Blog - MERITI

Seguridad en Google Cloud & G-Suite: avances & Lanzamientos 2018

Escrito por Martin E. Feldstein | 24/08/18 12:02

Comenzando el año pasado y éste, la seguridad y privacidad en la nube quedaron en el foco de la atención mundial, de ninguna manera es un tema nuevo para los expertos. Y mucho menos para Google, aunque es cierto que el interés renovado sobre el tema, impulsó al gigante de Mountain View a innovar más que nunca en este área.

Por ejemplo, desde el pasado 7 de mayo Chrome cuenta con un flujo de acceso más seguro. Esto se tradujo en un paso más a la hora de utilizar Chrome como navegador web, por parte de los usuarios de organizaciones que utilizan SAML para acceder a G-Suite: una pantalla de verificación adicional en accounts.google.com los invita a verificar su identidad.

La nueva capa de seguridad impide que se acceda involuntariamente a cuentas que pudieran haber creado y que controlen posibles atacantes.

  • Mejoras anteriores

En marzo 2018, Google había presentado más de 20 nuevas mejoras para que los usuarios de G-Suite y clientes de Google Cloud, pudieran reforzar el control de su entorno y de sus datos, dentro del propio ecosistema de soluciones en la nube.

Entre las más destacadas:

  • VPC Service Control: refuerza la seguridad de datos sensibles utilizando capacidades de almacenamiento y procesamiento de Google Cloud Platform.

  • Google Cloud Security Command Center: plataforma de seguridad y riesgos de datos que ayuda a las organizaciones a obtener una visión completa de sus activos, mantenerlos controlados, identificar las amenazas y actuar sobre ellas antes de que ocasionen daños o pérdidas de información. 
    También, permite integrar avisos de proveedores como Cloudflare, CrowdStrike, RedLock, Palo Alto Networks y Qualys, a fin de detectar ataques por denegación de servicio (DDoS), vulnerabilidades en las políticas, intrusiones en la red o cualquier otra amenaza.

  • Access Transparency: junto a Cloud Audit Logging, proporciona una visión exhaustiva y global de la actividad administrativa en la nube. Se trata prácticamente de una auditoría sobre las acciones que realizan los ingenieros y técnicos de soporte de Google, cuando interactúan con contenidos y configuraciones de los clientes.

    El objetivo es sumar confiabilidad y transparencia, al mismo tiempo que dar respuesta a un interrogante que todo usuario de Google Cloud se hace en algún momento: ¿Puede Google acceder a mis datos? Y si es así, ¿cómo podría saberlo?

 

  • Lo nuevo en julio 2018

Por otra parte, las charlas y presentaciones sobre seguridad en la nube estuvieron entre las más populares del Google Cloud Next 18.

El encuentro anual para desarrolladores de Google, tuvo lugar una vez más en el Moscone Center de San Francisco, del 24 al 26 de julio. MERITI participó y se actualizó sobre varios temas, entre ellos la ciberseguridad.  

¿Cuáles fueron las conferencias más importantes?

  • De qué manera Google protege sus datos almacenados y en tránsito: dos de los gerentes de producto de Google abocados a seguridad y privacidad en Google Cloud ─Maya Kaczorowski e Il-Sung Lee─ explicaron cómo es la infraestructura que protege sus propios datos, tanto como los de sus usuarios, ya sea que estén almacenados, transitando la red o sean utilizados por diversos servicios.

    También hicieron hincapié en las protecciones adicionales que el propio cliente puede implementar. Por ejemplo, claves de cifrado autogestionadas, túneles IPsec e Istio, entre otras.

  • De qué manera el diseño de la infraestructura de seguridad permite responder rápida e ininterrumpidamente a ‘Spectre’ y ‘Meltdown’: estas fallas de diseño en los procesadores que proveen los principales fabricantes de chips, podrían permitir que atacantes malintencionados accedan a información confidencial.

  • BeyondCorp o más allá de Google: una presentación del modelo que se desarrolló en Mountain View para que sus propios empleados pudieran acceder a sus recursos desde cualquier lugar, sin necesidad de una VPN (red privada virtual). Además, proxies de seguridad de escala global, autenticación Factor 2 resistente al phishing y refuerzos de seguridad para laptops, cada vez más disponibles para clientes de Google Cloud.

    En la misma conferencia, la proveedora de gestión de recursos Veolia expuso de qué manera desarrolló un modelo BeyondCorp en Google Cloud para sus 169.000 empleados en cinco continentes.

  • Protección de datos y cumplimiento de normativas: los usuarios de la nube, y especialmente los proveedores de servicios, se encuentran cada vez más sujetos a regulaciones y exigencias para la protección de datos como la GDPR. Afortunadamente, Google desarrolló herramientas para ayudarnos a cumplir con distintos tipos de obligaciones globales.

  • Proteger la nube propia con Verifiable Advanced Platform Security: una presentación en la cual su pudo descubrir de qué manera se evita que las cargas de trabajo que se ejecutan en Google Cloud Platform sean penetradas por boot-malware o rootkits de firmware.

 

Otras 31 sesiones de este Google Next Cloud '18 abordaron también diferentes aspectos de la seguridad en la nube y en G-Suite.

Sin embargo, el cúmulo de información que se vertió en el Google Cloud Next 18 es apenas la punta visible de un iceberg que atraviesa todas y cada una de las áreas de trabajo de Google y sus niveles operativos, sean físicos, intelectuales o puramente informáticos.

El modelo de seguridad de Google nació prácticamente al mismo tiempo que el buscador en la red con el que la compañía dio sus primeros pasos. Pero también es un proceso integral, que se ha cimentado en los diecinueve años que lleva la empresa protegiendo la seguridad de sus clientes en aplicaciones como Gmail, Google Search, Google Chrome y muchas más plataformas, aplicaciones, entornos y servicios.

Descarga la grabación de nuestra última conferencia online: 

"Desafíos del Retail: el diferencial de G Suite"

 

(*) El Reglamento General de Protección de Datos ─más conocido por sus siglas GDPR─ es la nueva ley de privacidad de la Unión Europea.Tiene como objetivo resolver discrepancias y dar coherencia a las disposiciones de diversos países respecto a normas de privacidad y protección de datos.Pero además, impacta directamente en la forma en que las empresas u otras organizaciones obtienen, utilizan y/o registran el consentimiento para recibir comunicaciones y almacenan los datos de ciudadanos de la UE.