Al diseñar e incorporar identidades en la nube, jerarquías de recursos y redes de zonas de destino, ten en cuenta las recomendaciones de diseño de Diseño de zonas de destino Google Cloud y las Google Cloud prácticas recomendadas de seguridad que se describen en la guía de aspectos básicos de seguridad para empresas. Valida el diseño seleccionado con los siguientes documentos:
- Prácticas recomendadas y arquitecturas de referencia para el diseño de VPCs
- Decide la jerarquía de recursos de tu Google Cloud zona de aterrizaje
- Google Cloud Framework Well-Architected: seguridad, privacidad y cumplimiento
Además, ten en cuenta las siguientes prácticas recomendadas generales:
Cuando elijas una opción de conectividad de red híbrida o multicloud, ten en cuenta los requisitos empresariales y de las aplicaciones, como los acuerdos de nivel de servicio, el rendimiento, la seguridad, el coste, la fiabilidad y el ancho de banda. Para obtener más información, consulta Elegir un producto de conectividad de red y Patrones para conectar otros proveedores de servicios en la nube con Google Cloud.
Usa VPCs compartidas en Google Cloud en lugar de varias VPCs cuando sea apropiado y se ajuste a los requisitos de tu diseño de jerarquía de recursos. Para obtener más información, consulta Decidir si crear varias redes de VPC.
Sigue las prácticas recomendadas para planificar cuentas y organizaciones.
Cuando proceda, establece una identidad común entre los entornos para que los sistemas puedan autenticarse de forma segura entre los límites de los entornos.
Para exponer aplicaciones de forma segura a los usuarios corporativos en una configuración híbrida y elegir el enfoque que mejor se adapte a tus requisitos, debes seguir las formas recomendadas de integrar Google Cloud tu sistema de gestión de identidades.
Al diseñar tus entornos on-premise y de nube, ten en cuenta las direcciones IPv6 desde el principio y determina qué servicios son compatibles con ellas. Para obtener más información, consulta Introducción a IPv6 en Google Cloud. Resume los servicios que se admitían cuando se escribió la entrada del blog.
Al diseñar, implementar y gestionar tus reglas de cortafuegos de VPC, puedes hacer lo siguiente:
- Usa el filtrado basado en cuentas de servicio en lugar del filtrado basado en etiquetas de red si necesitas controlar estrictamente cómo se aplican las reglas de cortafuegos a las VMs.
- Usa políticas de cortafuegos cuando agrupes varias reglas de cortafuegos para poder actualizarlas todas a la vez. También puedes hacer que la política sea jerárquica. Para consultar las especificaciones y los detalles de las políticas de cortafuegos jerárquicas, consulta el artículo Políticas de cortafuegos jerárquicas.
- Usa objetos de geolocalización en la política de cortafuegos cuando necesites filtrar el tráfico IPv4 externo e IPv6 externo en función de ubicaciones o regiones geográficas específicas.
- Usa Inteligencia contra amenazas para las reglas de políticas de cortafuegos si necesitas proteger tu red permitiendo o bloqueando el tráfico en función de los datos de inteligencia contra amenazas, como las direcciones IP maliciosas conocidas o los intervalos de direcciones IP de nubes públicas. Por ejemplo, puedes permitir el tráfico de intervalos de direcciones IP de nubes públicas específicas si tus servicios solo necesitan comunicarse con esa nube pública. Para obtener más información, consulta las prácticas recomendadas para las reglas de cortafuegos.
Siempre debes diseñar la seguridad de tu nube y tu red con un enfoque de seguridad por capas, teniendo en cuenta capas de seguridad adicionales, como las siguientes:
- Google Cloud Armor
- Sistema de Detección de Intrusos de Cloud
- IPS de Cloud Next Generation Firewall
- Inteligencia frente a amenazas para reglas de políticas de cortafuegos
Estas capas adicionales pueden ayudarte a filtrar, inspeccionar y monitorizar una amplia variedad de amenazas en las capas de red y de aplicación para analizarlas y prevenirlas.
Cuando decidas dónde se debe realizar la resolución de DNS en una configuración híbrida, te recomendamos que uses dos sistemas de DNS autoritativos para tu entorno privado y para tus recursos locales alojados en servidores DNS de tu entorno local.Google Cloud Para obtener más información, consulta Elegir dónde se realiza la resolución de DNS.
Siempre que sea posible, exponga las aplicaciones a través de APIs mediante una pasarela de APIs o un balanceador de carga. Te recomendamos que te plantees usar una plataforma de APIs como Apigee. Apigee actúa como una abstracción o una fachada para tus APIs de servicios de backend, combinada con funciones de seguridad, limitación de frecuencia, cuotas y analíticas.
Una plataforma de APIs (pasarela o proxy) y un balanceador de carga de aplicaciones no se excluyen mutuamente. A veces, usar tanto pasarelas de APIs como balanceadores de carga puede proporcionar una solución más sólida y segura para gestionar y distribuir el tráfico de APIs a gran escala. Con las pasarelas de API de Cloud Load Balancing, puedes hacer lo siguiente:
Ofrece APIs de alto rendimiento con Apigee y Cloud CDN para:
- Reducir la latencia
- Alojar APIs a nivel mundial
Aumentar la disponibilidad en las temporadas de mayor tráfico
Para obtener más información, consulta el vídeo Delivering high-performing APIs with Apigee and Cloud CDN (Ofrecer APIs de alto rendimiento con Apigee y Cloud CDN) en YouTube.
Implementa la gestión avanzada del tráfico.
Usa Cloud Armor como protección contra ataques DDoS, WAF y servicio de seguridad de red para proteger tus APIs.
Gestionar el balanceo de carga eficiente en las pasarelas de varias regiones. Para obtener más información, consulta el vídeo Securing APIs and Implementing multi-region failover with PSC and Apigee (Protección de APIs e implementación de conmutación por error multirregión con PSC y Apigee).
Para determinar qué producto de Cloud Load Balancing debes usar, primero debes determinar qué tipo de tráfico deben gestionar tus balanceadores de carga. Para obtener más información, consulta Elegir un balanceador de carga.
Cuando se usa Cloud Load Balancing, debes usar sus funciones de optimización de la capacidad de las aplicaciones cuando sea posible. De esta forma, podrás hacer frente a algunos de los problemas de capacidad que pueden surgir en las aplicaciones distribuidas a nivel mundial.
- Para obtener información detallada sobre la latencia, consulta el artículo Optimizar la latencia de las aplicaciones mediante el balanceo de carga.
Aunque Cloud VPN cifra el tráfico entre entornos, con Cloud Interconnect debes usar MACsec o una VPN de alta disponibilidad a través de Cloud Interconnect para cifrar el tráfico en tránsito en la capa de conectividad. Para obtener más información, consulta ¿Cómo puedo cifrar mi tráfico a través de Cloud Interconnect?
- También puedes usar el cifrado de la capa de servicio mediante TLS. Para obtener más información, consulta Decidir cómo cumplir los requisitos de cumplimiento para el cifrado en tránsito.
Si necesitas más volumen de tráfico a través de una conectividad híbrida de VPN del que puede admitir un solo túnel de VPN, puedes usar la opción de enrutamiento de VPN de alta disponibilidad activo/activo.
- Para configuraciones híbridas o multinube a largo plazo con volúmenes de transferencia de datos salientes elevados, plantéate usar Cloud Interconnect o Cross-Cloud Interconnect. Estas opciones de conectividad ayudan a optimizar el rendimiento de la conectividad y pueden reducir los cargos por transferencia de datos salientes del tráfico que cumpla determinadas condiciones. Para obtener más información, consulta los precios de Cloud Interconnect.
Cuando te conectes Google Cloud a recursos y tengas que elegir entre Cloud Interconnect, el emparejamiento directo o el emparejamiento mediante operador, te recomendamos que uses Cloud Interconnect, a menos que necesites acceder a aplicaciones de Google Workspace. Para obtener más información, puedes comparar las funciones de Emparejamiento directo con Cloud Interconnect y Emparejamiento mediante operador con Cloud Interconnect.
Asigna suficiente espacio de direcciones IP de tu espacio de direcciones IP RFC 1918 para alojar tus sistemas en la nube.
Si tienes restricciones técnicas que te obligan a mantener tu intervalo de direcciones IP, puedes hacer lo siguiente:
Usa las mismas direcciones IP internas para tus cargas de trabajo locales al migrarlas a Google Cloudmediante subredes híbridas.
Aprovisiona y usa tus propias direcciones IPv4 públicas para los Google Cloud recursos mediante la función Utiliza tu propia dirección IP (BYOIP) de Google.
Si el diseño de tu solución requiere exponer una aplicación basada enGoogle Clouda Internet, consulta las recomendaciones de diseño que se describen en el artículo Redes para la entrega de aplicaciones orientadas a Internet.
Cuando proceda, usa puntos finales de Private Service Connect para permitir que las cargas de trabajo de Google Cloud, on-premise o de otro entorno de nube con conectividad híbrida accedan de forma privada a las APIs de Google o a los servicios publicados mediante direcciones IP internas de forma granular.
Cuando uses Private Service Connect, debes controlar lo siguiente:
- Quién puede desplegar recursos de Private Service Connect.
- Si se pueden establecer conexiones entre consumidores y productores.
- Qué tráfico de red tiene permiso para acceder a esas conexiones.
Para obtener más información, consulta Seguridad de Private Service Connect.
Para conseguir una configuración de nube sólida en el contexto de una arquitectura híbrida y multinube, sigue estos pasos:
- Realizar una evaluación exhaustiva de los niveles de fiabilidad necesarios de las diferentes aplicaciones en los distintos entornos. De esta forma, puedes cumplir tus objetivos de disponibilidad y resiliencia.
- Conoce las funciones de fiabilidad y los principios de diseño de tu proveedor de la nube. Para obtener más información, consulta Google Cloud fiabilidad de la infraestructura.
La visibilidad y la monitorización de la red en la nube son fundamentales para mantener comunicaciones fiables. Network Intelligence Center ofrece una consola única para gestionar la visibilidad, la monitorización y la solución de problemas de la red.