En este documento se describe cómo puedes usar el acceso contextual para proteger diferentes tipos de aplicaciones y recursos. El acceso contextual es un enfoque de seguridad que te permite controlar el acceso de los usuarios en función de la solidez de su autenticación, la postura de su dispositivo, la ubicación de la red, la ubicación geográfica u otros atributos. Este enfoque va más allá del uso de identidades de usuario básicas para el acceso de seguridad y puede ayudarte a implementar un modelo de seguridad de confianza cero para mejorar tu postura de seguridad general. Para obtener más información sobre las prácticas recomendadas, consulta el artículo Prácticas recomendadas para proteger aplicaciones y recursos mediante el acceso contextual.
Para proteger tus aplicaciones y recursos de Google Cloud , puedes definir controles de acceso granulares basados en una variedad y combinación de factores contextuales. Puedes usar el Administrador de contextos de acceso para definir políticas de acceso, que contienen niveles de acceso y parámetros de servicio.
Este documento está dirigido a cualquier profesional de la seguridad responsable de la gestión de identidades y accesos (IAM) y de la seguridad de los recursos y las aplicaciones de Google Cloud . En este documento se da por hecho que ya conoces el Administrador de contextos de acceso,Google Cloudy la gestión de IAM.
Niveles de acceso
Los niveles de acceso te permiten definir un conjunto de requisitos que deben cumplir los usuarios y sus dispositivos para alcanzar un determinado nivel de confianza.
Por ejemplo, puedes usar Administrador de contextos de acceso para configurar los siguientes niveles de acceso de tu organización:
- Básico: un conjunto básico de requisitos que consideras que es el nivel mínimo.
- Medio: un conjunto de requisitos más estrictos que deben cumplir los empleados y los dispositivos de la empresa. Es posible que este nivel de acceso excluya a los usuarios de la plantilla ampliada y a los dispositivos no corporativos.
- Alto: requisitos estrictos que solo cumplen determinados empleados y dispositivos.
Un nivel de acceso por sí solo no tiene ningún efecto inmediato en los usuarios ni en los dispositivos. El nivel de acceso especifica los requisitos, pero no define los usuarios, las aplicaciones ni los recursos a los que se deben aplicar esos requisitos. Un nivel de acceso es como un fragmento de configuración reutilizable al que puedes hacer referencia cuando configures el acceso a aplicaciones o recursos específicos.
Google Cloud te permite usar niveles de acceso para varios tipos de aplicaciones o recursos, incluidos los siguientes, que se describen en este documento:
- Google Workspace y otras aplicaciones y servicios ajenos a Google Cloud
- La consola de Google Cloud Google Cloud Google Cloud y las APIs
- Perímetros de servicio de nube privada virtual (VPC)
- Identity-Aware Proxy (IAP) para el acceso SSH y RDP
- IAP para aplicaciones web
Aplicaciones y recursos
En las siguientes secciones se describe cómo puedes aplicar niveles de acceso a los diferentes tipos de aplicaciones y recursos, y cómo varían los procesos en función del tipo.
Google Workspace y otras aplicaciones y servicios ajenos a Google Cloud
Estas son algunas de las aplicaciones y los servicios ajenos a Google Cloud que admiten el acceso contextual:
- Consola de administración de Google
- Aplicaciones de Google Workspace, como Gmail, Google Meet y Google Calendar
- Otras aplicaciones de Google, como Gemini o Looker Studio
- Aplicaciones SAML personalizadas
Para restringir el acceso a Google Workspace y a las aplicaciones y los servicios fuera deGoogle Cloud, configura el acceso contextual para cada servicio o aplicación por separado en la consola de administración. En la consola de administración, haz lo siguiente:
Define el ámbito al que quieres aplicar un nivel de acceso. Un ámbito es una combinación de lo siguiente:
- Un servicio o una aplicación SAML concretos que proteger.
- Una unidad organizativa o un grupo que contenga a los usuarios pertinentes.
Selecciona el nivel de acceso que quieras aplicar al ámbito seleccionado.
Cuando asignas un nivel de acceso, también puedes cambiar su configuración. Puedes especificar que el nivel de acceso solo se aplique cuando los usuarios accedan directamente a la aplicación web. También puedes especificar que el nivel se aplique cuando las aplicaciones móviles y otras aplicaciones accedan a la API. Para obtener más información, consulta la sección Comportamiento de la aplicación según la configuración del nivel de acceso del artículo "Asignar niveles de acceso contextual a las aplicaciones".
Puede haber más de una asignación que se aplique a un usuario y una aplicación concretos. Por ejemplo, un usuario puede ser miembro de la unidad organizativa Empleados y del equipo all-apac. Es posible que la unidad organizativa y el grupo tengan asignados diferentes niveles de acceso. En este caso, Cloud Identity y Google Workspace solo aplican una de las asignaciones, que es la que tiene la prioridad más alta:
- Las asignaciones basadas en grupos tienen una prioridad más alta que las basadas en unidades organizativas.
- Dentro de los grupos, puedes personalizar su prioridad relativa.
- En las UOs, la UO raíz tiene la prioridad relativa más baja.
Cloud Identity y Google Workspace te permiten revisar y analizar eventos de acceso contextual en el registro de acceso contextual.
La consola de Google Cloud Google Cloud Google Cloud y las APIs
Puedes configurar el acceso contextual a la Google Cloud consola y a lasGoogle Cloud APIs mediante enlaces de acceso.
Google Cloud Las APIs usan OAuth 2.0 para la autenticación. Para usar una API de Google Cloud , los usuarios necesitan un token de acceso de OAuth válido emitido por Google, y el token debe emitirse para uno de los Google Cloud ámbitos de OAuth. Las vinculaciones de acceso restringen la capacidad de los usuarios para obtener estos tokens de acceso. Por lo tanto, las vinculaciones de acceso limitan el acceso a la Google Cloud consola y a todas las aplicaciones OAuth que usan Google Cloud permisos de OAuth, como las siguientes:
- La CLI de gcloud
- Herramientas de terceros, como Terraform
- Aplicaciones OAuth que has creado tú y que usan un Google Cloud permiso de OAuth
Una vinculación de acceso vincula un grupo a un nivel de acceso. Cada grupo solo puede tener un enlace de acceso. Cada enlace de acceso puede definir las siguientes configuraciones:
- Una lista de
scopedAccessSettingsque asigna niveles de acceso a aplicaciones OAuth concretas. - Un nivel de acceso predeterminado.
Si un enlace de acceso especifica tanto un ajuste de acceso con ámbito como un nivel de acceso predeterminado, los dos niveles de acceso se combinan mediante la semántica OR.
En ese caso, el usuario solo tendrá que cumplir uno de los niveles de acceso para acceder a la aplicación OAuth.
Una vinculación de acceso se aplica tanto a los miembros directos como a los indirectos del grupo. Si un usuario es miembro de varios grupos, se le podrían aplicar varios enlaces de acceso, lo que podría dar lugar a varios niveles de acceso. En este caso, los niveles de acceso también se combinan mediante la semántica OR, lo que significa que el usuario solo tiene que cumplir uno de los niveles de acceso.
Perímetros de servicio de VPC
Cuando crea un perímetro de servicio de VPC, especifica una lista de servicios restringidos. Se puede acceder a los servicios restringidos desde dentro del perímetro de servicio, pero, de forma predeterminada, no se puede acceder a ellos desde fuera del perímetro de servicio.
Para permitir el acceso desde fuera del perímetro de servicio, utiliza reglas de entrada. Las reglas de entrada te permiten especificar las condiciones en las que quieres permitir el acceso externo. Puedes usar niveles de acceso para que una regla de entrada aplique el acceso contextual.
Un perímetro de servicio de VPC puede tener varias reglas de entrada. Por lo tanto, es posible que se apliquen más de una regla de entrada a un usuario y una aplicación concretos, y que estas reglas requieran diferentes niveles de acceso. En este caso, los niveles de acceso se evalúan mediante la semántica OR y el usuario solo tiene que cumplir uno de los niveles de acceso.
Puedes combinar las vinculaciones de acceso con las reglas de entrada del perímetro de servicio de VPC. Si las vinculaciones de acceso y las reglas de entrada especifican niveles de acceso diferentes para un usuario y una aplicación concretos, los niveles se combinan mediante la semántica AND. En ese caso, el usuario debe cumplir ambos niveles de acceso.
Para revisar y analizar los intentos de acceder a los recursos de un perímetro de servicio de VPC, puedes usar los registros de auditoría de Controles de Servicio de VPC o el analizador de infracciones de Controles de Servicio de VPC.
Acceso SSH y RDP a máquinas virtuales
Puedes configurar el acceso contextual para el acceso SSH y RDP a las VMs mediante el reenvío de TCP de IAP.
El reenvío de TCP de IAP admite enlaces de acceso y reglas de entrada de perímetros de servicio de VPC. Tus enlaces de acceso a la Google Cloud consola y a las APIs de Cloud se aplican automáticamente al reenvío de TCP de IAP.
Si tu perímetro de servicio incluye el servicio iaptunnel.googleapis.com como servicio restringido, tus reglas de entrada se aplicarán automáticamente al reenvío de TCP de IAP. Para obtener información sobre las prácticas recomendadas, consulta Incluir el reenvío de TCP de IAP como servicio restringido.
También puedes configurar el acceso contextual mediante condiciones de IAM. Puedes usar las condiciones de IAM como alternativa a los enlaces de acceso y a las reglas de entrada del perímetro de servicio de VPC, o bien usar todos estos elementos juntos.
Concede a un usuario o grupo el rol Usuario de túnel protegido mediante IAP (
roles/iap.tunnelResourceAccessor). A continuación, en el enlace de rol, añade una expresión de condición de IAM que requiera que el usuario cumpla un determinado nivel de acceso. Por ejemplo, la expresión podría ser similar a la siguiente:"accessPolicies/123/accessLevels/fully-trusted" in request.auth.access_levelsTambién puedes personalizar la condición de IAM para que requiera varios niveles de acceso o para incluir otras comprobaciones.
Un usuario y una aplicación concretos pueden estar sujetos a una vinculación de acceso, una regla de entrada y una condición de IAM cuando el usuario y la aplicación acceden al reenvío de TCP de IAP. En este caso, los niveles de acceso se combinan mediante la semántica AND y el usuario debe cumplir todos los niveles de acceso.
Para revisar y analizar los intentos de acceder al reenvío de TCP de IAP, debes habilitar los registros de auditoría de acceso a datos de IAP.
Aplicaciones web
Puedes configurar el acceso contextual para aplicaciones web mediante IAP.
IAP para aplicaciones web es diferente a IAP para el reenvío de TCP:
- Los enlaces de acceso no se aplican a las aplicaciones web configuradas con compras en aplicaciones porque la aplicación OAuth que usan las compras en aplicaciones no utiliza ningún permiso de OAuth. Google Cloud
- Las reglas de acceso de los perímetros de servicio de VPC no se aplican a las aplicaciones web configuradas con IAP porque IAP no es una API y no se puede configurar como un servicio restringido.Google Cloud
Para configurar el acceso contextual a aplicaciones web mediante IAP, debes usar condiciones de gestión de identidades y accesos:
Asigna a un usuario o grupo el rol Usuario de aplicaciones web protegidas mediante IAP (
roles/iap.httpsResourceAccessor). A continuación, en el enlace de rol, añade una expresión de condición de IAM que requiera que el usuario cumpla un determinado nivel de acceso. Por ejemplo, la expresión podría ser similar a la siguiente:"accessPolicies/123/accessLevels/fully-trusted" in request.auth.access_levelsTambién puedes personalizar la condición de IAM para que requiera varios niveles de acceso o para incluir otras comprobaciones.
Para revisar y analizar los intentos de acceder a aplicaciones web configuradas con IAP, debes habilitar los registros de auditoría de acceso a datos de IAP.
¿Qué debo hacer ahora?
- Prácticas recomendadas para proteger aplicaciones y recursos mediante el acceso contextual
- Para ver más arquitecturas de referencia, diagramas y prácticas recomendadas, consulta el centro de arquitectura de Cloud.
Colaboradores
Autor: Johannes Passing | Arquitecto de soluciones en la nube
Otro colaborador: Ido Flatow | Arquitecto de soluciones en la nube