Desarrolla aplicaciones en un entorno de Google Cloud limitado

Nuestros documentos suelen redactarse para que un producto o función esté en funcionamiento pero es posible que algunos documentos no funcionen correctamente si tu organización aplica medidas de restricciones. Por ejemplo, tu empresa podría implementar algunas de las limitaciones de seguridad del kit de herramientas de Cloud Foundation, los planos de seguridad de Google Cloud o crear los suyos propios.

En este artículo, se proporciona ayuda para solucionar problemas de implementación de aplicaciones que puedes ver en una organización que usa restricciones de seguridad.

Cómo solucionar problemas de restricciones de seguridad

Tu equipo de operaciones de TI o seguridad puede habilitar restricciones de seguridad a través de la política de la organización. Estas restricciones restringen la forma cómo se pueden usar los recursos.

Cuando realizas una solicitud a la API que muestra un error, la respuesta de la API debería indicarte si se debe a incumplimientos de políticas. En la respuesta, se debe explicar restricción que se infringe. Los siguientes pasos para solucionar problemas te ayudarán a determinar y comprender si se produce un incumplimiento:

  1. Revisa el mensaje de error de la respuesta de la API. ¿Puedes identificar qué restricción de seguridad vulnera tu implementación?

    En el siguiente ejemplo, se indica que la restricción sql.restrictPublicIp es el problema:

    Organization Policy check failure
    The external IP of this instance violates the constraints/sql.restrictPublicIp enforced
    
  2. Si comprendes el incumplimiento de política, actualiza la implementación de recursos configuración para trabajar dentro de las restricciones.

    En el ejemplo anterior de restricción de direcciones IP públicas externas, configura tu instancia de Cloud SQL para que use una dirección IP privada interna.

  3. Si no sabes por qué se aplica la restricción ni qué hacer, trabaja con tu equipo de seguridad para comprender dónde se aplica la política en la jerarquía de tu organización y las soluciones alternativas sugeridas.

    Verifica si se comparten plantillas de implementación, como las de Terraform, en tu organización. Estas plantillas deben detallar cómo se configuró la infraestructura de Google Cloud y limitar la implementación de tu aplicación.

Problemas comunes de restricciones de seguridad

Cuando implementas tus aplicaciones en Google Cloud, puedes encontrar un error como el siguiente ejemplo:

ERROR: (gcloud.alpha.sql.instances.create) HTTPError 400: Invalid request:
Organization Policy check failure: the external IP of this instance violates the
constraints/sql.restrictPublicIp enforced at the 123456789 project.

En este ejemplo, no puedes configurar una instancia de Cloud SQL para que use una dirección IP pública externa. Se aplica una restricción de seguridad desde una política aplicada a tu entorno.

Las siguientes restricciones de seguridad comunes pueden habilitarse y detallarse en una API respuesta a los errores a medida que desarrollas tus aplicaciones.

Compute Engine

Nombre de la restricción Por qué se implementa Solución sugerida
constraints/compute.disableNestedVirtualization Impedir que se instale un hipervisor compatible con KVM dentro de la VM Esta este comportamiento podría introducir riesgos de seguridad sin la aplicación de parches y y administración de posturas. Configura tu VM para inhabilitar la virtualización anidada por aceleración de hardware.

De forma predeterminada, está activada para todas las VMs de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.
constraints/compute.requireShieldedVm Exige que las instancias de VM nuevas usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. Estas opciones evitan que se manipule la VM y que se acceda a los datos o se modifiquen. No habilites las VMs protegidas cuando crees una VM.

Para crear un clúster de GKE, debes habilitar nodos de GKE protegidos.

Actualmente, Dataflow no admite trabajadores de VM protegidos.
constraints/compute.disableSerialPortAccess Quita los vectores de seguridad para interactuar con una VM o ver el resultado del diagnóstico que se podría usar para formar un ataque. No habilites el acceso al puerto en serie cuando crees una VM.
constraints/compute.disableGuestAttributesAccess Minimizar la cantidad de información sobre el host y la plataforma subyacentes de las apps maliciosas abusivas. No uses la API de Compute Engine para leer los atributos de invitado de tus VM de Compute Engine.
constraints/compute.vmExternalIpAccess Evita que las aplicaciones se ejecuten con una dirección IP externa y que se pueda acceder a ellas desde Internet. Inhabilita el acceso a IP externas para tus VMs. Solo puedes usar una dirección IP interna y privada.

GKE puede usar clúster privados sin direcciones IP públicas.

En este momento, Dataprep y Dataflow no admiten IP privadas direcciones IP del proveedor.

Red virtual y direcciones IP

Nombre de la restricción Por qué se implementa Solución sugerida
constraints/compute.skipDefaultNetworkCreation Asegúrate de que solo se puedan crear nubes privadas virtuales (VPC) administradas por la empresa y de que se apliquen reglas de filtrado o tráfico de red. Conecta tus aplicaciones a las VPC existentes en tu organización. Las VPC predeterminadas creadas automáticamente no se implementan para proyectos nuevos.
constraints/compute.restrictXpnProjectLienRemoval Evita que se borre accidentalmente una VPC compartida cuando los recursos de otros proyectos dependen de los servicios de red que proporciona. No intentes borrar una VPC compartida. Asegúrese de segmentar los anuncios para el recurso para su eliminación.
constraints/sql.restrictPublicIp Evita que las instancias de Cloud SQL se ejecuten con una dirección IP externa y que se pueda acceder a ellas desde Internet. No configures tu instancia de Cloud SQL para usar una red pública externa dirección IP pública.

En su lugar, configura tu instancia de Cloud SQL para que use una dirección IP privada interna.

Identidad y autenticación

Nombre de la restricción Por qué se implementa Solución alternativa sugerida
constraints/iam.disableServiceAccountKeyCreation Las claves de cuentas de servicio pueden suponer un riesgo de seguridad si se exponen, por lo que debes evitarlas de la exportación. Autentica con una alternativa más segura a las claves de cuenta de servicio.
constraints/storage.uniformBucketLevelAccess Permitir que se use la administración de identidades y accesos (IAM) solo para aplicar el riesgo de permisos incorrectos o incoherentes a los buckets de almacenamiento. Habilita el acceso uniforme a nivel de bucket para proteger tu bucket de Cloud Storage.
constraints/iam.allowedPolicyMemberDomains Restringe el acceso de los recursos de Google Cloud solo a los dominios aprobados Usa una cuenta en uno de los dominios aprobados. Existen problemas conocidos adicionales para esta restricción.

Ejemplos de errores de respuesta de la API

En el ejemplo anterior de restricción de direcciones IP públicas externas con Cloud SQL, un incumplimiento de política hace que la API devuelva un error. En los siguientes ejemplos más detallados, se muestra la respuesta de la API que te indica qué restricción hace que falle la solicitud. Consulta tus propias respuestas de la API para comprender por qué fallan las implementaciones de aplicaciones.

Falla de Cloud SQL con Google Cloud CLI:

$ gcloud alpha sql instances create mysql-node --project my-sql-project

ERROR: (gcloud.alpha.sql.instances.create) HTTPError 400: Invalid request:
Organization Policy check failure: the external IP of this instance violates the
constraints/sql.restrictPublicIp enforced at the 123456789 project.

Falla de Cloud SQL con Terraform:

$ terraform apply plan.out

[...]
module.mysql-db.google_sql_database_instance.default: Creating...

Error: Error, failed to create instance backend01-db-1c81e0e3: googleapi:
Error 400: Invalid request: Organization Policy check failure: the external IP
of this instance violates the constraints/sql.restrictPublicIp enforced at the
123456789 project., invalid

Enumera las políticas de la organización aplicadas a tu proyecto

Tu proyecto puede heredar políticas del nivel de la carpeta o de la organización. Según tus roles de acceso, es posible que no tengas visibilidad sobre las políticas que se aplican en niveles superiores de la jerarquía para ver dónde se aplica la restricción infringida.

Para ver las políticas o excepciones aplicadas a tu proyecto, usa el comando gcloud org-policies list:

gcloud org-policies list --project=PROJECT_ID

Reemplaza PROJECT_ID por el proyecto para el que deseas ver las políticas aplicadas.

Para obtener más información sobre una política que se aplica, usa la gcloud org-policies describe kubectl. Proporciona el nombre de la política que deseas describir y el ID del proyecto con El parámetro --project:

gcloud org-policies describe POLICY_NAME \
  --project=PROJECT_ID

Reemplaza lo siguiente:

  • POLICY_NAME: Es el nombre de la política de la organización.

  • PROJECT_ID: Es el proyecto en el que deseas ver la aplicación forzosa. política

¿Qué sigue?

Si no puedes determinar dónde se aplica una política ni cómo evitar una restricción de seguridad, comunícate con tu equipo de operaciones de TI o de seguridad. Cada organización aplica políticas y esquemas personalizados para su entorno.

Para obtener más información sobre todos los controles que se pueden aplicar en su organización, consulta la lista de restricciones de las políticas de la organización.