- 5 minutos
- jul 23, 2025
Garantir a segurança no Google Cloud é uma necessidade crítica, especialmente quando o custo médio de uma violação de dados já ultrapassa os 4 milhões de dólares, segundo dados da IBM.
A plataforma é construída sobre uma infraestrutura robusta, mas opera em um Modelo de Responsabilidade Compartilhada: o Google protege a nuvem, mas é sua responsabilidade proteger o que você constrói na nuvem.
Sua empresa está cumprindo a sua parte do acordo? Para ajudar a responder a essa pergunta, preparamos um checklist prático e acionável, cobrindo os quatro pilares essenciais para garantir que seu ambiente esteja realmente protegido.
A primeira linha de defesa em qualquer ambiente de nuvem é a Gestão de Identidade e Acesso (IAM). A abordagem moderna para IAM é o Zero Trust (confiança zero), um modelo que o Google promove ativamente e que se baseia no princípio de “nunca confiar, sempre verificar”. Isso significa que nenhum usuário ou serviço é confiável por padrão, mesmo que esteja dentro da sua rede.
O Princípio do Menor Privilégio (PoLP) é simples em conceito, mas poderoso na prática: conceda a cada usuário ou serviço apenas as permissões estritamente necessárias para realizar seu trabalho, e nada mais. O erro mais comum é o uso excessivo dos papéis primitivos (Owner, Editor, Viewer), que são excessivamente amplos e perigosos. Um papel de “Editor”, por exemplo, pode apagar um banco de dados de produção por acidente.
A melhor prática é utilizar os papéis predefinidos do Google, que são mais granulares, ou criar papéis customizados para funções específicas. Por exemplo, um desenvolvedor que só precisa gerenciar instâncias de VM não precisa de permissões de Editor; um papel como “Compute Instance Admin (v1)” é muito mais seguro.
Para ir além, utilize o IAM Recommender, uma ferramenta do GCP que analisa o uso de permissões e sugere automaticamente a remoção de privilégios excessivos.
A Autenticação Multifator (MFA) adiciona uma camada crítica de segurança ao exigir uma segunda forma de verificação além da senha, como um código gerado por um aplicativo (Google Authenticator) ou uma chave de segurança física (YubiKey).
Mesmo que uma senha seja comprometida, o MFA impede o acesso não autorizado. É indispensável que o MFA seja obrigatório para todas as contas que acessam seu ambiente GCP, com ênfase especial nas contas de administrador, de faturamento e de desenvolvedores com acesso a ambientes de produção.
Contas de Serviço são identidades não humanas usadas por aplicações e VMs para interagir com as APIs do Google Cloud. Suas chaves, se vazadas, representam um risco de segurança imenso, pois não expiram e podem ser usadas de qualquer lugar.
A melhor prática é evitar a criação de chaves sempre que possível, vinculando papéis diretamente à conta de serviço. Para interações com sistemas fora do GCP, utilize o Workload Identity Federation, que permite que aplicações externas se autentiquem usando suas identidades nativas (AWS, Azure AD etc.) sem a necessidade de uma chave de longa duração.
Se as chaves forem inevitáveis, garanta que elas sejam rotacionadas periodicamente e que cada conta de serviço siga o Princípio do Menor Privilégio.
Proteger a comunicação entre seus recursos e com a internet é fundamental para evitar ataques e vazamento de dados.
A prática mais segura é começar com uma regra de firewall que nega todo o tráfego de entrada (deny-all ingress) e, a partir daí, liberar apenas o que é estritamente necessário.
Em vez de abrir a porta 22 (SSH) para o mundo (0.0.0.0/0), libere-a apenas para um range de IPs específico da sua empresa ou, melhor ainda, use o Identity-Aware Proxy (IAP) para acesso sem expor a porta.
Para uma aplicação web, libere a porta 443 (HTTPS) apenas para o tráfego vindo do seu Load Balancer. Utilize tags de rede para aplicar essas regras de forma escalável a grupos de VMs.
Pense no VPC Service Controls como um perímetro de segurança virtual ou um muro em volta dos seus projetos e serviços Google mais críticos. Ele previne o vazamento de dados (data exfiltration) ao impedir que serviços dentro do perímetro se comuniquem com serviços fora dele.
Por exemplo, você pode criar uma regra que impede que uma VM comprometida dentro do seu perímetro copie dados de um bucket do Cloud Storage para a internet pública ou para um projeto GCP não autorizado. Utilize o modo “dry run” para testar as políticas antes de aplicá-las e evitar a interrupção de serviços legítimos.
O Cloud Armor é o Web Application Firewall (WAF) e a solução de defesa contra ataques de negação de serviço (DDoS) do Google. Se você tem qualquer aplicação web exposta na internet, a implementação do Cloud Armor na frente do seu Load Balancer é essencial.
Ele oferece proteção contra ataques volumétricos e ataques comuns da camada de aplicação listados no OWASP Top 10, como injeção de SQL e cross-site scripting (XSS). Além disso, sua funcionalidade de Proteção Adaptativa usa Machine Learning para detectar e bloquear ataques complexos e de dia zero.
Garantir a confidencialidade e a integridade dos seus dados é o objetivo final de qualquer estratégia de segurança.
O Google Cloud criptografa todos os dados em repouso e em trânsito por padrão, sem que você precise fazer nada. Isso já oferece um nível de segurança altíssimo.
No entanto, para empresas com requisitos de conformidade rigorosos que precisam de controle total sobre suas chaves de criptografia, o Google oferece o Cloud KMS (Key Management Service).
Com ele, você pode usar chaves gerenciadas pelo cliente (CMEK – Customer-Managed Encryption Keys) ou até mesmo chaves fornecidas pelo cliente (CSEK – Customer-Supplied Encryption Keys) para ter a certeza de que apenas você pode descriptografar seus dados.
O Cloud Data Loss Prevention (DLP) é uma ferramenta poderosa para descobrir, classificar e proteger dados sensíveis que possam estar armazenados no seu ambiente.
Você pode usá-lo para escanear buckets do Cloud Storage, bancos de dados ou até mesmo o tráfego de rede em busca de informações como CPFs, RGs, números de cartão de crédito ou dados de saúde.
Uma vez identificados, o DLP pode aplicar ações como mascaramento (redaction) ou tokenização, uma prática fundamental para garantir a conformidade com a LGPD e minimizar o impacto de um possível vazamento.
Você não pode proteger o que não pode ver. Ter visibilidade completa sobre o que acontece no seu ambiente é importante para detectar e responder a ameaças rapidamente.
A regra de ouro do monitoramento é: registre tudo. No GCP, isso significa ativar os Logs de Auditoria (Admin Activity, Data Access, System Event) para todos os serviços.
O Cloud Logging centraliza esses registros, mas para análises de longo prazo e investigações complexas, a melhor prática é configurar a exportação dos logs (log sink) para o BigQuery. Nele, você pode realizar consultas poderosas e reter os dados por períodos mais longos para fins de conformidade.
O Security Command Center (SCC) é o seu painel de controle centralizado para a postura de segurança de todo o seu ambiente GCP. Ele realiza um inventário de todos os seus ativos, identifica vulnerabilidades, aponta falhas de configuração e agrega alertas de diversas fontes.
É altamente recomendável ativar o nível Premium do SCC para ter acesso a recursos avançados como detecção de ameaças em tempo real, verificação de vulnerabilidades em contêineres e o Web Security Scanner.
Registrar eventos não é suficiente; você precisa ser notificado em tempo real sobre atividades críticas.
Usando o Cloud Monitoring, configure alertas para eventos de alto risco. Por exemplo, múltiplas tentativas de login mal-sucedidas em uma conta de administrador; a criação de um novo usuário com privilégios de “Owner”; a desativação de logs de auditoria; a criação de uma chave de conta de serviço ou a criação de uma regra de firewall que abre uma porta perigosa para toda a internet.
Este checklist cobre os pilares essenciais da segurança no Google Cloud: IAM, rede, dados e monitoramento. No entanto, a segurança na nuvem não é algo que se configura uma vez e se esquece. Ela exige um ciclo contínuo de prevenção, detecção, resposta e remediação.
A segurança é um processo de vigilância e otimização constantes para se adaptar a novas ameaças e ao crescimento do seu ambiente.
Seu ambiente passou em todos os itens do checklist? Se você encontrou lacunas ou precisa de ajuda para implementar essas melhores práticas, a SantoDigital pode ajudar. Como parceiros premiados do Google Cloud, nossos especialistas garantem que sua empresa opere com a máxima segurança e conformidade.
Sim, o Google Cloud é considerado uma das plataformas de nuvem mais seguras do mundo. No entanto, a segurança opera em um Modelo de Responsabilidade Compartilhada. Isso significa que o Google é responsável pela segurança da nuvem, enquanto você, o cliente, é responsável pela segurança na nuvem.
Segurança em cloud é o conjunto de tecnologias, políticas e processos projetados para proteger dados, aplicações e a infraestrutura hospedados em ambientes de nuvem. Seu objetivo é proteger contra ameaças externas e internas, prevenir o acesso não autorizado e garantir a conformidade regulatória.
Crédito da imagem: Freepik
Newsletter Com a newsletter da SantoDigital, você estará sempre um passo à frente, pronto para elevar seu negócio com o poder da inovação digital.
Estratégias vencedoras 
Insights do universo da tecnologia 
Soluções transformadoras 
