CDL

Deep Dive

Volver a guías
D1Transformación digital con Google Cloud
¿Qué es la transformación digital?Por qué Google CloudInfraestructura global de Google Cloud
D2Exploración de datos con Google Cloud
Almacenamiento y bases de datos en Google CloudBigQuery: análisis de datos a escalaPipelines de datos: Pub/Sub, Dataflow y Looker
D3IA e innovación con Google Cloud
Fundamentos de IA y Machine LearningVertex AI: plataforma unificada de MLIA Generativa con Google Cloud
D4Modernización de infraestructura y aplicaciones
Cómputo: Compute Engine, GKE y Cloud RunRedes en Google CloudMigración y modernización de aplicaciones
D5Confianza y seguridad con Google Cloud
Modelo de responsabilidad compartidaIAM: identidad y control de accesoServicios de seguridad y cumplimiento
D6Escalar con las operaciones de Google Cloud
Cloud Operations Suite: monitoreo y observabilidadGestión de costos en Google Cloud
Practicar ahora
D5 · Confianza y seguridad con Google Cloud

Servicios de seguridad de Google Cloud

Cloud Armor, Security Command Center, Cloud KMS, Secret Manager, Google Security Operations, Chrome Enterprise Premium y VPC Service Controls.

Protección perimetral y amenazas

Cloud Armor

WAF (Web Application Firewall) y protección DDoS para aplicaciones detrás de Cloud Load Balancing. Bloquea ataques a capa 3/4 (DDoS volumétrico) y capa 7 (SQLi, XSS, OWASP Top 10).

Reglas predefinidas OWASP Top 10
Rate limiting por IP o geografía
Adaptive Protection: ML para detectar ataques DDoS
Block/allow lists por IP, región o agente de usuario

Security Command Center (SCC)

Plataforma central de gestión de seguridad y riesgo para toda la organización GCP. Detecta misconfiguraciones, vulnerabilidades y amenazas activas.

Asset inventory: lista todos los recursos de la org
Vulnerability management: CVEs, misconfiguraciones
Threat detection: actividad anómala, malware, crypto mining
Integración con Google Security Operations y SIEM externos

Gestión de claves y secretos

Cloud KMS (Key Management Service)

Gestiona claves criptográficas en un HSM (Hardware Security Module) administrado por Google. Crea, rota, y destruye claves para encriptar datos en GCP y en tus aplicaciones.

Customer-managed keys (CMEK) para Cloud Storage, BigQuery, etc.
Rotación automática de claves programable
HSM: claves en hardware dedicado certificado FIPS 140-2
Cloud EKM: claves externas (en tu propio HSM on-premises)

Secret Manager

Almacena secretos (API keys, contraseñas, certificados) de forma segura. Elimina el hardcoding de credenciales en código o variables de entorno.

Versionado: cada actualización crea una nueva versión. Rollback fácil.
Acceso con IAM: roles granulares (secretmanager.secretAccessor)
Rotación automática: llama a Cloud Functions o Pub/Sub al rotar
Audit logs: cada acceso a un secreto queda registrado en Cloud Audit Logs

Google Security Operations, Chrome Enterprise Premium y VPC Service Controls

Google Security Operations

SIEM (Security Information and Event Management) cloud-native de Google, anteriormente llamado Chronicle. Ingesta y analiza petabytes de logs de seguridad a gran escala. Detecta amenazas con inteligencia de Google Threat Intelligence.

Caso de uso principal

Empresas que necesitan correlacionar logs de múltiples fuentes para detectar amenazas sofisticadas.

Chrome Enterprise Premium (Zero Trust)

Implementación de Zero Trust de Google (anteriormente BeyondCorp Enterprise). El acceso a apps se basa en identidad + estado del dispositivo + contexto, no en si estás dentro de la VPN corporativa. Nació de cómo trabaja Google internamente.

Caso de uso principal

Fuerza laboral remota o híbrida que necesita acceso seguro a apps corporativas sin VPN.

VPC Service Controls

Crea un perímetro de seguridad alrededor de servicios de GCP para prevenir exfiltración de datos. Restringe qué proyectos o identidades pueden acceder a APIs de GCP (BigQuery, Cloud Storage) desde fuera del perímetro.

Caso de uso principal

Datos sensibles en BigQuery o Cloud Storage donde necesitas garantizar que no se copian fuera del entorno corporativo.

Cloud Identity

Gestión de identidad y dispositivos (IDaaS). Usuarios y grupos para acceder a GCP y Google Workspace sin requerir cuentas Gmail. Se integra con directorios LDAP/Active Directory.

Caso de uso principal

Empresas que quieren gestionar identidades corporativas en GCP sin Google Workspace completo.

Comparativa rápida de servicios de seguridad

NecesidadServicio
Proteger app web de ataques DDoS y SQLiCloud Armor
Ver todas las vulnerabilidades y misconfiguraciones de mi orgSecurity Command Center
Gestionar claves de encriptación (CMEK)Cloud KMS
Almacenar API keys y contraseñas de forma seguraSecret Manager
Analizar logs de seguridad para detectar intrusionesGoogle Security Operations
Acceso sin VPN basado en identidad y estado del dispositivoChrome Enterprise Premium
Evitar que datos de BigQuery sean copiados a proyectos externosVPC Service Controls
Gestionar usuarios corporativos para acceder a GCPCloud Identity

Compliance, soberanía de datos y principios de confianza

Compliance y certificaciones

Google Cloud tiene más de 150 certificaciones de cumplimiento regulatorio. Esto facilita que los clientes cumplan sus propias obligaciones regulatorias.

ISO 27001/27017/27018: seguridad de la información
SOC 1, SOC 2, SOC 3: controles de seguridad y disponibilidad
PCI DSS: pagos con tarjeta de crédito
HIPAA: datos de salud en EE.UU.
GDPR: datos personales en la Unión Europea
Compliance Reports Manager: descarga certificaciones para auditorías

Soberanía de datos y residencia

La soberanía de datos se refiere al derecho de un país o empresa de controlar dónde residen sus datos y quién puede acceder a ellos, según las leyes locales.

Residencia de datos: elige regiones específicas donde se almacenan tus datos (GDPR en EU, LGPD en Brasil)
Organization Policies: restricciones para que los datos nunca salgan de regiones aprobadas
Assured Workloads: controles adicionales para sectores regulados (gobierno, salud, finanzas)
Google no vende datos de clientes ni los usa para publicidad

Principios de confianza de Google Cloud

Transparencia

Google publica Transparency Reports sobre solicitudes gubernamentales y Cloud Audit Logs para que los clientes vean quién accede a sus datos.

Auditorías independientes

Terceros certificados auditan regularmente la infraestructura y controles de seguridad de Google Cloud.

Tus datos son tuyos

Los datos de los clientes no se usan para entrenar modelos de Google ni para publicidad. Puedes borrarlos cuando quieras.

Acceso restringido de Google

Los empleados de Google no acceden a los datos de los clientes por defecto. Access Transparency registra cada acceso excepcional.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa de servicios financieros almacena datos sensibles de clientes en BigQuery. Su principal preocupación es que un administrador con acceso pueda copiar esos datos a un proyecto personal de GCP. ¿Qué servicio debe implementar para prevenir esto?