CDL
Deep Dive
Qué asegura Google Cloud vs qué es responsabilidad del cliente. Cómo cambia según el modelo de servicio (IaaS, PaaS, SaaS).
En la nube, la seguridad es una responsabilidad compartida entre el proveedor (Google Cloud) y el cliente. Google es responsable de la seguridad de la nube; el cliente es responsable de la seguridad en la nube.
| Capa | IaaS (Compute Engine) | PaaS (App Engine / GKE) | SaaS (Google Workspace) |
|---|---|---|---|
| Datos del usuario | 👤 Cliente | 👤 Cliente | 👤 Cliente |
| Acceso e identidad (IAM) | 👤 Cliente | 👤 Cliente | 👤 Cliente |
| Apps y código | 👤 Cliente | 👤 Cliente | ☁️ Google |
| OS y runtime | 👤 Cliente | ☁️ Google | ☁️ Google |
| Red virtual | 👤 Cliente | ☁️ Google | ☁️ Google |
| Hardware / física | ☁️ Google | ☁️ Google | ☁️ Google |
| Centros de datos | ☁️ Google | ☁️ Google | ☁️ Google |
Regla clave para el examen
El cliente SIEMPRE es responsable de sus datos y del control de acceso (IAM), independientemente del modelo de servicio. Google SIEMPRE es responsable de la seguridad física del hardware y los centros de datos. La diferencia está en las capas intermedias.
Hardware propio y Titan
Google diseña su propio hardware (servidores, chips de red). Titan es el chip de seguridad personalizado que verifica la integridad del hardware y del bootloader antes de que el OS arranque.
Encriptación en reposo
Todos los datos almacenados en Google Cloud están encriptados automáticamente en reposo con AES-256. Sin configuración adicional. Google gestiona las claves por defecto (GMEK), pero el cliente puede usar CMEK o CSEK.
Encriptación en tránsito
Todo el tráfico entre los centros de datos de Google viaja por la red privada de Google, cifrado con TLS. El tráfico entre el cliente y los servicios de GCP también se cifra en tránsito.
Red privada global
La red de fibra privada de Google conecta sus datacenters con más de 1 millón de km de cable de fibra y 33 cables submarinos. El tráfico no pasa por internet público.
Zero Trust: Chrome Enterprise Premium
Google implementó Zero Trust internamente (proyecto BeyondCorp) hace más de una década, hoy disponible como Chrome Enterprise Premium. No hay "perímetro seguro" — cada acceso se verifica continuamente basado en identidad, dispositivo y contexto.
Google-managed (GMEK)
Google gestiona automáticamente las claves de encriptación. Sin configuración del cliente.
Cuándo usar
La mayoría de casos. Sin overhead operativo.
Customer-managed (CMEK)
El cliente crea y gestiona claves en Cloud KMS. Google usa esas claves para cifrar pero no puede usarlas sin el cliente.
Cuándo usar
Requisitos de cumplimiento que exigen control de claves.
Customer-supplied (CSEK)
El cliente provee sus propias claves en cada petición. Google nunca almacena la clave en disco.
Cuándo usar
Máximo control. Si pierdes la clave, pierdes los datos.
El examen CDL evalúa que conozcas las amenazas actuales y cómo la nube ayuda a mitigarlas. Las empresas enfrentan estas amenazas independientemente de si están en la nube o on-premises.
Phishing y ingeniería social
Engañar a empleados para que revelen credenciales o instalen malware. Es el vector de ataque número 1 mundialmente. No requiere hacking técnico sofisticado — solo engaño humano.
Impacto en el negocio
Robo de credenciales → acceso no autorizado a sistemas. Pérdida de datos confidenciales.
Ransomware
Malware que cifra los archivos de la empresa y exige un rescate para desbloquearlos. Los ataques modernos también roban datos antes de cifrarlos (doble extorsión).
Impacto en el negocio
Paralización operacional total. Costos de rescate millonarios. Daño reputacional.
Amenazas internas (Insider threats)
Empleados o contratistas que abusan de su acceso legítimo, ya sea maliciosamente o por error. Difícil de detectar porque tienen credenciales válidas.
Impacto en el negocio
Exfiltración de datos sensibles, sabotaje de sistemas, fraude financiero.
DDoS (Distributed Denial of Service)
Miles de dispositivos comprometidos bombardean un servidor con tráfico hasta que colapsa. Impide que clientes legítimos accedan al servicio.
Impacto en el negocio
Pérdida de ingresos por downtime. Daño reputacional. Costo de mitigación.
Confidencialidad (Confidentiality)
Los datos solo son accesibles para quienes están autorizados. Implementado con: encriptación, IAM, VPC Service Controls, Secret Manager.
Integridad (Integrity)
Los datos no son modificados de forma no autorizada. Implementado con: checksums, firmas digitales, Cloud Audit Logs, control de versiones.
Disponibilidad (Availability)
Los sistemas están disponibles cuando se necesitan. Implementado con: Managed Instance Groups, Cloud Load Balancing, Cloud Armor (anti-DDoS), multi-región.
Control
Capacidad de gobernar y gestionar el acceso a los recursos. IAM, Organization Policies, VPC Service Controls son mecanismos de control.
Cumplimiento (Compliance)
Adherir a regulaciones y estándares del sector: GDPR, HIPAA, PCI DSS, SOC 2. Google Cloud tiene 150+ certificaciones de compliance para ayudar a los clientes.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa migra sus aplicaciones a Google Cloud usando Compute Engine (IaaS). Después de la migración, ¿de cuál de las siguientes capas de seguridad es responsable el cliente?