Google Cloud NetApp Volumes proporciona una arquitectura segura en Google Cloud segmentando la gestión de servicios (plano de control) y el acceso a los datos (plano de datos) en diferentes extremos para que ninguno de ellos afecte al otro (consulte la sección "«Arquitectura de NetApp Volumes de Google Cloud»"). Utiliza el marco de trabajo de Google "acceso a servicios privados" (PSA) para proporcionar el servicio. Este marco distingue entre el productor de servicios, que proporciona y opera NetApp, y el consumidor de servicios, que es una nube privada virtual (VPC) en un proyecto de un cliente, donde se alojan los clientes que desean acceder a recursos compartidos de archivos de Google Cloud NetApp Volumes.

En esta arquitectura, los arrendatarios (consulte la sección "“Modelo de soporte”") se definen como proyectos de Google Cloud que están completamente aislados entre sí a menos que el usuario lo conecte explícitamente. Los inquilinos permiten el aislamiento completo de los volúmenes de datos, servicios de nombres externos y otras piezas esenciales de la solución con respecto a otros inquilinos que utilizan la plataforma de volúmenes Google Cloud NetApp Volumes. Como la plataforma de Google Cloud NetApp Volumes está conectada mediante entre iguales de VPC, ese aislamiento también se aplica a ella. Puede habilitar el uso compartido de volúmenes de Google Cloud NetApp Volumes entre varios proyectos mediante una VPC compartida (consulte la sección "“VPC compartidos”"). Puede aplicar controles de acceso a recursos compartidos de SMB y exportaciones de NFS para limitar quién o qué puede ver o modificar conjuntos de datos.

En el plano de control donde tiene lugar la configuración de volúmenes de Google Cloud NetApp, la gestión de identidades se gestiona "Gestión de acceso a identidades (IAM)" mediante . IAM es un servicio estándar que permite controlar la autenticación (inicios de sesión) y la autorización (permisos) de las instancias de proyectos de Google Cloud. Toda la configuración se realiza con las API de Google Cloud NetApp Volumes a través de un transporte HTTPS seguro mediante el cifrado TLS 1,2 y la autenticación se realiza mediante el uso de tokens JWT para mayor seguridad. La interfaz de usuario de la consola de Google para Google Cloud NetApp Volumes traduce las entradas de usuario a las llamadas de la API de Google Cloud NetApp Volumes.

Parte de la seguridad efectiva está limitando el número de superficies de ataque disponibles en un servicio. Las superficies de ataque pueden incluir diversas cosas, como datos en reposo, transferencias en tránsito, inicios de sesión y los propios conjuntos de datos.

Un servicio gestionado elimina algunas de las superficies de ataque de forma inherente en su diseño. La gestión de la infraestructura, tal y como se describe en la sección, la "“Funcionamiento de servicio”,"gestiona un equipo dedicado y se automatiza para reducir el número de veces que un ser humano realmente toca las configuraciones, lo que ayuda a reducir el número de errores intencionales y no intencionales. La conexión de red está cerrada de modo que solo los servicios necesarios puedan acceder los unos a los otros. El cifrado se incluye en el almacenamiento de datos y solo el plano de datos necesita atención de seguridad de los administradores de Google Cloud NetApp Volumes. Al ocultar la mayor parte de la gestión de una interfaz API, la seguridad se logra limitando las superficies de ataque.

Históricamente, la filosofía de seguridad DE TI ha sido confiar pero verificar, y se ha manifestado basándose únicamente en mecanismos externos (como firewalls y sistemas de detección de intrusiones) para mitigar las amenazas. Sin embargo, los ataques y las infracciones evolucionaron para evitar la verificación en entornos mediante el phishing, la ingeniería social, las amenazas internas y otros métodos que proporcionan la verificación para entrar en redes y causar estragos.

Zero Trust se ha convertido en una nueva metodología en seguridad, con el mantra actual “confiar en nada mientras sigue verificando todo”. Por lo tanto, no se permite el acceso predeterminado a nada. Este mantra se aplica de diversas maneras, incluidos los cortafuegos estándar y los sistemas de detección de intrusiones (IDS) y también con los siguientes métodos:

Los volúmenes de NetApp de Google Cloud que se ejecutan en Google Cloud se adhieren al modelo de confianza cero al implementar la postura de «no confiar en nada, verificar todo».

Cifrar datos en reposo (consulte la sección "“Cifrado de datos en reposo”") Mediante el uso de cifrados XTS-AES-256 con el cifrado de volúmenes de NetApp (NVE) y en tránsito con "“Cifrado SMB”" O soporte para NFS Kerberos 5p. Esté tranquilo sabiendo que las transferencias de replicación entre regiones están protegidas por cifrado TLS 1,2 (vea la sección link:ncvs-gc-security-considerations-and-attack-surfaces.html#Detección, prevención y mitigación de ransomware, malware y virus#replicación entre regiones[“Replicación entre regiones”]). Además, Google Networking también proporciona comunicaciones cifradas (consulte la sección "“Cifrado de datos en tránsito”") para una capa adicional de protección contra ataques. Para obtener más información sobre el cifrado de transporte, consulte la sección "“Red de Google Cloud”".

La seguridad no se trata sólo de la prevención de ataques. También se trata de cómo recuperamos los ataques cuando se producen. Esta estrategia incluye protección de datos y backups. Google Cloud NetApp Volumes proporciona métodos para replicar a otras regiones en caso de interrupciones del servicio (consulte la sección "“Replicación entre regiones”") o si un conjunto de datos está afectado por un ataque de ransomware. También puede realizar copias de seguridad asíncronas de los datos en ubicaciones fuera de la instancia de Google Cloud NetApp Volumes "Backup de Google Cloud NetApp Volumes"mediante el uso de . Con los backups periódicos, la mitigación de los eventos de seguridad puede llevar menos tiempo y ahorrar dinero y angustia para los administradores.

Además de la protección de datos y los backups, Google Cloud NetApp Volumes ofrece compatibilidad con copias Snapshot inmutables (consulte la sección "“Copias Snapshot inmutables”") de volúmenes que permiten recuperarse de ataques de ransomware (consulte la sección "“Funcionamiento de servicio”") en cuestión de segundos después de detectar el problema y con un nivel mínimo de interrupciones. El tiempo y los efectos de la recuperación dependen de la programación de la copia Snapshot, pero puede crear copias de SnapVault que proporcionen deltas de solo una hora en ataques de ransomware. Las copias Snapshot afectan al rendimiento y al uso de la capacidad y son un enfoque de bajo riesgo y gran recompensa para proteger sus conjuntos de datos.