En este documento de Framework de la arquitectura de Google Cloud, se proporcionan prácticas recomendadas para proteger la red.
Extender la red existente para incluir entornos de nube tiene muchas implicaciones de seguridad. Es probable que tu enfoque local para las defensas de varias capas incluya un perímetro distinto entre Internet y la red interna. Es probable que protejas el perímetro a través de mecanismos como firewalls físicos, routers y sistemas de detección de intrusiones. Debido a que el límite está definido con claridad, puedes supervisar las intrusiones y responder en consecuencia.
Cuando migras a la nube (ya sea por completo o de forma híbrida), vas más allá del perímetro local. En este documento, se describen las formas en que puedes continuar protegiendo los datos y las cargas de trabajo de tu organización en Google Cloud. Como se mencionó en Administra riesgos con controles, la forma en que configuras y proteges tu red de Google Cloud depende de los requisitos de la empresa y el acierto.
En esta sección, suponemos que ya leíste la sección Herramientas de redes de la categoría Diseño del sistema y que ya creaste un diagrama de arquitectura básico de tus componentes de red de Google Cloud Para ver un diagrama de ejemplo, consulta Concentrador y radio.
Implementa redes de confianza cero
Migrar a la nube significa que tu modelo de confianza de red debe cambiar. Debido a que tus usuarios y tus cargas de trabajo ya no están detrás del perímetro local, no puedes usar protecciones perimetrales de la misma manera para crear una red interna confiable. El modelo de seguridad de confianza cero significa que nadie es confiable de manera predeterminada, ya sea que estén dentro o fuera de la red de tu organización. Cuando verificas las solicitudes de acceso, el modelo de seguridad de confianza cero requiere que verifiques la identidad y el contexto del usuario. A diferencia de una VPN, debes cambiar los controles de acceso del perímetro de la red a los usuarios y los dispositivos.
En Google Cloud, puedes usar BeyondCorp Enterprise como tu solución de confianza cero. BeyondCorp Enterprise proporciona protección contra amenazas y datos y controles de acceso adicionales. Si deseas obtener más información para configurarla, consulta Comienza a usar BeyondCorp Enterprise.
Además de BeyondCorp Enterprise, Google Cloud incluye Identity-Aware Proxy (IAP). IAP te permite extender la seguridad de confianza cero a tus aplicaciones dentro de Google Cloud y de forma local. IAP usa políticas de control de acceso para proporcionar autenticación y autorización a los usuarios que acceden a tus aplicaciones y recursos.
Asegura las conexiones a los entornos locales o de múltiples nubes
Muchas organizaciones tienen cargas de trabajo en entornos de nube y de forma local. Además, para la resiliencia, algunas organizaciones usan soluciones de múltiples nubes. En estos casos, es fundamental proteger la conectividad entre todos los entornos.
Google Cloud incluye lo siguiente: Métodos de acceso privado a VM compatibles con Cloud VPN o Cloud Interconnect, incluidos los siguientes:
- Usa Cross‐Cloud Interconnect como servicio administrado para vincular tus redes de VPC a otros proveedores de servicios en la nube compatibles mediante conexiones directas de alta velocidad. Con Cross-Cloud Interconnect, no tienes que proporcionar tu propio router ni trabajar con un proveedor externo.
- Usa la interconexión dedicada y la interconexión de socio para vincular tus redes de VPC a tu centro de datos local o a otros proveedores de servicios en la nube mediante conexiones directas de alta velocidad.
- Usa las VPN con IPsec para vincular tus redes de nube privada virtual (VPC) a tu centro de datos local o a otros proveedores de servicios en la nube.
- Usa extremos de Private Service Connect para acceder a los servicios publicados que proporciona tu organización o algún otro proveedor.
- Usa extremos de Private Service Connect para permitir que tus VMs accedan a las API de Google mediante direcciones IP internas. Con Private Service Connect, las VMs no tienen que tener direcciones IP externas para acceder a los servicios de Google.
- Si usas GKE Enterprise, considera las puertas de enlace de salida de Anthos Service Mesh. Si no usas GKE Enterprise, usa una opción de terceros.
Para obtener una comparación entre los productos, consulta Elige un producto de Conectividad de red.
Inhabilita las redes predeterminadas
Cuando creas un proyecto de Google Cloud nuevo, una red VPC de Google Cloud predeterminada con direcciones IP de modo automático y las reglas de firewall prepropagadas se aprovisionan de forma automática. Para las implementaciones de producción, te recomendamos borrar las redes predeterminadas en los proyectos existentes y, luego, inhabilitar la creación de las redes predeterminadas en proyectos nuevos.
Las redes de nube privada virtual te permiten usar cualquier dirección IP interna. Para evitar conflictos de direcciones IP, te recomendamos que primero planifiques la asignación de redes y direcciones IP en tus implementaciones conectadas y en tus proyectos. Un proyecto permite varias redes de VPC, pero, por lo general, se recomienda limitar estas redes a una por proyecto para aplicar el control de acceso de manera efectiva.
Protege el perímetro
En Google Cloud, puedes usar varios métodos para segmentar y proteger el perímetro de nube, incluidos los firewalls y los Controles del servicio de VPC.
Usa la VPC compartida para compilar una implementación de producción que te proporcione una sola red compartida y que aísle las cargas de trabajo en proyectos individuales que pueden administrar diferentes equipos. La VPC compartida proporciona implementación, administración y control centralizados de los recursos de red y seguridad de la red en varios proyectos. La VPC compartida consiste en proyectos host y de servicio que realizan las siguientes funciones:
- Un proyecto host contiene las redes y los recursos relacionados con la seguridad de la red, como redes de VPC, subredes, reglas de firewall y conectividad híbrida.
- Un proyecto de servicio se conecta con un proyecto host. Te permite aislar las cargas de trabajo y los usuarios a nivel de proyecto mediante Identity and Access Management (IAM), mientras comparte los recursos de red desde el proyecto host administrado de forma central.
Define políticas y reglas de firewall a nivel de organización, carpeta y red de VPC. Puedes configurar reglas de firewall para permitir o denegar tráfico hacia o desde las instancias de VM. Para ver ejemplos, consulta Ejemplos de políticas de firewall de red globales y regionales y Ejemplos de políticas de firewall jerárquicas. Además de definir reglas según las direcciones IP, los protocolos y los puertos, puedes administrar el tráfico y aplicar las reglas de firewall según la cuenta de servicio que usa una instancia de VM o mediante etiquetas seguras.
Para controlar el movimiento de datos en los servicios de Google y configurar la seguridad perimetral basada en el contexto, considera los Controles del servicio de VPC. Los Controles del servicio de VPC proporcionan una capa adicional de seguridad para los servicios de Google Cloud que es independiente de las políticas y reglas de firewall de IAM y firewall. Por ejemplo, los Controles del servicio de VPC te permiten configurar perímetros entre datos confidenciales y no confidenciales para que puedas aplicar controles que eviten el robo de datos.
Usa las políticas de seguridad de Google Cloud Armor para permitir, denegar, o redireccionar las solicitudes al balanceador de cargas de aplicaciones externo en el perímetro de Google Cloud, lo más cerca posible de la fuente del tráfico entrante. Estas políticas evitan que el tráfico no deseado consuma recursos o ingrese a tu red.
Usa el proxy web seguro para aplicar políticas de acceso detalladas a tu tráfico web de salida y supervisar el acceso a los servicios web que no son de confianza.
Inspecciona el tráfico de red
Puedes usar el Sistema de detección de intrusiones de Cloud (IDS de Cloud) y la Duplicación de paquetes para garantizar la seguridad y el cumplimiento de las cargas de trabajo que se ejecutan en Compute Engine y Google Kubernetes Engine (GKE).
Usa el IDS de Cloud para obtener visibilidad del tráfico que entra y sale de tus redes de VPC. En IDS de Cloud, se crea una red de intercambio de tráfico administrada por Google que tiene VM duplicadas. Las tecnologías de protección contra amenazas de Palo Alto Networks duplican e inspeccionan el tráfico. Para obtener más información, consulta Descripción general de IDS de Cloud.
La Duplicación de paquetes clona el tráfico de las instancias de VM especificadas en tu red de VPC y las reenvía para su recopilación, retención y análisis. Después de configurar la Duplicación de paquetes, puedes usar el IDS de Cloud o herramientas de terceros para recopilar e inspeccionar el tráfico de red a gran escala. Inspeccionar el tráfico de red de esta manera ayuda a proporcionar detección de intrusiones y supervisión del rendimiento de la aplicación.
Usa un firewall de aplicación web
Para aplicaciones y servicios web externos, puedes habilitar Google Cloud Armor a fin de proporcionar protección contra la denegación de servicio distribuido (DSD) y capacidades de firewall de aplicación web (WAF). Google Cloud Armor admite las cargas de trabajo de Google Cloud que se exponen mediante el balanceo de cargas de HTTP(S) externo, el balanceo de cargas de proxy TCP o el proxy SSL.
Google Cloud Armor se ofrece en dos niveles de servicio: Standard y Managed Protection Plus. Para aprovechar al máximo las capacidades avanzadas de Google Cloud Armor, debes invertir en Managed Protection Plus en tus cargas de trabajo clave.
Automatiza el aprovisionamiento de infraestructura
La automatización te permite crear una infraestructura inmutable, lo que significa que no se puede cambiar después del aprovisionamiento. Esta medida le brinda a tu equipo de operaciones un estado bueno conocido, una reversión rápida y funciones de solución de problemas. Para la automatización, puedes usar herramientas como Terraform, Jenkins y Cloud Build.
Para ayudarte a compilar un entorno que use la automatización, Google Cloud proporciona una serie de planos de seguridad que, a su vez, se basan en el plano de basees empresariales.. El plano de la base de seguridad proporciona el diseño bien definido de Google para un entorno de aplicación seguro y describe paso a paso cómo configurar e implementar tu propiedad de Google Cloud. Con las instrucciones y las secuencias de comandos que forman parte del plano de base de seguridad, puedes configurar un entorno que cumpla con nuestros lineamientos y prácticas recomendadas de seguridad. Puedes desarrollar ese plano con planos adicionales o diseñar tu propia automatización.
Si deseas obtener más información sobre la automatización, consulta Usa una canalización de CI/CD para flujos de trabajo de procesamiento de datos.
Supervisa tu red
Supervisa tu red y el tráfico mediante telemetría
Los registros de flujo de VPC y los registros de reglas de firewall proporcionan visibilidad casi en tiempo real del tráfico y el uso de firewall en el entorno de Google Cloud. Por ejemplo, el registro de reglas de firewall registra el tráfico desde y hacia las instancias de VM de Compute Engine. Cuando combinas estas herramientas con Cloud Logging y Cloud Monitoring, puedes hacer un seguimiento, alertar y visualizar el tráfico y patrones de acceso para mejorar la seguridad operativa de tu implementación.
Estadísticas de firewall te permite revisar qué reglas de firewall coincidieron con las conexiones entrantes y salientes, y si las conexiones se permitieron o se rechazaron. La función de reglas bloqueadas te ayuda a ajustar la configuración del firewall, ya que te muestra qué reglas nunca se activan porque otra regla siempre se activa primero.
Usa Network Intelligence Center para consultar el rendimiento de tu arquitectura y tu topología de red. Puedes obtener estadísticas detalladas sobre el rendimiento de la red y, luego, optimizar la implementación para eliminar los cuellos de botella en el servicio. Las pruebas de conectividad te proporcionan estadísticas sobre las reglas de firewall y las políticas que se aplican a la ruta de red.
Para obtener más información sobre la supervisión, consulta Implementa controles de registro y detección.
¿Qué sigue?
Obtén más información sobre la seguridad de red con los siguientes recursos:
- Implementa la seguridad de los datos (siguiente documento de esta serie).
- Prácticas recomendadas y arquitecturas de referencia para el diseño de VPC
- Funciones de IAM para administrar los Controles del servicio de VPC
- Integración como socio de Security Command Center
- Visualización de vulnerabilidades y amenazas en Security Command Center
- Packet Mirroring: Visualize and protect your cloud network (Duplicación de paquetes: Visualiza y protege tu red en la nube)
- Usa la Duplicación de paquetes para detectar intrusiones
- Usa la Duplicación de paquetes de VPC con una solución de IDS de socio