En esta guía se muestra cómo usar un Private Service Connect de Secure Source Manager en un perímetro de Controles de Servicio de VPC para protegerse frente a la filtración externa de datos.
Esta guía está dirigida a administradores de redes, arquitectos de seguridad y profesionales de operaciones en la nube que quieran mitigar el riesgo de pérdida de datos sensibles.
Antes de empezar
- Crea una instancia de Secure Source Manager de Private Service Connect.
- Crea un perímetro de Controles de Servicio de VPC.
Roles obligatorios
Para obtener los permisos que necesitas para configurar Secure Source Manager en un perímetro de Controles de Servicio de VPC, pide a tu administrador que te asigne los siguientes roles de IAM en la organización:
-
Rol Administrador de Access Context Manager (
roles/accesscontextmanager.policyAdmin) -
Creador de proyectos (
roles/resourcemanager.projectCreator)
Siga las prácticas recomendadas
Si habilitas Controles de Servicio de VPC sin cuidado, pueden surgir problemas con las aplicaciones que ya tengas y, en algunos casos, incluso provocar una interrupción del servicio. Te recomendamos que planifiques la habilitación cuidadosamente y que dejes tiempo suficiente para recoger datos, hacer pruebas y analizar los registros de infracciones. Asegúrate de que los participantes de tu equipo de operaciones de Controles de Servicio de VPC y de tu equipo de aplicaciones estén disponibles para llevar a cabo la tarea.
Para obtener más información sobre las prácticas recomendadas, consulta Prácticas recomendadas para habilitar Controles de Servicio de VPC.
Añadir un proyecto al perímetro
En la Google Cloud consola, ve a la página Controles de Servicio de VPC.
En la página Controles de Servicio de VPC, selecciona el perímetro que quieras usar para proteger tu proyecto.
En la página Detalles de la configuración obligatoria de Controles de Servicio de VPC, haga clic en Editar en la sección Recursos que proteger.
Haz clic en Recursos que proteger y añade el ID de tu proyecto.
Haz clic en Guardar.
Añadir Secure Source Manager como servicio restringido
En la Google Cloud consola, ve a la página Controles de Servicio de VPC.
En la página Controles de Servicio de VPC, selecciona el perímetro al que has añadido tu proyecto.
En la página Detalles de la configuración obligatoria de Controles de Servicio de VPC, haga clic en Editar en la sección Servicios restringidos.
Haz clic en Añadir servicios.
En el cuadro de diálogo Especificar servicios que se van a restringir, marque la casilla situada junto a Secure Source Manager. Puede usar la consulta de filtro para localizar Gestor de fuentes seguras en la lista.
Haz clic en Guardar.
Después de actualizar un perímetro de servicio, los cambios pueden tardar hasta 30 minutos en propagarse y aplicarse. Durante este tiempo, es posible que el perímetro bloquee las solicitudes con el siguiente mensaje de error:
Error 403: Request is prohibited by organization's policy.
Siguientes pasos
- Consulta más información sobre Private Service Connect.
- Consulta más información sobre cómo conectarse a máquinas virtuales sin direcciones IP externas.