Este contenido se actualizó por última vez en diciembre de 2023 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google de ahora en adelante, ya que mejoramos la protección de nuestros clientes de forma continua.
En este documento, se describen las prácticas recomendadas que te permiten implementar un conjunto de recursos fundamentales en Google Cloud. Una base de la nube es el modelo de referencia de los recursos, las configuraciones y las capacidades que permiten a las empresas adoptar Google Cloud para sus necesidades comerciales. Una base bien diseñada permite una administración coherente, controles de seguridad, escalamiento, visibilidad y acceso a servicios compartidos en todas las cargas de trabajo en tu entorno de Google Cloud. Después de implementar los controles y la administración que se describen en este documento, puedes implementar cargas de trabajo en Google Cloud.
El plano de bases empresariales (antes conocido como plano de bases de seguridad) está dirigido a arquitectos, profesionales de seguridad y equipos de ingeniería de plataforma que son responsables de diseñar un entorno empresarial listo para Google Cloud. Este plano consta de lo siguiente:
- Un repositorio de GitHub de terraform-example-foundation que contiene los elementos que se pueden implementar de Terraform.
- Una guía que describe la arquitectura, el diseño y los controles que implementas con el plano (este documento).
Puedes usar esta guía de dos maneras:
- Para crear una base completa basada en las prácticas recomendadas de Google. Puedes implementar todas las recomendaciones de esta guía como un punto de partida y, luego, personalizar el entorno para abordar los requisitos específicos de tu empresa.
- Para revisar un entorno existente en Google Cloud. Puedes comparar componentes específicos de tu diseño con las prácticas recomendadas de Google.
Casos prácticos compatibles
El plano de base empresarial proporciona una capa de modelo de referencia de recursos y configuraciones que ayudan a habilitar todos los tipos de cargas de trabajo en Google Cloud. Ya sea que migres cargas de trabajo de procesamiento existentes a Google Cloud, compiles aplicaciones web alojadas en contenedores o crees cargas de trabajo de macrodatos y aprendizaje automático, el plano de base empresarial te ayuda a compilar tu entorno para admitir cargas de trabajo empresariales a gran escala.
Después de implementar el plano de base empresarial, puedes implementar cargas de trabajo directamente o implementar planos adicionales para admitir cargas de trabajo complejas que requieran capacidades adicionales.
Un modelo de seguridad de defensa en profundidad
Los servicios de Google Cloud se benefician del diseño de seguridad de la infraestructura de Google subyacente. Es tu responsabilidad diseñar la seguridad en los sistemas que compilas sobre Google Cloud. El plano de base empresarial te ayuda a implementar un modelo de seguridad de defensa en profundidad para tus servicios y cargas de trabajo de Google Cloud.
En el siguiente diagrama, se muestra un modelo de seguridad en profundidad para tu organización de Google Cloud que combina controles de arquitectura, controles de políticas y controles de detección.
En el diagrama, se describen los siguientes controles:
- Los controles de políticas son restricciones programáticas que aplican opciones de configuración de recursos aceptables y evitan las configuraciones riesgosas. El plano usa una combinación de controles de políticas, incluida la validación de infraestructura como código (IaC) en las restricciones de la política de la canalización y de la organización.
- Los controles de arquitectura son la configuración de los recursos de Google Cloud, como las redes y la jerarquía de recursos. La arquitectura del plano se basa en las prácticas recomendadas de seguridad.
- Los controles de detección te permiten detectar comportamientos anómalos o maliciosos dentro de la organización. El plano usa funciones de la plataforma como Security Command Center, se integra en los controles de detección y flujos de trabajo existentes, como un centro de operaciones de seguridad (SOC) y proporciona capacidades para aplicar controles de detección personalizados.
Decisiones clave
En esta sección, se resumen las decisiones arquitectónicas de alto nivel del plano.
En el diagrama, se describe cómo los servicios de Google Cloud contribuyen a decisiones clave de arquitectura:
- Cloud Build: Los recursos de infraestructura se administran mediante un modelo de GitOps. La IaC declarativa se escribe en Terraform y se administra en un sistema de control de versión para su revisión y aprobación, y los recursos se implementan mediante Cloud Build como la herramienta de automatización de integración continua y de implementación continua (CI/CD). La canalización también aplica verificaciones de políticas como código para validar que los recursos cumplan con los parámetros de configuración esperados antes de la implementación.
- Cloud Identity: Los usuarios y la membresía del grupo se sincronizan desde tu proveedor de identidad existente. Los controles para el inicio de sesión único (SSO) y la administración del ciclo de vida de las cuentas de usuario dependen de los controles y procesos existentes del proveedor de identidad.
- Identity and Access Management (IAM): Las políticas de permisos (antes conocidas como políticas de IAM) permiten el acceso a los recursos y se aplican a los grupos según la función de trabajo. Se agregan usuarios a los grupos adecuados para recibir acceso de solo lectura a los recursos básicos. Todos los cambios en los recursos de la base se implementan a través de la canalización de CI/CD que usa las identidades de cuentas de servicio con privilegios.
- Resource Manager: Todos los recursos se administran en una sola organización, con una jerarquía de recursos de carpetas que organizan los proyectos por entornos. Los proyectos se etiquetan con metadatos para la administración, incluida la atribución de costos.
- Herramientas de redes: Las topologías de red usan VPC compartidas para proporcionar recursos de red a las cargas de trabajo en múltiples regiones y zonas, separadas por entorno y administradas de manera centralizada. Todas las rutas de red entre hosts locales, recursos de Google Cloud en las redes de VPC y servicios de Google Cloud son privados. De forma predeterminada, no se permite el tráfico saliente o el tráfico entrante desde la Internet pública.
- Cloud Logging: Los receptores de registro agregados están configurados a fin de recopilar registros relevantes para la seguridad y auditoría en un proyecto centralizado para la retención, el análisis y la exportación a largo plazo a sistemas externos.
- Cloud Monitoring: Los proyectos de alcance de Monitoring se configuran para ver las métricas de rendimiento de la aplicación en varios proyectos en un solo lugar.
- Servicio de políticas de la organización: Las restricciones de las políticas de la organización se establecen para evitar varias configuraciones de alto riesgo.
- Secret Manager: Los proyectos centralizados se crean para un equipo responsable de administrar y auditar el uso de secretos de aplicación sensibles a fin de ayudar a cumplir con los requisitos de cumplimiento.
- Cloud Key Management Service (Cloud KMS): los proyectos centralizados se crean para un equipo responsable de administrar y auditar las claves de encriptación a fin de ayudar a cumplir con los requisitos de cumplimiento.
- Security Command Center: Las funciones de detección y supervisión de amenazas se proporcionan mediante una combinación de controles de seguridad integrados de Security Command Center y soluciones personalizadas que te permiten detectar y responder a eventos de seguridad.
Para obtener alternativas a estas decisiones clave, consulta alternativas.
Próximos pasos
- Lee sobre la autenticación y la autorización (siguiente documento de esta serie).