Nuestros documentos suelen estar escritos para ayudarte a tener en marcha un producto o una función, pero es posible que algunos no funcionen correctamente si tu organización aplica restricciones de seguridad. Por ejemplo, tu empresa podría implementar algunas de las limitaciones de seguridad del kit de herramientas de Cloud Foundation, los planos de seguridad de Google Cloud o crear los suyos propios.
En este artículo, se proporciona ayuda para solucionar problemas de implementación de aplicaciones que puedes ver en una organización que usa restricciones de seguridad.
Cómo solucionar problemas de restricciones de seguridad
Tu equipo de operaciones de TI o de seguridad puede habilitar restricciones de seguridad a través de la política de la organización. Estas restricciones limitan cómo se pueden usar los recursos de tu organización.
Cuando realizas una solicitud a la API que muestra un error, la respuesta de la API debería indicarte si se debe a incumplimientos de políticas. La respuesta debe explicar la restricción que se incumple. Los siguientes pasos para solucionar problemas te ayudarán a determinar y comprender si se produce un incumplimiento:
Revisa el mensaje de error de la respuesta de la API. ¿Puedes identificar qué restricción de seguridad vulnera tu implementación?
En el siguiente ejemplo, se indica que la restricción
sql.restrictPublicIp
es el problema:Organization Policy check failure The external IP of this instance violates the constraints/sql.restrictPublicIp enforced
Si comprendes el incumplimiento de política, actualiza la configuración de la implementación de recursos para que funcione dentro de las restricciones.
En el ejemplo anterior de restricción de direcciones IP públicas externas, configura tu instancia de Cloud SQL para que use una dirección IP privada interna.
Si no sabes por qué se aplica la restricción ni qué hacer, trabaja con tu equipo de seguridad para comprender dónde se aplica la política en la jerarquía de tu organización y las soluciones alternativas sugeridas.
Verifica si se comparten plantillas de implementación, como las de Terraform, en tu organización. Estas plantillas deben detallar cómo se configuró la infraestructura de Google Cloud y limitar la implementación de tu aplicación.
Problemas comunes de restricciones de seguridad
Cuando implementas tus aplicaciones en Google Cloud, puedes encontrar un error como el siguiente ejemplo:
ERROR: (gcloud.alpha.sql.instances.create) HTTPError 400: Invalid request: Organization Policy check failure: the external IP of this instance violates the constraints/sql.restrictPublicIp enforced at the 123456789 project.
En este ejemplo, no puedes configurar una instancia de Cloud SQL para que use una dirección IP pública externa. Se aplica una restricción de seguridad desde una política aplicada a tu entorno.
Las siguientes restricciones de seguridad comunes se pueden habilitar y detallar en una respuesta de error de la API a medida que desarrollas tus aplicaciones.
Compute Engine
Nombre de la restricción | Por qué se implementa | Solución alternativa sugerida |
---|---|---|
constraints/compute.disableNestedVirtualization | Evita que se instale un hipervisor compatible con KVM dentro de la VM. Este comportamiento podría generar riesgos de seguridad sin parches ni administración adecuados. | Configura tu VM para inhabilitar la virtualización anidada por aceleración de hardware. De forma predeterminada, está activada para todas las VMs de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes. |
constraints/compute.requireShieldedVm | Exige que las instancias de VM nuevas usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. Estas opciones evitan que se manipule la VM y que se acceda a los datos o se modifiquen. | No habilites VMs protegidas cuando crees una VM. Para crear un clúster de GKE, debes habilitar los nodos de GKE blindados. Actualmente, Dataflow no admite trabajadores de VM protegidos. |
constraints/compute.disableSerialPortAccess | Quita los vectores de seguridad para interactuar con una VM o ver el resultado del diagnóstico que se podría usar para formar un ataque. | No habilites el acceso al puerto en serie cuando crees una VM. |
constraints/compute.disableGuestAttributesAccess | Minimiza la cantidad de información sobre el host y la plataforma subyacentes que podría aprovechar una app maliciosa. | No uses la API de Compute Engine para leer los atributos de invitado de tus VM de Compute Engine. |
constraints/compute.vmExternalIpAccess | Evita que las aplicaciones se ejecuten con una dirección IP externa y que se pueda acceder a ellas desde Internet. | Inhabilita el acceso a IP externas para tus VMs. Solo puedes usar una dirección IP interna y privada. GKE puede usar clúster privados sin direcciones IP públicas. Actualmente, Dataprep y Dataflow no admiten direcciones IP privadas. |
Red virtual y direcciones IP
Nombre de la restricción | Por qué se implementa | Solución alternativa sugerida |
---|---|---|
constraints/compute.skipDefaultNetworkCreation | Asegúrate de que solo se puedan crear nubes privadas virtuales (VPC) administradas por la empresa y de que se apliquen reglas de filtrado o tráfico de red. | Conecta tus aplicaciones a las VPC existentes en tu organización. Las VPC predeterminadas creadas automáticamente no se implementan para proyectos nuevos. |
constraints/compute.restrictXpnProjectLienRemoval | Evita que se borre accidentalmente una VPC compartida cuando los recursos de otros proyectos dependen de los servicios de red que proporciona. | No intentes borrar una VPC compartida. Asegúrate de segmentar el recurso correcto para la eliminación. |
constraints/sql.restrictPublicIp | Evita que las instancias de Cloud SQL se ejecuten con una dirección IP externa y que se pueda acceder a ellas desde Internet. | No configures tu instancia de Cloud SQL para que use una dirección IP pública externa. En su lugar, configura tu instancia de Cloud SQL para que use una dirección IP privada interna. |
Identidad y autenticación
Nombre de la restricción | Por qué se implementa | Solución alternativa sugerida |
---|---|---|
constraints/iam.disableServiceAccountKeyCreation | Las claves de cuenta de servicio pueden representar un riesgo de seguridad si se exponen, por lo que debes evitar que se exporten. | Autentica con una alternativa más segura a las claves de cuenta de servicio. |
constraints/storage.uniformBucketLevelAccess | Permitir que se use la administración de identidades y accesos (IAM) solo para aplicar el riesgo de permisos incorrectos o incoherentes a los buckets de almacenamiento. | Habilita el acceso uniforme a nivel de bucket para proteger tu bucket de Cloud Storage. |
constraints/iam.allowedPolicyMemberDomains | Restringe el acceso de los recursos de Google Cloud solo a los dominios aprobados | Usa una cuenta en uno de los dominios aprobados. Existen problemas conocidos adicionales para esta restricción. |
Ejemplos de errores de respuesta de la API
En el ejemplo anterior de restricción de direcciones IP públicas externas con Cloud SQL, un incumplimiento de política hace que la API muestre un error. En los siguientes ejemplos más detallados, se muestra la respuesta de la API que te indica qué restricción hace que falle la solicitud. Consulta tus propias respuestas de la API para comprender por qué fallan las implementaciones de aplicaciones.
Falla de Cloud SQL con Google Cloud CLI:
$ gcloud alpha sql instances create mysql-node --project my-sql-project ERROR: (gcloud.alpha.sql.instances.create) HTTPError 400: Invalid request: Organization Policy check failure: the external IP of this instance violates the constraints/sql.restrictPublicIp enforced at the 123456789 project.
Falla de Cloud SQL con Terraform:
$ terraform apply plan.out [...] module.mysql-db.google_sql_database_instance.default: Creating... Error: Error, failed to create instance backend01-db-1c81e0e3: googleapi: Error 400: Invalid request: Organization Policy check failure: the external IP of this instance violates the constraints/sql.restrictPublicIp enforced at the 123456789 project., invalid
Enumera las políticas de la organización aplicadas a tu proyecto
Tu proyecto puede heredar políticas del nivel de la carpeta o de la organización. Según tus roles de acceso, es posible que no tengas visibilidad sobre las políticas que se aplican en niveles superiores de la jerarquía para ver dónde se aplica la restricción infringida.
Para ver las políticas o excepciones aplicadas a tu proyecto, usa el comando gcloud org-policies list:
gcloud org-policies list --project=PROJECT_ID
Reemplaza PROJECT_ID por el proyecto para el que deseas ver las políticas aplicadas.
Para obtener más información sobre una política que se aplica, usa el comando gcloud org-policies describe. Proporciona el nombre de la política que deseas describir y el ID de tu proyecto con el parámetro --project
:
gcloud org-policies describe POLICY_NAME \ --project=PROJECT_ID
Reemplaza lo siguiente:
POLICY_NAME: Es el nombre de la política de la organización.
PROJECT_ID: Es el proyecto para el que deseas ver la política aplicada.
¿Qué sigue?
Si no puedes determinar dónde se aplica una política ni cómo evitar una restricción de seguridad, comunícate con tu equipo de operaciones de TI o de seguridad. Cada organización aplica políticas y esquemas personalizados para su entorno.
Para obtener más información sobre todos los controles que se podrían aplicar en tu organización, consulta la lista de restricciones de las políticas de la organización.