Migración a Google Cloud: construye tu base

En este documento, encontrarás ayuda a fin de crear la infraestructura de nube básica para tus cargas de trabajo. También encontrarás ayuda para planificar cómo esta infraestructura admite tus aplicaciones. Esta planificación incluye la administración de identidades, organización y estructura de proyectos, y las Herramientas de redes.

Este documento pertenece a una serie de varias partes sobre la migración a Google Cloud. Si te interesa ver una descripción general de la serie, consulta Migración a Google Cloud: Elige tu ruta de migración.

Este documento forma parte de una serie:

En el siguiente diagrama, se ilustra la ruta del recorrido de tu migración.

Ruta de migración con cuatro fases

Este documento es útil si planificas una migración desde un entorno local, un entorno de hosting privado o algún otro proveedor de servicios en la nube a Google Cloud, o si evalúas la posibilidad de migrar y deseas explorar cómo podría ser. La lista de tareas de integración empresarial y este documento pueden ayudarte a comprender los productos, los servicios y las opciones disponibles para construir tu base en Google Cloud.

Cuando planificas la migración a Google Cloud, debes comprender una variedad de temas y conceptos relacionados con la arquitectura en la nube. Una base mal planificada puede causar demoras, confusión y tiempo de inactividad en el negocio, y puede poner en riesgo el éxito de la migración a la nube. En esta guía, se proporciona una descripción general de los conceptos base y los puntos de decisión de Google Cloud.

En cada sección de este documento, se presentan preguntas que debes hacer y responder para tu organización antes de crear la base en Google Cloud. Estas preguntas no son exhaustivas; su objetivo es facilitar la conversación entre los equipos de arquitectura y los líderes empresariales sobre lo que es adecuado para tu organización. Los planes de infraestructura, herramientas, seguridad y administración de cuentas son únicos para la empresa y necesitan una consideración exhaustiva. Cuando termines este documento y respondas las preguntas sobre la organización, estarás listo para comenzar la planificación formal de la infraestructura de nube y los servicios que admiten la migración a Google Cloud.

Consideraciones empresariales

Considera las siguientes preguntas para la organización:

  • ¿Qué responsabilidades de TI pueden cambiar entre tú y el proveedor de infraestructura cuando te traslades a Google Cloud?
  • ¿Cómo puedes satisfacer tus necesidades de cumplimiento normativo (por ejemplo, HIPAA o GDPR) durante la migración a Google Cloud y después de ella?
  • ¿Cómo puedes controlar dónde se almacenan y se procesan tus datos de acuerdo con sus requisitos de residencia?

Modelo de responsabilidad compartida

Las responsabilidades compartidas entre tú y Google Cloud pueden ser diferentes de las que estás acostumbrado y debes comprender sus implicaciones para la empresa. Los procesos que implementaste antes para aprovisionar, configurar y consumir recursos podrían cambiar.

Revisa las Condiciones del Servicio y el modelo de seguridad de Google para obtener una descripción general de la relación contractual entre tu organización y Google, y las implicaciones de usar un proveedor de servicios en la nube público.

Cumplimiento, seguridad y privacidad

Muchas organizaciones tienen requisitos de cumplimiento relacionados con los estándares, las normativas y las certificaciones industriales y gubernamentales. Muchas cargas de trabajo empresariales están sujetas a escrutinio regulatorio y pueden requerir certificaciones de cumplimiento por tu parte y el proveedor de servicios en la nube. Si tu empresa está regulada por HIPAA o HITECH, asegúrate de comprender tus responsabilidades y qué servicios de Google Cloud están regulados. Para obtener información sobre las certificaciones y los estándares de cumplimiento de Google Cloud, consulta el Centro de recursos de cumplimiento. Para obtener más información sobre las normativas específicas de cada región o sector, consulta Google Cloud y el Reglamento General de Protección de Datos (GDPR).

La confianza y la seguridad son importantes para todas las organizaciones. Google Cloud implementa un modelo de seguridad compartida para muchos servicios, como el modelo de seguridad compartida para Google Kubernetes Engine y la matriz de responsabilidad compartida para PCI. DSS.]

Los principios de confianza de Google Cloud pueden ayudarte a comprender nuestro compromiso con la protección de la privacidad de tus datos y los de tus clientes. Para obtener más información sobre el enfoque de diseño de seguridad y privacidad de Google, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Consideraciones sobre la residencia de los datos

La geografía también puede ser una consideración importante para el cumplimiento. Asegúrate de comprender los requisitos de residencia de datos y de aplicar políticas para implementar cargas de trabajo en regiones nuevas a fin de controlar dónde se almacenan y procesan tus datos. Comprende cómo usar las restricciones de ubicación de recursos para garantizar que tus cargas de trabajo solo se puedan implementar en regiones aprobadas con anterioridad. Debes tener en cuenta la regionalidad de los diferentes servicios de Google Cloud cuando elijas el destino de implementación para las cargas de trabajo. Asegúrate de comprender los requisitos de cumplimiento normativo y cómo implementar una estrategia de administración que te ayude a garantizar el cumplimiento.

Jerarquía de recursos

Considera las siguientes preguntas para la organización:

  • ¿Cómo se asignan las estructuras empresariales y organizativas existentes a Google Cloud?
  • ¿Con qué frecuencia esperas cambios en la jerarquía de recursos?
  • ¿Cómo afectan las cuotas de los proyectos a tu capacidad para crear recursos en la nube?
  • ¿Cómo puedes incorporar las implementaciones de nube existentes con las cargas de trabajo migradas?
  • ¿Cuáles son las prácticas recomendadas para administrar varios equipos que trabajan en simultáneo en varios proyectos de Google Cloud?

Los procesos empresariales, líneas de comunicación y estructura de informes actuales se reflejan en el diseño de la jerarquía de recursos de Google Cloud. La jerarquía de recursos proporciona la estructura necesaria al entorno de nube, determina la forma en que se te factura el consumo de recursos y establece un modelo de seguridad para otorgar funciones y permisos. Debes comprender cómo se implementan estas facetas en la empresa hoy y planificar cómo migrar estos procesos a Google Cloud.

Comprende los recursos de Google Cloud

Los recursos son los componentes fundamentales que conforman todos los servicios de Google Cloud. El recurso de organización es la cima de la jerarquía de recursos de Google Cloud. Todos los recursos que pertenecen a una organización se agrupan en el nodo de la organización. Esta estructura proporciona visibilidad central y control sobre cada recurso que pertenece a una organización.

Una organización puede contener una o más carpetas, y cada carpeta puede contener uno o más proyectos. Puedes usar carpetas para agrupar proyectos relacionados.

Los proyectos de Cloud contienen recursos de servicio, como máquinas virtuales (VM) de Compute Engine, temas de Pub/Sub, depósitos de Cloud Storage, extremos de Cloud VPN y otros servicios de Google Cloud. Puedes crear recursos mediante Cloud Console, Cloud Shell o las API de Cloud. Si esperas cambios frecuentes en el entorno, considera adoptar un enfoque de infraestructura como código (IaC) para optimizar la administración de recursos.

Administra tus proyectos de Cloud

Google Cloud aplica cuotas de uso de recursos por cada proyecto. Estas cuotas establecen un límite en la cantidad de un recurso en particular de Google Cloud que puede usar tu proyecto. La administración de cuotas es fundamental para cualquier migración a Google Cloud, por lo que debes incorporar una planificación de cuotas detallada en tu estrategia de migración.

Además, las cuotas son una característica de los proyectos de Cloud en la jerarquía de recursos. Cuando planificas la base de Google Cloud, tener más proyectos puede ayudarte a administrar mejor tus cuotas. Por ejemplo, revisa la documentación de las cuotas de recursos de la nube privada virtual (VPC) para comprender mejor la implicación de la cuota de la elección de una VPC estándar o VPC compartida.

Revisa las prácticas recomendadas para organizaciones empresariales a fin de obtener ayuda para planificar la jerarquía de recursos de Google Cloud y otros temas fundamentales. Si ya trabajas en Google Cloud y creaste proyectos independientes como pruebas o pruebas de concepto, puedes migrar proyectos de Cloud existentes a tu organización.

Administración de identidades y accesos

Considera las siguientes preguntas para la organización:

  • ¿Quién controlará, administrará y auditará el acceso a los recursos de Google Cloud?
  • ¿Cómo cambiarán las políticas de seguridad y acceso existentes cuando migres a Google Cloud?
  • ¿Cómo permitirás que los usuarios y las apps interactúen de forma segura con los servicios de Google Cloud?

La administración de identidades y accesos (IAM) te permite otorgar acceso detallado a los recursos de Google Cloud. Cloud Identity es un servicio independiente, pero relacionado, que puede ayudarte a migrar y administrar las identidades. A grandes rasgos, comprender cómo quieres administrar el acceso a tus recursos de Google Cloud es la base sobre cómo aprovisionar, configurar y mantener IAM.

Comprende las identidades

Google Cloud usa identidades para la autenticación y la administración de accesos. Para acceder a cualquier recurso de Google Cloud, un miembro de la organización debe tener una identidad que Google Cloud pueda comprender. Cloud Identity es una plataforma de identidad como servicio (IDaaS) que te permite administrar de forma centralizada los usuarios y grupos que pueden acceder a los recursos de Google Cloud. Si configuras los usuarios en Cloud Identity, puedes configurar el inicio de sesión único (SSO) con miles de aplicaciones de software como servicio (SaaS) de terceros. La forma en que configuras Cloud Identity depende de cómo administras las identidades en este momento. Existen tres formas comunes de configurar identidades en Google Cloud:

  • Administrar identidades directamente en Google Cloud
  • Usar tus cuentas existentes de Google Workspace
  • Usar un proveedor de identidad (IdP) existente

Si deseas administrar las identidades directamente en Google Cloud, puedes usar Cloud Identity sin ningún IdP existente. Si eres cliente de Google Workspace, puedes usar la misma identidad que usas para las apps de Google Workspace a fin de autenticar usuarios corporativos en un entorno híbrido. Si ya tienes un IdP dentro de la organización, puedes usar el IdP existente con Google Cloud.

Migra identidades

Si ya tienes un IdP en el entorno actual, la federación de identidades te permite seguir administrando identidades en tu IdP actual y admitir SSO. Los departamentos de TI empresariales a menudo dependen de los servicios de directorio existentes para administrar las cuentas de usuario y controlar el acceso a las aplicaciones y los recursos de procesamiento.

La federación funciona mediante la sincronización de las identidades de tu IdP actual a Google Cloud y la delegación de la autenticación al IdP existente. Este tipo de configuración significa que los usuarios solo acceden una vez y, como ya se autenticaron en el sistema, estos usuarios también pueden acceder a los recursos de Google Cloud mediante la federación de identidad.

Con Google Cloud Directory Sync, puedes sincronizar las identidades y los grupos del Protocolo ligero de acceso a directorios (LDAP) con Google Cloud. Google Cloud Directory Sync se comunica con Identity Platform mediante conexiones seguras y, por lo general, se ejecuta en el entorno de computación existente.

Comprende la administración de acceso

El modelo para administrar el acceso consta de cuatro conceptos básicos:

  • Miembro: Puede ser un usuario de Google, una cuenta de servicio (para productos de Google Cloud), un Grupo de Google, o una cuenta de Cloud Identity o Google Workspace que pueda acceder a un recurso. Los miembros no pueden realizar ninguna acción que no estén autorizados a realizar.
  • Función: Es una colección de permisos.
  • Permiso: Determina qué operaciones están permitidas en un recurso. Cuando otorgas una función a un miembro, le otorgas todos los permisos que la función contiene.
  • Política de IAM: Vincula un conjunto de miembros a una función. Cuando deseas definir qué miembros tienen acceso a un recurso, debes crear una política y adjuntarla al recurso.

La configuración adecuada y la administración eficaz de los miembros, las funciones y los permisos son la base de tu posición de seguridad en Google Cloud. La administración de acceso te ayuda a protegerte del uso interno inadecuado y de los intentos externos de acceso no autorizado a tus recursos.

Comprende el acceso a las aplicaciones

Además de los usuarios y grupos, existe otro tipo de identidad conocida como cuenta de servicio. Una cuenta de servicio es una identidad que los programas y servicios pueden usar para autenticar los recursos de Google Cloud y obtener acceso a ellos.

Las cuentas de servicio son administradas por el usuario o Google. Las cuentas de servicio administradas por el usuario incluyen las cuentas de servicio que creas y administras de forma explícita con la IAM, así como la cuenta de servicio predeterminada de Compute Engine que está integrada en todos los proyectos de Cloud. Las cuentas de servicio administradas por Google se crean de forma automática y ejecutan procesos internos de Google en tu nombre.

Cuando usas cuentas de servicio, es importante comprender las credenciales predeterminadas de la aplicación y seguir nuestras prácticas recomendadas para las cuentas de servicio a fin de evitar exponer tus recursos a riesgos innecesarios. Los riesgos más comunes implican la elevación de privilegios o la eliminación accidental de una cuenta de servicio en la que se basa una aplicación vital.

Sigue las recomendaciones

La configuración correcta de IAM puede ayudarte a registrar y auditar cualquier acción que realicen tus usuarios. Asegúrate de comprender las funciones y los permisos, y otorga funciones según el principio de privilegio mínimo. Consulta recomendaciones de las funciones de IAM de forma periódica para identificar los permisos otorgados en exceso a los usuarios de IAM.

Cuando diseñes tus políticas de IAM, evita los errores comunes. Recuerda que una política establecida en un recurso secundario no puede restringir el acceso otorgado en su superior. Verifica la política otorgada en cada recurso y asegúrate de comprender la herencia jerárquica. Conoce cuándo usar funciones básicas, predefinidas y personalizadas, restricciones de políticas de la organización y cómo probar los permisos. Las prácticas recomendadas de IAM también pueden ayudar a explicar los patrones de implementación comunes.

Trata cada componente de tu aplicación como un límite de confianza separado. Si tienes varios servicios que requieren permisos diferentes, crea una cuenta de servicio separada para cada uno de ellos y, luego, otorga solo los permisos necesarios a cada cuenta de servicio. Aplica la autenticación de varios factores para tus cuentas de usuario y ayuda a garantizar el acceso seguro desde dispositivos móviles. Google codificó su principio de menor privilegio y su concepto de seguridad de confianza cero en un nuevo modelo de seguridad empresarial llamado BeyondCorp.

Facturación

Considera las siguientes preguntas para la organización:

  • ¿Cómo cambiarán o se adaptarán los métodos de seguimiento financieros a Facturación de Cloud?
  • ¿A dónde se enviará la factura y cuáles son las opciones de pago?
  • ¿De qué manera el modelo de facturación prepago cambia la forma de asignar capital y obtener servicios de TI?
  • ¿Cómo atribuirán los propietarios de las aplicaciones la inversión en la nube a los centros de costos existentes?

Evalúa tus requisitos de facturación

La forma en que pagas por los recursos de Google Cloud que consumes es una consideración importante para tu empresa y una parte importante de tu relación con Google Cloud. Puedes administrar la facturación en Cloud Console mediante Facturación de Cloud junto con el resto del entorno de Cloud.

Los conceptos de jerarquía de recursos y facturación están muy relacionados, por lo que es fundamental que tú y las partes interesadas comprendan estos conceptos. Asegúrate de evaluar de forma detallada los requisitos contables y de informes actuales para configurar cuentas de facturación de Cloud de una manera que satisfaga los requisitos. Si tienes otras cuentas de Google Cloud en la organización, puedes migrar cuentas de Facturación de Cloud a la organización.

Las inquietudes relacionadas con la facturación local pueden incluir el mantenimiento, la alimentación y el enfriamiento del hardware y las instalaciones físicas. Facturación de Cloud tiene sus propias preocupaciones, que incluyen el uso de varias cuentas, presupuestos, etiquetas y opciones de informes.

Administra el acceso a Cloud Billing

Las cuentas de facturación de Cloud definen quién paga por un conjunto definido de recursos. Son las cuentas conectadas a un perfil de pagos en el que se configura una forma de pago. Cuando creas una cuenta de facturación de Cloud, tú decides quién es el administrador de Facturación de Cloud en tu organización. También debes definir quién debe tener acceso a las cuentas de facturación de Cloud y qué acciones pueden realizar en esa cuenta. Para obtener más información, consulta Control de acceso de Facturación de Cloud.

Para ayudar a controlar los costos y aplicar límites al presupuesto, obtén información sobre cómo crear presupuestos y configurar alertas a fin de recibir notificaciones cuando el uso de recursos alcance ciertos límites.

Administra y analiza costos

Los recursos se agrupan por proyecto de Google Cloud, y una cuenta de Facturación de Cloud se vincula a uno o más proyectos para determinar quién paga qué recursos. Puedes usar etiquetas para una atribución de costos más detallada, como el cobro por uso a equipos individuales o centros de costos. Las etiquetas son útiles cuando exportas los datos de facturación a BigQuery para realizar un análisis detallado. También puedes usar herramientas avanzadas, como Orbitera, para administrar acuerdos de facturación complejos.

Si planeas usar las etiquetas de Facturación de Cloud para mejorar la visibilidad en la inversión en la nube de la organización, debes incorporar el etiquetado en tu estrategia de administración de la nube. Estos esfuerzos ayudan a garantizar que todos los recursos lanzados en Google Cloud tengan las etiquetas correspondientes adjuntas.

Conectividad y Herramientas de redes

Considera las siguientes preguntas para la organización:

  • ¿Cómo cambiará la red definida por software la forma en que administras la conectividad entre cargas de trabajo?
  • ¿Cómo puedes configurar reglas de firewall de red en Google Cloud?
  • ¿Cómo puedes implementar las cargas de trabajo de manera global?
  • ¿Qué estrategias están disponibles para conectar tu entorno local existente con el nuevo entorno de nube?

Evalúa los requisitos de red

Tu arquitectura de red determina cómo se segmentan tus recursos de Google Cloud y cómo se comunican con tu entorno local existente, la Internet pública, cualquier servicio de terceros y otros recursos de Google. Esta arquitectura depende de una combinación de la arquitectura de red actual, los requisitos normativos y de cumplimiento, las consideraciones de escalabilidad y de recuperación ante desastres, los requisitos de rendimiento y las prácticas recomendadas de Herramientas de redes de Google Cloud. Debes comprender cómo se relacionan estos conceptos de Herramientas de redes de Google Cloud con tu infraestructura actual.

Cuando planificas la migración a Google Cloud, debes decidir a qué regiones y zonas migran las cargas de trabajo. Asegúrate de comprender cómo se relacionan estas decisiones con los objetivos comerciales y los requisitos de cumplimiento normativo.

Comprende VPC

La nube privada virtual (VPC) es un espacio de red privada dentro de Google Cloud que tú controlas, y es el componente fundamental de la arquitectura de red. La configuración de VPC tiene consideraciones importantes de seguridad y administración. Cuando se configura de manera correcta, VPC puede ayudar a fortalecer la base y acelerar la migración.

VPC te brinda la flexibilidad de escalar en varias zonas y regiones, y configurar cómo se conectan y se implementan las cargas de trabajo. Esta capacidad multirregional es fundamental para planificar los esfuerzos de recuperación ante desastres de la organización y planificar la disponibilidad global de los productos y servicios.

Puedes ejecutar una sola VPC para toda la organización y compartirla entre muchos proyectos de Cloud, o puedes configurar varias VPC. También puedes aprovechar las VPC compartidas para conectar recursos de varios proyectos de Cloud a una red de VPC común o usar el intercambio de tráfico de VPC en diferentes organizaciones o proyectos.

La administración de firewall en Google Cloud puede ser diferente a la que usan los equipos de Herramientas de redes. Por lo tanto, debes comprender cómo tu configuración de firewall existente se traduce en reglas de firewall de VPC para ayudar a proteger las cargas de trabajo y minimizar la superficie de ataque de tu estado de nube.

Comprende las regiones y zonas

Google Cloud aloja su infraestructura en muchas ubicaciones diferentes para que puedas elegir dónde implementar los recursos y te permite escalar las cargas de trabajo a fin de aprovechar la red global de Google.

Las regiones son áreas geográficas independientes que constan de zonas. Una zona es un área de implementación única para los recursos de Google Cloud dentro de una región. Considera las zonas como un dominio con fallas único dentro de una región. Los recursos en Google Cloud pueden ser globales, multirregionales, regionales o zonales. Por ejemplo, las VPC y sus rutas y reglas de firewall asociadas son globales, lo que significa que no están asociadas con ninguna región o zona en particular. Hay muchos factores que debes considerar a la hora de elegir cómo implementar tus recursos; es importante comprender cómo la geografía afecta la facturación, la arquitectura de red, el rendimiento, la recuperación ante desastres y el cumplimiento normativo.

Comprende las opciones de conectividad

Es posible que las cargas de trabajo deban conectarse a tu entorno local y a la Internet pública. Tómate el tiempo para comprender las opciones de conectividad híbrida que proporciona Google Cloud a fin de administrar la conectividad con tus entornos locales o de múltiples nubes. Cada opción de conectividad tiene atributos diferentes y deberías encontrar el producto que mejor se adapte a los requisitos de la empresa. Cada enfoque tiene implicaciones importantes de seguridad, rendimiento y cumplimiento.

Puedes conectar la VPC a tu red local mediante los siguientes métodos:

Cloud VPN te permite conectarte de forma segura a tu red de Google Cloud a través de un túnel VPN con IPsec y se puede configurar rápido. Cloud Interconnect crea una conexión dedicada, con alta disponibilidad y baja latencia de nivel empresarial a la VPC con opciones de ancho de banda flexibles. Establecer Cloud Interconnect lleva más tiempo que una conexión de Cloud VPN y, por lo general, requiere trabajar con una interconexión de socio. El intercambio de tráfico directo o por proveedores también es una conexión dedicada de nivel empresarial con opciones que pueden reducir los cargos de ancho de banda y disminuir el tiempo de configuración si cumples con los requisitos de Google.

Según las necesidades de la empresa, puedes usar una combinación de VPN, Cloud Interconnect o intercambio de tráfico. Muchas de las opciones de conectividad más comunes se describen en las prácticas recomendadas de VPC. Una vez que hayas elegido e implementado las opciones de conectividad, el servicio de Cloud Router puede intercambiar información de enrutamiento con tu red local mediante el Protocolo de puerta de enlace fronteriza (BGP).

Puedes usar Cloud NAT para proporcionar a las VM privadas y clústeres de Google Kubernetes Engine (GKE) un acceso seguro y controlado a la Internet pública. Planifica el direccionamiento IP en la nube. Cuando planificas el entorno de Google Cloud, debes comprender las diferentes opciones de direccionamiento IP disponibles. Comienza por explorar las diferentes opciones de direccionamiento IP predeterminadas que tienes cuando creas una VPC. Puedes usar el modo automático para crear de manera automática una subred de rangos de IP privados predefinidos en cada región. También puedes usar una red de modo personalizado que te permita decidir qué subredes crear mediante el uso de las regiones y los rangos de IP que especifiques. Si compilas la VPC con el modo automático, siempre puedes convertirla al modo personalizado más adelante, pero no puedes volver del modo personalizado al modo automático. Siempre debes planificar las redes de producción antes de su implementación. Recomendamos usar el modo personalizado en entornos de producción.

Las VM pueden tener una dirección IP interna principal, una o más direcciones IP secundarias y una dirección IP externa. Para comunicarte entre instancias en la misma red de VPC, puedes usar la dirección IP interna de la instancia. A fin de comunicarte con la Internet pública, debes usar la dirección IP externa de la instancia, a menos que hayas configurado un proxy o Cloud NAT. De manera similar, debes usar la dirección IP externa de la instancia para conectarte a instancias fuera de la misma red de VPC, a menos que las redes estén conectadas a través del intercambio de tráfico de VPC o Cloud VPN. Las direcciones IP internas y externas pueden ser efímeras o estáticas.

Muchos otros servicios de Google Cloud tienen reglas para las direcciones IP que pueden afectar tu diseño de Google Cloud. Por ejemplo, puedes crear clústeres de GKE con reglas basadas en rutas o nativas de VPC. GKE tiene orientación sobre cómo optimizar la asignación de direcciones IP cuando diseñas tus pods. Asegúrate de explorar los detalles de diseño de IP de cada servicio que planeas usar dentro de Google Cloud.

Comprende las opciones de DNS

Cloud DNS puede funcionar como tu servidor público del sistema de nombres de dominio (DNS). Se incluye un servicio separado, pero similar, llamado DNS interno con tu VPC. En lugar de migrar y configurar de forma manual tus propios servidores DNS, puedes usar el servicio DNS interno para la red privada. Para obtener más información, consulta cómo se diferencia el DNS interno de Cloud DNS. Si eres propietario de un bloque de direcciones IP y deseas usar esas direcciones en Google Cloud, aprende a migrar tus direcciones IP. Para obtener información más detallada sobre cómo implementar Cloud DNS, consulta las prácticas recomendadas de Cloud DNS.

Comprende la transferencia de datos

Las redes locales se administran y se cobran de una manera muy diferente a las redes en la nube. Cuando administras tu propio centro de datos o instalación de colocación, la instalación de routers, interruptores y cables requiere un gasto de capital fijo por adelantado. En la nube, se te cobra por la transferencia de datos en lugar del costo fijo de instalación de hardware, más el costo continuo de mantenimiento. Planifica y administra los costos de transferencia de datos con precisión en la nube mediante la comprensión de los costos de transferencia de datos.

Cuando planificas la administración del tráfico, existen tres formas de pago:

  • Tráfico de entrada: Tráfico de red que ingresa a tu entorno de Google Cloud desde ubicaciones externas. Estas ubicaciones pueden ser desde la Internet pública, las ubicaciones locales o desde otros entornos de nube. La entrada es gratuita para la mayoría de los servicios de Google Cloud. Algunos servicios relacionados con la administración del tráfico orientado a Internet, como Cloud Load Balancing, Cloud CDN y Google Cloud Armor, cobran según el tráfico de entrada que manejan.
  • Tráfico de salida: El tráfico de red que sale de tu entorno de Google Cloud. Se aplican cargos de salida a muchos servicios de Google Cloud, incluidos Compute Engine, Cloud Storage, Cloud SQL y Cloud Interconnect.
  • Tráfico regional y zonal: El tráfico de red que cruza los límites regionales o zonales en Google Cloud también puede estar sujeto a cargos de ancho de banda. Estos cargos pueden afectar la forma en que diseñas tus apps para la recuperación ante desastres y la alta disponibilidad. Al igual que los cargos de salida, los cargos de tráfico interregional y zonal se aplican a muchos servicios de Google Cloud y es importante considerarlos cuando se planifica una alta disponibilidad y recuperación ante desastres. Por ejemplo, el envío de tráfico a una réplica de base de datos en otra zona está sujeto a cargos de tráfico entre zonas.

Automatiza y controla la configuración de la red

En Google Cloud, la capa de red física se virtualiza y, luego, debes implementar y configurar la red con redes definidas por software (SDN). Puedes pensar en SDN como el subconjunto de redes de IaC. Para asegurarte de que la red esté configurada de manera coherente y repetible, debes comprender cómo implementar y eliminar de manera automática tus entornos. Puedes usar herramientas de IaC, como Deployment Manager. Google Cloud también admite herramientas de código abierto de IaC como Terraform.

Seguridad

Considera las siguientes preguntas para la organización:

  • ¿Cómo asignas las herramientas y procesos de seguridad existentes al entorno nuevo de Google Cloud?
  • ¿Qué cambios de administración y de procesos debes realizar para aprovechar los servicios de seguridad basados en la nube y adaptarte a un modelo moderno de seguridad en la nube?
  • ¿Cómo mantiene Google la seguridad y la privacidad de tus datos privados en Google Cloud?
  • ¿Cómo puedes proteger tu entorno de nube del robo de datos y otras amenazas de seguridad en evolución?

Comprende el modelo de seguridad de Google Cloud

La forma en que administras y mantienes la seguridad de tus sistemas en Google Cloud, y las herramientas que usas, son diferentes de cuando administras una infraestructura local. El enfoque cambiará y evolucionará con el tiempo para adaptarse a nuevas amenazas, nuevos productos y modelos de seguridad mejorados. La seguridad de confianza cero es un enfoque nuevo para la seguridad empresarial que se usó por primera vez en Google y es probable que sea diferente del modelo de seguridad que hoy empleas para las cargas de trabajo locales.

La mayoría de las empresas usan firewalls para aplicar la seguridad perimetral. Sin embargo, este modelo de seguridad es problemático porque cuando se traspasa ese perímetro, un atacante tiene un acceso bastante fácil a la intranet privilegiada de una empresa.

Es posible que la migración incluya la adopción de nuevas herramientas, tecnologías, prácticas y actitudes en favor de la seguridad empresarial que pueden mejorar tu posición de seguridad y ayudarte a proteger las cargas de trabajo esenciales de los ataques y el robo de datos. Es importante aprender a adaptar las prácticas y herramientas actuales para el entorno de seguridad de confianza cero. Para obtener más información, consulta el informe de BeyondCorp.

Las responsabilidades que compartes con Google pueden ser diferentes de las de tu proveedor actual, y comprender estos cambios es fundamental para garantizar la seguridad y el cumplimiento continuos de tus cargas de trabajo. Con frecuencia, la seguridad comprobable y el cumplimiento normativo se entrelazan y comienzan con prácticas sólidas de administración y supervisión, implementación coherente de las prácticas recomendadas de Google Cloud y supervisión y detección de amenazas activas.

Protege los datos

Una estrategia fundamental de seguridad de Google es la autenticación, la integridad y la encriptación de los datos que están en reposo y en tránsito. La encriptación en reposo ayuda a proteger los datos contra la vulneración del sistema o el robo de datos mediante la encriptación de los datos almacenados. La encriptación en tránsito ayuda a proteger los datos si se interceptan las comunicaciones entre tu entorno local y Google Cloud o entre dos servicios de Google Cloud. La administración segura de las claves de encriptación es un aspecto fundamental de tu posición regulatoria y de seguridad general.

Puedes administrar tus claves de encriptación mediante Cloud Key Management Service (Cloud KMS), que te permite mantener tus claves de encriptación en una ubicación central. Por ejemplo, saber cómo configurar la rotación de claves con Cloud KMS no solo es una buena práctica de seguridad, sino que puede ser necesaria para cumplir con los estándares de seguridad de datos de la PCI. Asegúrate de saber cuándo necesitas un módulo de seguridad de hardware para proteger tus claves, administrar secretos en Cloud KMS y cómo configurar el acceso a claves y llaveros de claves en IAM.

Para las cargas de trabajo que almacenan o procesan datos sensibles del cliente o información interna de la empresa, aprende a usar Cloud Data Loss Prevention a fin de ayudarte a proteger estas cargas de trabajo.

Con la VPC, puedes configurar los perímetros de seguridad en torno a los recursos de tus servicios de Google Cloud y controlar el movimiento de los datos a través del límite del perímetro. La VPC opera fuera del alcance de IAM, por lo que tus datos se pueden proteger incluso en los casos en que tus credenciales de IAM estén vulnerables.

Protege tus apps

Para ejecutar las aplicaciones de forma segura en la nube, primero debes evaluar las necesidades de seguridad de cada una de ellas. Esta evaluación puede ayudar a garantizar la configuración y administración adecuadas de tu VPC, las políticas de enrutamiento de red, IAM y las reglas de firewall. Además de comprender las políticas a nivel de la red, obtén información sobre cuándo y cómo usar Identity-Aware Proxy como una capa de autorización central para las aplicaciones. Otras cargas de trabajo pueden requerir protección a nivel de SO para que se agregue más seguridad en las VM protegidas o a fin de cumplir con los requisitos de cumplimiento normativo. Las aplicaciones públicas pueden requerir protección activa contra DSD si se configuran las políticas de Google Cloud Armor.

Administra los riesgos

Tú y tu administrador de seguridad deben comprender Security Command Center (SCC) para ayudarte a realizar un seguimiento y supervisar los posibles riesgos de seguridad en toda la organización. Security Command Center puede ayudarte a solucionar estos riesgos antes de que un atacante pueda aprovecharse de ellos. Si existe un riesgo conocido en la infraestructura principal de Google, Google proporciona transparencia en el proceso de notificación, comunicación y solución de dichos incidentes. Estas políticas y procesos destinados a administrar incidentes son los mismos que Google usa de manera interna, y puedes considerar la posibilidad de adoptar estos procesos para tu propia organización a fin de proteger mejor tus recursos. En el capítulo 9 de nuestro libro sobre ingeniería de confiabilidad de sitios, encontrarás una guía completa sobre cómo Google responde a los incidentes.

Supervisión y alertas

Considera las siguientes preguntas para la organización:

  • ¿Cómo interoperará tu solución de supervisión actual con Google Cloud?
  • ¿Qué opciones tienes para supervisar tus servicios y los servicios proporcionados por Google Cloud?
  • ¿Cómo habilitas el acceso seguro y transparente a tus servicios para cumplir con los reguladores y auditores?

Evalúa la solución actual de supervisión y alertas

Es probable que tu entorno empresarial actual de TI emplee una o más soluciones de registro y supervisión. En Google Cloud, puedes agregar todos los registros, las métricas y los eventos de tu infraestructura a un permiso de métricas. Es importante comprender las opciones para administrar los datos de registro que se generan a partir de la infraestructura y cargas de trabajo.

Si deseas centralizar la administración de tus datos de registro, puedes exportar registros de Cloud Logging a tu solución existente o importar registros desde tus herramientas actuales. Cloud Logging admite un ecosistema de integraciones enriquecido y en crecimiento a fin de expandir las capacidades de operaciones, seguridad y cumplimiento disponibles para los clientes de Google Cloud.

Comprende el registro

Cloud Logging agrega datos de registro de muchos servicios de Google Cloud para que tus equipos realicen análisis, auditen la actividad de los usuarios, supervisen las cargas de trabajo y respondan a los problemas. Los equipos de respuesta ante incidentes pueden usar Cloud Logging como el centro de comandos para detectar, solucionar y resolver incidentes de seguridad y errores de la app. La información que captura Cloud Logging proporciona visibilidad sobre tu entorno de Google Cloud mediante el uso de datos recopilados de una amplia variedad de fuentes, entre ellas están los registros de auditoría de IAM, los registros de flujo de VPC y los registros de agentes. Estos registros fluyen a Cloud Logging sin procesar y se enriquecen mediante la implementación de métricas, alertas y filtros. Los equipos deben saber qué supervisar, y cómo hacerlo, cómo analizar los datos recopilados y cómo crear alertas pertinentes y prácticas.

Además de la supervisión en tiempo real, puedes realizar análisis personalizados en grandes conjuntos de datos de registro mediante la exportación de los datos de Cloud Logging a BigQuery. Por ejemplo, puedes consultar los registros para comprender cómo el rendimiento de la aplicación podría correlacionarse con las acciones internas del usuario en Google Cloud.

Cloud Logging recopila datos importantes y, a menudo, confidenciales sobre la infraestructura y las cargas de trabajo. Como con todos los servicios de Google Cloud, es importante comprender cómo controlar el acceso a Cloud Logging con la IAM. Para revisar las acciones que realizan los usuarios autorizados, puedes usar los registros de auditoría de Cloud. Cuando te comunicas con el equipo de asistencia de Google Cloud para diagnosticar un problema, nuestro personal de asistencia puede requerir acceso a tu entorno. Para auditar las acciones que realiza el equipo de asistencia, habilita la Transparencia de acceso.

El permiso de métricas es el único panel desde el que puedes configurar la supervisión y las alertas para varios proyectos de Cloud. En entornos híbridos y de múltiples nubes, puedes usar Cloud Logging para supervisar la infraestructura local y el entorno de Amazon Web Services (AWS). Debido a que desde el lugar de trabajo se agregan métricas de muchas fuentes, se recomienda configurar los espacios de trabajo y herramientas relacionadas (como BigQuery) en un proyecto de Cloud separado. Luego, puedes ajustar el acceso a esta información de manera eficaz y evitar afectar las cuotas de proyectos.

Comprende las métricas y las alertas

La herramienta principal para comprender el estado de las cargas de trabajo de la infraestructura son las métricas de Cloud Monitoring. Las métricas son observaciones que recopila Cloud Monitoring para ayudarte a comprender el rendimiento de tus apps y servicios del sistema. Google Cloud proporciona más de 1, 000 tipos de métricas para ayudarte a supervisar Google Cloud, AWS y otras plataformas. Según tus casos de uso y requisitos empresariales, también puedes crear métricas personalizadas para supervisar otros aspectos de la infraestructura y cargas de trabajo. Es importante comprender las métricas para crear alertas útiles. Las alertas se pueden activar mediante la configuración de políticas de alertas.

Las métricas también se incorporan a los datos que se muestran en los paneles y gráficos de Cloud Monitoring. Obtén información sobre cómo incorporar indicadores de nivel de servicio transparente en la supervisión para ayudarte a diagnosticar problemas. Puedes determinar si un problema puede deberse a una de tus cargas de trabajo empresariales o a una degradación en uno o más servicios de Google Cloud. También puedes usar el Panel de estado de Google Cloud para obtener una descripción general rápida del estado operativo actual de la infraestructura de Google Cloud.

Interactúa con Google Cloud

Considera las siguientes preguntas para la organización:

  • ¿Cómo pueden interactuar los usuarios y las apps con los servicios de Google Cloud?
  • ¿Cómo puedes automatizar el aprovisionamiento de recursos nuevos y cómo este cambio afecta los procesos empresariales existentes?

Compara métodos

Existen varias formas de interactuar con los servicios de Google Cloud:

  • Las API de Cloud proporcionan interfaces programáticas para interactuar con Google Cloud desde el código de la app. Las API de Cloud forman la base de cada interacción con Google Cloud.
  • Cloud Console es una interfaz gráfica de usuario que te permite interactuar con Google Cloud en tu navegador.
  • El SDK de Cloud es una biblioteca de software optimizada para desarrolladores que permite que tus aplicaciones interactúen con las API de Cloud.
  • La herramienta de línea de comandos de gcloud es una herramienta que te permite realizar llamadas a las API de Cloud desde la línea de comandos y es útil para crear secuencias de comandos de tareas recurrentes.
  • Las herramientas de infraestructura como código (IaC), como Deployment Manager y Terraform, te permiten administrar las implementaciones de infraestructura en código fuente y estandarizar el aprovisionamiento de los recursos mediante las API de Cloud.

Diferentes personas y sistemas interactúan con Google Cloud de distintas maneras según sus funciones. Por ejemplo, un miembro de tu equipo de finanzas podría interactuar con los registros de Facturación de Cloud en BigQuery mediante Cloud Console. Un proceso de implementación automatizado podría aprovisionar recursos mediante llamadas directas a las API de Cloud. Comprender el uso adecuado de cada método es importante para la administración y seguridad adecuadas de tu entorno de Cloud.

Interacciones específicas del producto

Algunos servicios, como Cloud Storage y GKE, proporcionan sus propias herramientas para una interacción detallada con esos servicios. Por ejemplo, Cloud Storage proporciona una herramienta llamada gsutil. Es importante comprender esta herramienta para optimizar la migración de tus datos y administrar de manera correcta la seguridad de tus depósitos de Cloud Storage. En GKE, puedes implementar clústeres con Cloud Console o la herramienta de línea de comandos de gcloud, pero la administración de clústeres se realiza con la herramienta de línea de comandos de kubectl.

Automatiza las interacciones

Google Cloud también ofrece Cloud Build, un servicio administrado que admite la compilación y la implementación de código. Para los servicios que pueden aprovechar IaC, Deployment Manager te permite administrar el ciclo de vida de tus servicios y productos de Google Cloud.

Puedes automatizar las interacciones con recursos específicos mediante las API de Cloud. Dentro de Google Cloud, las API de Cloud se habilitan por proyecto y tu estrategia de administración debe determinar quién puede habilitarlas y en qué condiciones. El uso de estas API puede consumir recursos de los servicios de Google Cloud y generar costos, así que asegúrate de comprender cómo la habilitación de las API de Cloud puede afectar tu facturación.

Administración

Considera las siguientes preguntas para la organización:

  • ¿Cómo puedes asegurarte de que los usuarios satisfagan sus necesidades de cumplimiento y las alineen con las políticas comerciales?
  • ¿Qué estrategias están disponibles para mantener y organizar tus usuarios y recursos de Google Cloud?

La administración eficaz es fundamental para garantizar la confiabilidad, la seguridad y el mantenimiento de tus recursos en Google Cloud. Al igual que en cualquier sistema, la entropía aumenta de forma natural con el tiempo y si no se controla, puede generar un crecimiento de la nube y otros desafíos de mantenimiento. Sin una administración eficaz, la acumulación de estos desafíos puede afectar la capacidad para lograr los objetivos comerciales y reducir el riesgo. Un plan disciplinado y la aplicación de estándares relacionados con las convenciones de nombres, las estrategias de etiquetado, los controles de acceso, los controles de costos y los niveles de servicio son un componente importante de tu estrategia de migración a la nube. En términos más generales, el ejercicio de desarrollar una estrategia de administración crea alineación entre las partes interesadas y el liderazgo empresarial.

Asistencia para el cumplimiento continuo

Para ayudar a respaldar el cumplimiento de tus recursos de Google Cloud en toda la organización, considera establecer una estrategia de agrupación y de asignación de nombres de recursos coherentes. Google Cloud proporciona varios métodos para anotar y aplicar políticas en los recursos:

  • Las marcas de seguridad te permiten clasificar recursos para proporcionar estadísticas de seguridad desde Security Command Center y aplicar políticas sobre grupos de recursos.
  • Las etiquetas se pueden usar para realizar un seguimiento de tu inversión en recursos en Facturación de Cloud y proporcionar estadísticas adicionales en Cloud Logging.
  • Las etiquetas de red se pueden usar para controlar el tráfico de red desde una VM, y hacia esta, mediante la identificación de las VM sujetas a reglas de firewall y de red.

Por ejemplo, puedes usar Cloud Functions como una solución de cumplimiento como código. En una función de Cloud Functions, puedes usar las API de Cloud para verificar nombres y etiquetas en recursos aprovisionados y asegurarte de que se cumplan los estándares. En algunas circunstancias, puedes desaprovisionar de forma automática los recursos que infrinjan los estándares establecidos. Es importante establecer estos estándares y convenciones durante el proceso de planificación de la migración y decidir cómo aplicarlos. También puedes evitar la eliminación accidental de recursos críticos, y puedes usar Cloud Functions para aplicar de forma automática esta protección a los recursos que tienen una etiqueta en particular. Asegúrate de comprender cómo puedes usar las condiciones de IAM para modificar el acceso según los atributos específicos de un recurso.

Habilita tu personal de migración

Considera las siguientes preguntas para la organización:

  • ¿Tienes el conocimiento, la experiencia y el personal necesarios para planificar y ejecutar la migración a la nube?
  • ¿Cómo puedes acceder a la orientación estratégica y la asistencia técnica durante el proceso de migración a la nube?
  • Después de comenzar a usar la nube, ¿dónde puedes obtener ayuda?

Evalúa tus capacidades

La migración a Google Cloud es una transformación estratégica importante para tu empresa. Las organizaciones tienen varias opciones para elegir cómo dividir el trabajo de cualquier migración a la nube. Algunas empresas pueden optar por usar solo recursos internos, mientras que otras pueden subcontratar el trabajo por completo, pero la mayoría se encuentra en un punto medio. Comprender tus propias capacidades, incluidos el conocimiento y la experiencia de tu organización actual, te ayudará a encontrar el equilibrio adecuado entre estos enfoques.

La capacitación del personal debe ser una prioridad para todas las organizaciones. Las certificaciones de Google Cloud permiten que tus equipos existentes demuestren y validen las habilidades necesarias para usar por completo la tecnología de Google Cloud en la empresa. Google también ofrece varias opciones de capacitación, desde cursos detallados, labs prácticos y actividades de capacitación directas.

Trabaja con expertos en la nube

Google ofrece servicios de asesoría profesional para ayudarte en esta etapa de migración a Google Cloud.

Cuando eliges a un asesor, trabajas con los expertos que ayudaron a compilar la infraestructura de Google Cloud. Pueden informar a tu equipo sobre las prácticas recomendadas y los principios básicos para una implementación exitosa.

Según las necesidades de tu proyecto, tal vez quieras considerar la posibilidad de interactuar con un Google Cloud Partner. Google aprueba a los socios en una o más especialidades y se emplean las profesiones certificadas por Google Cloud. El socio adecuado puede aportar experiencia y proporcionar orientación práctica para acelerar la migración a la nube.

Comprende las opciones de asistencia

Una vez que la empresa se ejecuta en Google Cloud, la Asistencia de Google Cloud puede ayudar a evitar que surjan problemas. Si encuentras un problema, la asistencia puede ayudarte a encontrar la raíz del problema con rapidez y, también, proporciona soluciones duraderas que eviten que vuelva a ocurrir. Comprende las diferentes opciones de asistencia disponibles y decide cuál es la adecuada para tu empresa.

¿Qué sigue?