Diseño de políticas para clientes empresariales

En este artículo, se muestra cómo diseñar un conjunto de políticas que permiten que tu empresa, un cliente empresarial hipotético llamado EnterpriseExampleOrganization, use Google Cloud.

Por lo general, los clientes empresariales tienen un amplio historial de operaciones que moldea su estructura organizativa y sus políticas internas. Mediante la adición de varias entidades legales por medio de adquisiciones, fusiones o por crecimiento natural del mercado, estos clientes desarrollaron una estructura organizativa sofisticada y compleja con muchos empleados. En un entorno tan complejo, es esencial establecer un control centralizado, cumplimiento y división de responsabilidades.

Con frecuencia, los procesos y las herramientas que se usan para administrar elementos locales se deben extender a fin de que incluyan recursos de la nube. En este artículo, se muestra cómo diseñar políticas que permitan que EnterpriseExampleOrganization use Google Cloud de una manera que cumpla los siguientes requisitos:

  • Mantener un sistema de identidad local para todos los usuarios de EnterpriseExampleOrganization
  • Restringir el acceso de los miembros a los recursos de EnterpriseExampleOrganization
  • Delegar la administración en equipos o departamentos para que puedan administrar los recursos de Google Cloud aprovisionados
  • Distribuir la carga cruzada entre los equipos y los productos que desarrollan
  • Usar una herramienta de autoservicio para aprovisionar solicitudes de recursos de procesamiento y equipos y a fin de aplicar controles corporativos. Esta herramienta se debe extender para cubrir los recursos de Google Cloud
  • Tomar decisiones sobre adquisición a través de un equipo central de finanzas
  • Administrar controles de seguridad y herramientas de redes con un equipo central
  • Supervisar la actividad que ocurre en la cuenta de Google Cloud de EnterpriseExampleOrganization
  • Permitir a los desarrolladores que usen los recursos que otorga la herramienta de autoservicio
  • Iniciar la implementación desde el control de calidad hasta la producción solo con ingenieros de implementación autorizados

Administración y visibilidad

En las siguientes secciones, se describen los diferentes enfoques de Google Cloud que EnterpriseExampleOrganization puede usar para cumplir la lista de requisitos.

Administración de identidades

Se aborda el siguiente requisito de EnterpriseExampleOrganization:

  • Mantener un sistema de identidad local para todos los usuarios de EnterpriseExampleOrganization

Google Cloud usa Cuentas de Google para la administración del acceso y la autenticación. Como requisito para otorgar a EnterpriseExampleOrganization acceso a los recursos de Google Cloud, los empleados deben tener acceso a una identidad de Google. Debido a que seguirás usando el sistema de identidad junto con Google Cloud, debes configurar una Cuenta de Cloud Identity que permita que EnterpriseExampleOrganization se sincronice con identidades locales mediante Cloud Directory Sync. También necesitas implementar el SSO de SAML para asegurarte de que el sistema de identidad administre la autenticación. Para obtener más información, consulta Identidad y autenticación y observa el siguiente diagrama.

estructura de la política empresarial

Cloud Directory Sync

Si configuras Cloud Identity y usas Cloud Directory Sync, puedes sincronizar entre tu sistema de identidad local y la nube. Esto brinda control detallado sobre los usuarios corporativos a los que deseas otorgar acceso directo a los recursos de Google Cloud. En general, estos usuarios son desarrolladores, científicos de datos y personal de operaciones.

Usa SAML

Google Cloud admite el SSO de SAML 2.0, en el que Google actúa como el proveedor de servicios (SP) y un identificador de terceros actúa como el proveedor de identidad. Esto asegura que la autenticación de la identidad se delegue al proveedor de identidad.

Configuración organizativa

Se abordan los requisitos siguientes de EnterpriseExampleOrganization:

  • Restringir el acceso de los miembros a los recursos de EnterpriseExampleOrganization
  • Delegar la administración en equipos o departamentos para que puedan administrar los recursos de Google Cloud aprovisionados
  • Distribuir la carga cruzada entre los equipos y los productos que desarrollan

EnterpriseExampleOrganization requiere un gobierno central, por lo que necesitas implementar los recursos de la organización. Esto da a los administradores de EnterpriseExampleOrganization visibilidad y control total de los activos de la empresa.

Con un recurso de organización preparado, puedes esquematizar tu organización según la jerarquía de recursos. Como parte de esta organización jerárquica, puedes usar Cloud Folders como contenedores para proyectos y otras carpetas. Cloud Folders permite a los usuarios agrupar proyectos en carpetas y habilita la administración de recursos y políticas a gran escala.

En el siguiente diagrama, se muestra una descripción general de la estructura:

configuración organizativa

Esta estructura es paralela a la estructura de departamentos de una organización o de filiales bajo la empresa superior. EnterpriseExampleOrganization también puede usar carpetas para encapsular todos los proyectos y elementos asociados con un centro de costos, un departamento o una aplicación del proyecto.

El uso de Cloud Folders te permite administrar las políticas de administración de acceso al nivel de las carpetas. Todos los proyectos en esa carpeta heredan esta política.

Controles de seguridad organizacionales

Se abordan los requisitos siguientes de EnterpriseExampleOrganization:

  • Restringir el acceso de los miembros a los recursos de EnterpriseExampleOrganization
  • Supervisar la actividad que ocurre en la cuenta de Google Cloud de EnterpriseExampleOrganization
  • Usar una herramienta de autoservicio a fin de aprovisionar solicitudes de recursos de procesamiento y equipos y para aplicar controles corporativos. Esta herramienta se debe extender para cubrir los recursos de Google Cloud
  • Administrar herramientas de redes y seguridad a través de un equipo central
  • Permitir a los desarrolladores que usen los recursos que otorga la herramienta de autoservicio
  • Iniciar la implementación desde el control de calidad hasta la producción solo por ingenieros de implementación autorizados

El servicio de políticas de la organización proporciona un control central y programático sobre los recursos en la nube de EnterpriseExampleOrganization. El servicio proporciona un mecanismo simple para aplicar las opciones de configuración permitidas a tu jerarquía de recursos de Cloud. En este contexto, las políticas se refieren a las políticas de la organización, que permiten controlar la configuración de los recursos en la nube a nivel organizacional.

Las políticas de la organización proporcionan los beneficios siguientes:

  • Puedes configurar políticas por proyecto, por carpeta o por organización
  • Las políticas se heredan en la jerarquía de recursos y un administrador de políticas puede anularlas en cualquier nivel en el que se pueda establecer una política de organización
  • El administrador de políticas de la organización administra las políticas, no el propietario de recursos. Esto significa que los usuarios individuales y los propietarios de proyectos no pueden anular políticas de la organización.

Control de recursos

Puedes implementar políticas de la organización para especificar qué recursos están disponibles en un límite de confianza de Google Cloud (carpeta, proyecto o demás niveles de la organización).

  • La administración de identidades y accesos (IAM) te permite administrar el control de acceso mediante la definición de quién (identidad) tiene qué acceso (función) a cuál recurso. Puedes otorgar funciones a los usuarios si creas una política de IAM, que es una colección de declaraciones que definen quién tiene qué tipo de acceso. Una política se adjunta a un recurso y se usa para aplicar el control de acceso cada vez que se accede a ese recurso.
  • Resource Manager proporciona puntos de asociación y herencia para el control de acceso y las políticas de la organización. Mediante el uso de la API de Resource Manager, puedes interactuar con la organización, las carpetas y los proyectos.
  • En todos los casos, tienes que pensar con cuidado qué controles de acceso implementar, quién necesita acceso y dónde aplicar el principio de privilegio mínimo.

Con Cloud Deployment Manager, puedes crear proyectos de forma automática con los recursos y políticas de IAM adecuados. Puedes usar las plantillas como parte de un sistema de autoservicio.

Competencias funcionales

Tienes que mapear las competencias funcionales de EnterpriseExampleOrganization a las funciones de IAM adecuadas.

Mediante el uso de grupos para administrar tus usuarios, puedes modificar quién puede realizar una función en particular. El ajuste de la membresía del grupo elimina la necesidad de actualizar la política. Con la terminología de EnterpriseExampleOrganization, nombra a los grupos para que reflejen las competencias funcionales.

Debido a que usarás la herramienta de autoservicio para habilitar las API y, además, implementar las plantillas de Deployment Manager, necesitas cuentas de servicio con los permisos adecuados.

Las siguientes políticas de IAM de ejemplo pueden ayudar a EnterpriseExampleOrganization a cumplir con los requisitos:

Descripción de la política de IAM Funcionalidad
Nivel de recurso en el que se aplicará la política: Organización

Funciones a otorgar: Administrador de facturación

Miembros que se vincularán: equipo de finanzas
La función Administrador de facturación permite al equipo de finanzas administrar los pagos y las facturas sin tener que darles los permisos para que vean el contenido del proyecto.
Nivel de recurso en el que se otorgará la política: Organización

Funciones a otorgar: Usuario de facturación, Creador del proyecto

Miembros que se vincularán: cuenta de servicio que se usa para automatizar la creación de proyectos y objetos
La función Creador de proyecto da los permisos para crear un proyecto a la cuenta de servicio que se usa con la herramienta de autoservicio. La función Usuario de facturación permite a la cuenta de servicio habilitar la facturación (los proyectos asociados con la cuenta de facturación de la organización para todos los proyectos dentro de esta).
Nivel de recurso en el que se aplicará la política: Organización

Funciones a otorgar: Administrador de red

Miembros que se vincularán: equipo de administración de red
La función de administrador de red otorga los permisos para crear, modificar y borrar recursos de herramientas de redes. Otorgar este permiso al equipo administrador de red a nivel de la organización implica que podrán administrar la configuración de red de todos los proyectos de la organización.

En auditoría

Los registros de auditoría de Cloud proporcionan una vista de los registros de auditoría recientes. Estos documentan los registros de actividad del administrador y los registros de acceso a datos que generan los servicios de Google Cloud para responder la pregunta: “¿Quién hizo qué, dónde y cuándo?”

Puedes retener entradas de registro de auditoría individuales durante un período específico en Cloud Logging, que ofrece una vista de panel de la actividad reciente del proyecto. En la política de cuotas de Logging, se explica por cuánto tiempo se retienen las entradas de registro, aunque no se pueden borrar ni modificar los registros de auditoría ni sus entradas de otra manera. Para una retención más prolongada, puedes exportar entradas de registro de auditoría a un bucket de Cloud Storage, un conjunto de datos de BigQuery, un tema de Pub/Sub o cualquier combinación de los tres.

Realiza un seguimiento y obtén información sobre los gastos

Se abordan los requisitos siguientes de EnterpriseExampleOrganization:

  • Tomar decisiones sobre adquisición a través de un equipo central de finanzas
  • Distribuir la carga cruzada entre los equipos y los productos que desarrollan

Una sola cuenta de facturación implementada junto con Cloud Resource Manager y las características de facturación puede cumplir con los requisitos de EnterpriseExampleOrganization. Para la facturación, se incluyen las características siguientes:

  • Proyectos para organizar recursos. El costo se muestra por proyecto y los ID de proyecto están incluidos en la exportación de la facturación
  • La anotación de proyectos con etiquetas que representan información de agrupación adicional, como environment=test. Las etiquetas se incluyen en la exportación de facturación para que puedas desglosar los costos con más detalle. Aunque las etiquetas suelen cambiar, aún pueden ser útiles
  • La codificación de un centro de costos en Project Name o ID, para que sea más fácil rastrear el centro de costos correspondiente a cada gasto
  • Exportar los datos de facturación directo a BigQuery para permitir estadísticas detalladas

En el siguiente diagrama, se muestra una sola cuenta de facturación implementada junto con Resource Manager.

estructura de facturación

Para administrar la facturación de forma centralizada, debes otorgar la función de Administrador de facturación a la cuenta de facturación y vincular esta función de IAM a los usuarios en el equipo de finanzas.

Propuesta de políticas de administración de identidad y organización

En el siguiente diagrama, se muestran las políticas de la organización propuestas para EnterpriseExampleOrganization.

política de la organización

En el diagrama anterior, se observan cinco características clave:

  1. Política de la organización para aplicar las restricciones y el cumplimiento.

  2. Las carpetas de las entidades legales y los departamentos tienen cargos adicionales.

  3. Proyectos para equipos y apps

  4. El uso de identidades corporativas existentes mediante la sincronización de identidades o el inicio de sesión único

  5. La creación previa de grupos para administrar los permisos de IAM

Configuración de red y controles de seguridad

Se abordan los requisitos siguientes de EnterpriseExampleOrganization:

  • Administrar controles de seguridad y herramientas de redes con un equipo central

EnterpriseExampleOrganization tiene un equipo central que administra los controles de seguridad y de Herramientas de redes, y quiere conservar este modelo cuando se use Google Cloud. Este equipo requiere conexiones confiables y seguras con Google Cloud desde sus oficinas. Cloud Interconnect proporciona conexiones con mayor disponibilidad, menor latencia o ambas, de lo que podrían obtener mediante conexiones a Internet.

VPC compartida

La VPC compartida te permite administrar recursos de red comunes, como redes de VPC y subredes desde un proyecto host central. Los otros proyectos también pueden acceder a estos recursos. Esta configuración y sus controles de IAM facilitan la administración de la red central.

Con la VPC compartida, puedes tener una red de VPC, como un espacio de IP de RFC 1918 común privado, que abarque varios proyectos. Puedes agregar instancias desde cualquier proyecto a esta red de VPC o sus subredes. Puedes también adjuntar una VPN a esa única red de VPC, que pueden usar todos los proyectos o un subconjunto de ellos.

La VPC compartida ofrece las siguientes características:

  • Permite un conjunto de administradores de redes centralizadas distintos de los administradores de proyectos.
  • Permite asignar un grupo de administradores para administrar la VPC compartida mediante controles de IAM.
  • Facilita la creación de distintos conjuntos de administradores. Los administradores de cada proyecto de Google Cloud pueden crear y usar instancias en la red de VPC.
  • Permite que el administrador de red sea parte del equipo centralizado, mientras que los usuarios en diferentes departamentos de EnterpriseExampleOrganization pueden compartir la red de VPC o una subred.
  • Proporciona una manera para administrar los recursos de herramientas de redes de forma centralizada; por ejemplo, las direcciones IP y las subredes
  • Permite aplicar políticas coherentes y hace que se cumplan en toda la organización
  • El administrador de red puede definir un conjunto de reglas de firewall, puertas de enlace, políticas de seguridad y NAT comunes una vez y aplicarlos a todas las subredes. Estas políticas no necesitan definirse y mantenerse N veces para cada proyecto.

Controles de seguridad de red

Se abordan los requisitos siguientes de EnterpriseExampleOrganization:

  • Permitir a los desarrolladores que usen los recursos que otorga la herramienta de autoservicio
  • Administrar controles de seguridad y herramientas de redes con un equipo central
  • Iniciar la implementación desde el control de calidad hasta la producción solo por ingenieros de implementación autorizados

EnterpriseExampleOrganization quiere enviar los activos compilados directo hacia su entorno de producción desde los entornos de prueba de forma segura y programada. El modelo de red descrito aquí aborda el requisito de controles de seguridad apropiados.

Los controles de seguridad organizacional se trataron en una sección previa. Estos controles y los controles de seguridad específicos de la red trabajan juntos para abordar los requisitos identificados en esta sección.

Funciones de red de IAM

Para cumplir con los requisitos de EnterpriseExampleOrganization, debes implementar controles de IAM de red y seguridad apropiados.

Funcionalidad Descripción de las políticas de IAM requeridas
Un equipo central administra la red y los controles de seguridad. Todos los proyectos comparten una misma red.
  • Mediante las prácticas recomendadas, configura un grupo que contenga las identidades de los usuarios que administran las Herramientas de redes y la seguridad de forma centralizada. Usa este grupo en las políticas de IAM necesarias para cumplir con este requisito.
  • El uso de una VPC compartida te permite asignar equipos centralizados para administrar la configuración de red.
  • Asigna la función de administrador de red junto con la función de administrador de VPC compartida (XPNAdmin) al grupo en el nivel de la organización de la jerarquía de recursos de la nube. Además, si se otorga la función de Administrador de seguridad a nivel de la organización a este grupo de administradores, se proporcionan los permisos necesarios para administrar reglas de firewall y certificados SSL.
Los proyectos se crean con la herramienta de autoservicio Esta funcionalidad requiere un proyecto dedicado en el que exista la cuenta de servicio capaz de crear proyectos.

La herramienta de autoservicio usa esta cuenta de servicio. Otorga a la cuenta de servicio las funciones Usuario de facturación y Creador de proyecto y configúralas al nivel de la organización.

Equipos separados que pueden administrar cada uno de los proyectos de servicio, por lo que puedes separar los proyectos de desarrollo, prueba y producción.

En el siguiente diagrama, se muestra el modelo más simple que cumple con los requisitos de control central de EnterpriseExampleOrganization. El mismo equipo puede administrar el desarrollo y la producción de redes de VPC.

Arquitectura de los requisitos de control central.

Reglas de firewall

Las reglas de firewall administran el tráfico entre las subredes de origen y destino o las instancias etiquetadas o que usan cuentas de servicio específicas. Estas reglas proporcionan los controles necesarios para garantizar que haya suficientes puertas entre los entornos de desarrollo, prueba y producción.

Referencias

Requisito Referencias
Administración de identidades
Configuración organizativa
Facturación
Herramientas de redes y controles de seguridad

Pasos siguientes