En este documento, se describen las arquitecturas de implementación recomendadas de los Controles del servicio de VPC. Este documento está dirigido a los administradores de red, arquitectos de seguridad y profesionales de operaciones en la nube que ejecutan y operan implementaciones de producción a gran escala en Google Cloud y personas que deseen mitigar el riesgo de pérdida de datos sensibles.
Debido a que la protección de los Controles del servicio de VPC afecta la funcionalidad de los servicios en la nube, te recomendamos que planifiques la habilitación de los Controles del servicio de VPC con anticipación y que los consideres durante el diseño de la arquitectura. Es importante que el diseño de los Controles del servicio de VPC sea lo más simple posible. Recomendamos que evites usar diseños de perímetro que usen varios puentes, proyectos de red perimetral o un perímetro de DMZ, y niveles de acceso complejos.
Usa un perímetro unificado común
Un solo perímetro grande, conocido como perímetro unificado común, proporciona la protección más efectiva contra el robo de datos en comparación con el uso de varios perímetros segmentados.
Un perímetro unificado común también proporciona el beneficio de reducir la sobrecarga de administración para los equipos responsables de la creación y el mantenimiento del perímetro. Dado que los servicios y los recursos de red dentro de un perímetro pueden comunicarse libremente con los permisos necesarios de IAM y de controles de red, los equipos responsables de la administración del perímetro se preocuparán principalmente por el acceso norte-sur, que es el acceso desde Internet a los recursos dentro del perímetro.
Cuando una organización usa varios perímetros más pequeños, los equipos de administración de perímetros deben dedicar recursos a administrar el tráfico este-oeste entre los perímetros de una organización, además del tráfico norte-sur desde fuera de la organización. Según el tamaño de la organización y la cantidad de perímetros, esta sobrecarga puede ser considerable. Te recomendamos que dividas tu perímetro en capas con controles de seguridad adicionales y prácticas recomendadas, como asegurarte de que los recursos dentro de la red de VPC no tengan salida directa a Internet.
Los perímetros de servicio no están diseñados para reemplazar ni reducir la necesidad de controles de IAM. Cuando definas los controles de acceso, te recomendamos que te asegures de que se siga el principio de privilegio mínimo y se apliquen las prácticas recomendadas de IAM.
Para obtener más información, consulta Crea un perímetro de servicio.
Usa varios perímetros en una organización
Ciertos casos de uso pueden requerir varios perímetros para una organización. Por ejemplo, una organización que administra datos de atención médica podría querer un perímetro para datos de alta confianza no ofuscados y un perímetro independiente para datos desidentificados de nivel inferior para facilitar el uso compartido con entidades externas y, al mismo tiempo, proteger los datos de alta confianza.
Si tu organización desea cumplir con estándares como las PCI DSS, te recomendamos que tengas un perímetro separado para tus datos regulados.
Cuando el uso compartido de datos es un caso de uso principal para tu organización, considera usar más de un perímetro. Si produces y compartes datos de nivel inferior, como los datos de salud de pacientes desidentificados, puedes usar un perímetro independiente para facilitar el uso compartido con entidades externas. Para obtener más información, consulta los patrones de referencia para el intercambio de datos seguro.
Además, si usas tu organización de Google Cloud para alojar usuarios independientes de terceros, como socios o clientes, considera definir un perímetro para cada usuario. Si consideras que debe extraerse el movimiento de datos de uno de estos usuarios a otro, te recomendamos que implementes otro perímetro.
Diseño de perímetro
Te recomendamos que habilites todos los servicios protegidos cuando crees un perímetro, lo que ayuda a reducir la complejidad operativa y minimizar los posibles vectores de robo de datos. Debido a que dejar las APIs desprotegidas aumenta los posibles vectores de robo de datos, deben realizarse revisiones y justificaciones si tu organización opta por proteger una API y no otra.
Todos los proyectos nuevos deben someterse al proceso de revisión y calificación que se describe en las secciones siguientes. Incluye en el perímetro todos los proyectos que aprueben las condiciones de calificación.
Asegúrate de que no haya una ruta de acceso a la VIP privada desde cualquiera de las VPC del perímetro. Si permites una ruta de red a private.googleapis.com, negarás la protección de los Controles del servicio de VPC del robo de datos privilegiados. Si debes permitir el acceso a un servicio no admitido, intenta aislar el uso de servicios no compatibles en un proyecto separado o mover toda la carga de trabajo fuera del perímetro.
Revisa y califica proyectos
Una empresa típica tiene muchos proyectos que representan cargas de trabajo y construcciones de alto nivel, como planos de control, data lakes, unidades de negocios y etapas del ciclo de vida. Además de organizar estos proyectos y componentes en carpetas, te recomendamos que los califiques dentro o fuera de un perímetro de Controles del servicio de VPC. Para calificar, haz lo siguiente:
¿Existe un componente que tenga una dependencia fija en un servicio que los Controles del servicio de VPC no admita?
La aplicación de los Controles del servicio de VPC no es ambigua, por lo que es posible que este tipo de dependencia no funcione en un perímetro. Te recomendamos que modifiques la carga de trabajo para aislar el requisito de servicios no compatibles en un proyecto separado o mover la carga de trabajo fuera del perímetro.
¿Hay un componente que no tiene datos sensibles y no utilice datos sensibles de otros proyectos?
Si respondiste que sí a alguna de las preguntas anteriores, te recomendamos que no coloques el proyecto en un perímetro. Puedes solucionar esto, como se explica en el tema Diseño de lista de entidades permitidas. Sin embargo, te recomendamos que minimices la complejidad del perímetro.
¿Qué sigue?
- Obtén más información para crear un perímetro de servicio.
- Obtén información para probar el impacto de un perímetro con el modo de ejecución de prueba.
- Obtén información sobre las reglas de entrada y salida que permiten la comunicación entre perímetros de servicio.