piccolo gruppo di dipendenti ha accesso al cliente e i dati di Google Cloud. I diritti e i livelli di accesso si basano sul lavoro del dipendente funzione e ruolo, usando i principi del privilegio minimo e devi sapere che i privilegi di accesso alle responsabilità definite. Ai nostri dipendenti viene concesso solo un insieme limitato di autorizzazioni predefinite per accedere alle risorse aziendali, come l'email dei dipendenti e il portale interno di Google per i dipendenti. Richieste di ulteriori l'accesso deve seguire un processo formale che prevede una richiesta e un'approvazione da parte il proprietario, il gestore o altri dirigenti dei dati o del sistema, come richiesto dalle nostre criteri di sicurezza.

Le approvazioni sono gestite da strumenti per i flussi di lavoro che mantengono i record di audit modifiche. Questi strumenti controllano sia la modifica delle impostazioni di autorizzazione il processo di approvazione per garantire la coerenza delle norme di approvazione applicati. Le impostazioni di autorizzazione di un dipendente vengono utilizzate per controllare l'accesso a le risorse, inclusi dati e sistemi per i prodotti Google Cloud. Assistenza sono forniti solo agli amministratori autorizzati dei clienti. La nostra piattaforma team di sicurezza, di privacy e di audit interni, il monitoraggio e l'audit l'accesso dei dipendenti. Ti forniamo audit log Trasparenza degli accessi per Google Cloud. Inoltre, quando attivi Access Approval il nostro personale di assistenza e i nostri tecnici richiedono la tua approvazione esplicita per accedere i tuoi dati.

Richieste di dati da parte delle autorità preposte all'applicazione della legge

In qualità di proprietario dei dati, hai la responsabilità principale di rispondere agli obblighi di legge delle richieste di dati. Tuttavia, come molte aziende tecnologiche, riceviamo richieste dirette da parte di governi e tribunali di divulgare i dati dei clienti. Google prevede norme e procedure operative e altre misure organizzative in vigore per contribuire a proteggere da richieste illegali o eccessive di dati dell'utente le autorità pubbliche. Quando riceviamo una richiesta di questo tipo, il nostro team la esamina per verificare che soddisfi i requisiti legali e le norme di Google. In generale, per poterla soddisfare, la richiesta deve essere fatta per iscritto, emessi ai sensi di una legge appropriata e firmati da un funzionario autorizzato del l'agenzia che ha inviato la richiesta.

Crediamo che il pubblico meriti di conoscere appieno la portata dei governi richiederci informazioni. Siamo diventati la prima azienda ad avviare regolarmente la pubblicazione di report sulle richieste di dati da parte dei governi. Informazioni dettagliate su richieste di dati e la nostra risposta è disponibile nel nostro Rapporto sulla trasparenza. È nostra prassi informarti sulle richieste relative ai tuoi dati, a meno che non espressamente vietato dalla legge o da un'ingiunzione del tribunale. Per ulteriori informazioni le informazioni, vedi Richieste del governo relative ai dati dei clienti Cloud.

Fornitori di terze parti

Per la maggior parte delle attività di trattamento dati, forniamo i nostri servizi nei nostri dell'infrastruttura. Tuttavia, potremmo avvalerci di alcuni fornitori di terze parti affinché servizi correlati a Google Cloud, tra cui l'assistenza clienti e i assistenza in tempo reale. Prima di inserire un fornitore, ne valutiamo la sicurezza e la privacy pratiche. Questa valutazione verifica se il fornitore fornisce un livello di alla sicurezza e alla privacy appropriate per il loro accesso ai dati e per dei servizi che sono incaricati di fornire. Dopo aver valutato i rischi presentati dal fornitore terzo, quest'ultimo è di applicare misure di sicurezza, riservatezza e privacy termini contrattuali.

Per ulteriori informazioni, consulta Codice di condotta dei fornitori.

Supporto per i requisiti di conformità

Google Cloud viene regolarmente sottoposta a verifiche indipendenti controlli di sicurezza, privacy e conformità e riceve certificazioni, attestazioni e report di audit per dimostrare la conformità. Le nostre informazioni include controlli specifici relativi alla privacy dei dati dei clienti che aiutano a mantenere la sicurezza dei dati dei clienti.

Di seguito sono riportati alcuni standard internazionali fondamentali per cui siamo sottoposti a controlli:

Inoltre, i nostri SOC 2 e I report SOC 3 sono disponibili per i nostri clienti.

Partecipiamo inoltre a quadri normativi specifici per settore e paese, come FedRAMP (governo degli Stati Uniti), BSI C5 (Germania) e MTCS (Singapore). Forniamo documenti e mappature di risorse per alcuni framework laddove certificazioni o attestati formali potrebbero non essere richiesti o applicati.

Se operi in settori regolamentati, come finanza, pubblica amministrazione, sanità, o nel settore dell'istruzione, Google Cloud offre prodotti e servizi che conformi a numerosi requisiti specifici del settore. Ad esempio, se devi rispettare Standard Payment Card Industry Data Security (PCI DSS), vedi Conformità allo standard di sicurezza dei dati PCI per informazioni su come implementarne i requisiti in in Google Cloud.

Per un elenco completo delle nostre offerte relative alla conformità, vedi Centro risorse per la conformità.

Gestione dei rischi e assicurazione

Manteniamo un solido programma assicurativo per molti tipi di rischio, tra cui cyber e copertura assicurativa di responsabilità per la privacy. Queste norme includono la copertura per Google Cloud in caso di eventi quali l'uso o l'accesso non autorizzati alla nostra rete. l'azione normativa, laddove assicurabile; mancata protezione adeguata delle informazioni informazioni; costi delle notifiche; e per la gestione delle crisi, comprese le attività forensi le indagini.

Prodotti e servizi per la sicurezza di Google Cloud

La sicurezza è una responsabilità condivisa. In genere, è tua responsabilità proteggere ciò che porta nel cloud, mentre noi siamo responsabili di proteggere il cloud per trovare le regole. Pertanto, mentre sei sempre responsabile della sicurezza dei tuoi dati, responsabili della sicurezza dell'infrastruttura sottostante. L'immagine seguente questa relazione viene visualizzata come un modello di responsabilità condivisa, che descrive le responsabilità che tu e noi abbiamo in Google Cloud.

Responsabilità in materia di sicurezza per fornitori e clienti del cloud.

Nel modello Infrastructure as a Service (IaaS) vengono utilizzati solo i componenti hardware, Google Cloud è una nostra responsabilità. Nel modello Software as a Service (SaaS), il valore la sicurezza di tutto tranne i dati e il loro accesso e utilizzo sono i nostri la responsabilità.

Google Cloud offre una gamma di servizi di sicurezza per proteggere l'ambiente cloud su larga scala. Per ulteriori informazioni, vedi Prodotti per sicurezza e identità in Google Cloud. Puoi anche trovare ulteriori informazioni nel nostro Centro best practice per la sicurezza.

Conclusione

La protezione dei tuoi dati è una considerazione primaria per la progettazione dei nostri a livello di infrastruttura, prodotti e operazioni. La scala delle nostre operazioni e la collaborazione con la comunità di ricerca sulla sicurezza ci consente di affrontare le vulnerabilità in modo rapido e spesso per prevenirle del tutto. Ci occupiamo noi della nostra come la Ricerca, YouTube e altri servizi Gmail, sulla stessa infrastruttura che rendiamo disponibile ai nostri clienti, che beneficiano direttamente dei nostri controlli e procedure di sicurezza.

Offriamo un livello di protezione che pochi tra provider e team IT aziendali privati. La protezione dei dati è fondamentale per la nostra attività, pertanto facciamo grandi investimenti in sicurezza, risorse e competenze su una scala che altri non riescono a individuare. Il nostro investimento ti consente di concentrarti sul business e sull'innovazione. I nostri forti impegni contrattuali ti aiutano mantieni il controllo dei tuoi dati e del modo in cui vengono elaborati. Non utilizziamo i tuoi dati per la pubblicità o per qualsiasi scopo diverso dal fornire Google Cloud i servizi di machine learning.

Molte organizzazioni innovative ci affidano la loro risorsa più preziosa: e i dati di Google Cloud. Continueremo a investire nella sicurezza dei servizi Google Cloud per puoi trarre vantaggio dai nostri servizi in modo sicuro e trasparente.

Passaggi successivi