Perspectivas de Google sobre seguridad y protección en Internet
El año pasado, el equipo Project Zero de Google descubrió graves fallos de seguridad causadas por la “ejecución especulativa”, una técnica utilizada por la mayoría de los procesadores modernos (CPU) para optimizar el rendimiento.
Queríamos informaros de cómo afectan los fallos de seguridad Meltdown y Spectre anunciadas estos últimos días en los servicios de Google Cloud Platform.
GCP como proveedor de nube pública, presta atención especial a los distintos aspectos en la seguridad de sus servicios, aplicando las mejores prácticas e investigando posibles vulnerabilidades para obtener soluciones lo antes posible.
¿Estoy protegido contra estas vulnerabilidades?
Los ingenieros de Google comenzaron a trabajar para proteger a sus clientes de estas vulnerabilidades desde Junio 2017 aplicando soluciones a todos los productos de Google y colaborando con la industria para ayudar a proteger a los usuarios.
G Suite y Google Cloud Platform (GCP) están actualizados contra todos los posibles ataques conocidos. Algún cliente puede estar preocupado porque no se les ha solicitado reiniciar sus instancias. La arquitectura de Google Cloud permite a Google actualizar los entornos proveyendo continuidad operacional a sus clientes mediante live migration permitiendo el parcheado sin requerir el reinicio por parte de los clientes.
Los clientes que utilizan sus sistemas operativos propios con los servicios de Google Cloud deben continuar siguiendo las buenas prácticas de seguridad y aplicar las actualizaciones de seguridad a sus imágenes como hacen para otras vulnerabilidades de sus sistemas operativos.
Desde Google se provee una referencia actualizada de parcheado para los sistemas operativos más frecuentes en la página GCE Security Bulletin.
¿Tengo que hacer algo?
Los usuarios de G Suite (Gmail, Calendar, Drive) no necesitan realizar ninguna acción.
En sistemas IaaS como está aconsejado en las buenas prácticas hay que mantener las imágenes de nuestros sistemas actualizadas al nivel de parcheado que podemos consultar en GCE Security Bulletin y realizar las siguientes acciones en función del servicio utilizado descrito en la siguiente página.
Los clientes de Google Cloud, G Suite y Chrome pueden visitar el blog Google Cloud para obtener detalles sobre esos productos.
Para obtener más detalles técnicos sobre este tema, lea Project Zero’s blog post.
Más información en: Google Security Blog.