Descripción general de los Controles del servicio de VPC

En este tema, se proporciona una descripción general de los Controles del servicio de VPC y se describen sus ventajas y funciones.

Quién debe usar los Controles del servicio de VPC

Es posible que tu organización posea propiedad intelectual en forma de datos altamente sensibles o que maneje datos sensibles que están sujetos a regulaciones de protección de datos adicionales, como PCI DSS. La pérdida accidental o la divulgación de datos sensibles puede generar implicaciones comerciales negativas significativas.

Si migras de un entorno local a la nube, uno de tus objetivos podría ser replicar la arquitectura de seguridad basada en la red local a medida que mueves tus datos a Google Cloud. Para proteger tus datos altamente sensibles, te recomendamos que te asegures de que solo se pueda acceder a tus recursos desde redes de confianza. Algunas organizaciones pueden permitir el acceso público a recursos, siempre y cuando la solicitud se origine en una red de confianza, que se puede identificar en función de la dirección IP de la solicitud.

Para mitigar los riesgos de robo de datos, es posible que tu organización también desee garantizar un intercambio de datos seguro a través de los límites organizacionales con controles detallados. Como administrador, te recomendamos que te asegures de lo siguiente:

  • Los clientes con acceso con privilegios tampoco tienen acceso a los recursos de los socios.
  • Los clientes con acceso a datos sensibles solo pueden leer conjuntos de datos públicos, pero no escribir en ellos.

Cómo los Controles del servicio de VPC reducen los riesgos de robo de datos

Los Controles del servicio de VPC ayudan a proteger contra acciones accidentales o orientadas de entidades externas o internas, lo que ayuda a minimizar los riesgos de robo de datos no autorizados de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.

Los Controles del servicio de VPC protegen los servicios de Google Cloud mediante la definición de los siguientes controles:

  • Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.

  • No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.

  • El intercambio de datos entre clientes y recursos separados por perímetros se protege mediante reglas de entrada y salida.

  • El acceso adaptado al contexto de los recursos se basa en atributos del cliente, como el tipo de identidad (cuenta de servicio o usuario), identidad, datos del dispositivo y origen de red (dirección IP o red de VPC). Los siguientes son ejemplos de acceso adaptado al contexto:

    • Los clientes fuera del perímetro que se encuentran en Google Cloud o de forma local se encuentran dentro de los recursos de VPC autorizados y usan el Acceso privado a Google para acceder a los recursos dentro de un perímetro.

    • El acceso a Internet a los recursos dentro de un perímetro está restringido a un rango de direcciones IPv4 y de IPv6.

    Para obtener más información, consulta Acceso adaptado al contexto mediante reglas de entrada.

Los Controles del servicio de VPC proporcionan una capa extra de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.

Los Controles del servicio de VPC te permiten supervisar patrones de acceso a recursos en los perímetros de servicio mediante Registros de auditoría de Cloud. Para obtener más información, consulta el registro de auditoría de los Controles del servicio de VPC.

Beneficios de seguridad de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

  • Acceso desde redes no autorizadas con credenciales robadas: Cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC te protegen contra el riesgo de robo de datos que presentan los clientes que usan credenciales de cuentas de servicio o OAuth robadas.

  • Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

    Controles del servicio de VPC también evita que se lean datos desde un recurso fuera del perímetro o se copien datos en él. Controles del servicio de VPC evita que las operaciones de servicio, como un comando gsutil cp en un bucket público de Cloud Storage o un comando bq mk en una tabla externa de BigQuery permanente.

    Google Cloud también proporciona una IP virtual restringida que se usa integrada en los Controles del servicio de VPC. La VIP restringida también permite realizar solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.

  • Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa extra de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.

  • Supervisa el acceso a los servicios: Usa los Controles del servicio de VPC en modo de ejecución de prueba para supervisar las solicitudes a los servicios protegidos sin evitar el acceso y comprender las solicitudes de tráfico a tus proyectos. También puedes crear perímetros honeypot para identificar intentos inesperados o maliciosos de sondear los servicios accesibles.

Puedes usar una política de acceso de la organización y configurar los Controles del servicio de VPC para toda la organización de Google Cloud o usar políticas con alcance y configurar los Controles del servicio de VPC de una carpeta o un proyecto de la organización. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro.

La configuración de los Controles del servicio de VPC se administra a nivel de la organización de forma predeterminada, pero se pueden usar políticas de acceso con alcance para carpetas o proyectos a fin de delegar la administración de perímetros de servicio más abajo en la jerarquía de recursos.

Controles del servicio de VPC y metadatos

Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.

En este contexto, los datos se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los metadatos se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.

El objetivo principal de Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio a través de servicios compatibles. Controles del servicio de VPC también administra el acceso a los metadatos, pero es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles del servicio de VPC.

Te recomendamos que uses IAM, incluido el uso de funciones personalizadas, para garantizar un control adecuado sobre el acceso a los metadatos.

Capacidades

Los Controles del servicio de VPC te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos de ubicaciones no confiables y mitigan los riesgos de robo de datos.

Puedes usar Controles del servicio de VPC para los siguientes casos de uso:

Aislar los recursos de Google Cloud en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Un perímetro de servicio permite una comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea la comunicación con los servicios de Google Cloud en el perímetro.

El perímetro funciona en particular con los servicios administrados de Google Cloud. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.

Puedes configurar un perímetro para controlar los siguientes tipos de comunicaciones:

  • Desde la Internet pública hasta los recursos del cliente en los servicios administrados
  • De máquinas virtuales (VMs) a un servicio (API) de Google Cloud
  • Entre los servicios de Google Cloud

Los Controles del servicio de VPC no requieren que tengas una red de nube privada virtual (VPC). Para usar los Controles del servicio de VPC sin tener ningún recurso en una red de VPC, puedes permitir el tráfico de rangos de IP externas o de ciertas principales de IAM. Para obtener más información, consulta Crea y administra niveles de acceso.

Estos son algunos ejemplos de los Controles del servicio de VPC que crean un límite de seguridad:

  • Una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede leer o escribir en un bucket de Cloud Storage en el mismo perímetro. Sin embargo, los Controles del servicio de VPC no permiten que las VM dentro de redes de VPC que están fuera del perímetro accedan a depósitos de Cloud Storage que están dentro del perímetro. Debes especificar una política de entrada para permitir que las VM dentro de las redes de VPC que están fuera del perímetro accedan a los buckets de Cloud Storage que están dentro del perímetro.

  • Un proyecto host que contiene varias redes de VPC tiene una política de perímetro diferente para cada red de VPC en el proyecto host.

  • Una operación de copia entre dos buckets de Cloud Storage se realiza de forma correcta si ambos buckets están en el mismo perímetro de servicio, pero si uno de los buckets está fuera del perímetro, la operación de copia falla.

  • Los Controles del servicio de VPC no permiten que una VM dentro de una red de VPC que se encuentra dentro de un perímetro de servicio acceda a los depósitos de Cloud Storage que están fuera del perímetro.

En el siguiente diagrama, se muestra un perímetro de servicio que permite la comunicación entre un proyecto de VPC y un bucket de Cloud Storage dentro del perímetro, pero bloquea toda la comunicación fuera de este:

Extiende los perímetros a una VPN autorizada o a Cloud Interconnect

Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Para acceder de forma privada a los recursos de Google Cloud dentro de un perímetro, la red de VPC que contiene la zona de destino local debe ser parte del perímetro de los recursos de la red local.

Las VMs con IP privadas dentro de una red de VPC que forma parte de un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro de servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las API de Google (por ejemplo, Gmail) a través de Internet.

En el siguiente diagrama, se muestra un perímetro de servicio que se extiende a entornos híbridos con el Acceso privado a Google:

Controla el acceso a los recursos de Google Cloud desde Internet

El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para ello, puedes crear reglas de entrada o niveles de acceso que permitan el acceso en función de varios atributos, como la dirección IP de origen, la identidad o el proyecto de origen de Google Cloud. Si las solicitudes realizadas desde Internet no cumplen con los criterios definidos en la regla de entrada o el nivel de acceso, se rechazan las solicitudes.

Para usar la consola de Google Cloud con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.

En el siguiente diagrama, se muestra un perímetro de servicio que permite el acceso desde Internet a los recursos protegidos en función de los niveles de acceso configurados, como la dirección IP o la política de dispositivo:

Otros controles para mitigar los riesgos de robo de datos

  • Uso compartido restringido al dominio: Puedes configurar una política de la organización para limitar el uso compartido de recursos a las identidades que pertenecen a un recurso de la organización en particular. Para obtener más información, consulta Restringe identidades por dominio.

  • Acceso uniforme a nivel de bucket: Para controlar el acceso de manera uniforme a tus buckets de Cloud Storage, considera configurar permisos de IAM a nivel de bucket. El uso del acceso uniforme a nivel de bucket te permite usar otras funciones de seguridad de Google Cloud, como el uso compartido restringido al dominio, la federación de identidades de personal y las condiciones de IAM.

  • Autenticación de varios factores: Te recomendamos usar la autenticación de varios factores para acceder a tus recursos de Google Cloud.

  • Automatización con herramientas de infraestructura como código: Te recomendamos que implementes buckets de Cloud Storage mediante una herramienta de automatización para controlar el acceso a los buckets. Pasar la infraestructura como código a través de revisiones manuales o automatizadas antes de la implementación

  • Análisis posteriores a la implementación: Puedes considerar usar las siguientes herramientas de análisis posteriores a la implementación para buscar buckets abiertos de Cloud Storage:

  • Desidentificación de datos sensibles: Puedes usar la Protección de datos sensibles para descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. La desidentificación de datos sensibles se puede realizar mediante ocultación, asignación de token o encriptación.

Servicios no compatibles

Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.

Si intentas restringir un servicio no compatible con la herramienta de línea de comandos de gcloud o la API de Access Context Manager, se mostrará un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Limitaciones conocidas

Existen algunas limitaciones conocidas con ciertos servicios, interfaces y productos de Google Cloud cuando usas los Controles del servicio de VPC. Por ejemplo, los Controles del servicio de VPC no son compatibles con todos los servicios de Google Cloud. Por lo tanto, no habilites los servicios de Google Cloud no compatibles en el perímetro. Para obtener más información, consulta la lista de productos compatibles de los Controles del servicio de VPC. Si necesitas usar un servicio que los Controles del servicio de VPC no son compatibles, habilita el servicio en un proyecto que esté fuera del perímetro.

Te recomendamos que revises las limitaciones conocidas antes de incluir los servicios de Google Cloud en el perímetro. Para obtener más información, consulta las limitaciones del servicio de Controles del servicio de VPC.

Glosario

En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:

Controles del servicio de VPC
Tecnología que te permite definir un perímetro de servicio alrededor de los recursos de los servicios administrados por Google para controlar la comunicación entre esos servicios.
perímetro de servicio
Un perímetro de servicio en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
regla de entrada
Una regla que permite que un cliente de la API que está fuera del perímetro acceda a los recursos que se encuentran dentro de uno. Para obtener más información, consulta Reglas de entrada y salida.
regla de salida
Una regla que permite que un cliente o recurso de API que está dentro del perímetro acceda a recursos de Google Cloud fuera del perímetro. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
Puente perimetral de servicio

Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de servicio. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.

Access Context Manager

Un servicio de clasificación de solicitudes adaptado al contexto que puede asignar una solicitud a un nivel de acceso según los atributos especificados del cliente, como la dirección IP de origen. Para obtener más información, consulta Descripción general de Access Context Manager.

nivel de acceso

Es una clasificación de solicitudes a través de Internet basada en varios atributos, como el rango de IP de origen, el dispositivo del cliente y la ubicación geográfica, entre otros. Al igual que con una regla de entrada, puedes usar un nivel de acceso para configurar un perímetro de servicio que otorgue acceso desde Internet según el nivel de acceso asociado con una solicitud. Puedes crear un nivel de acceso mediante Access Context Manager.

política de acceso

Un objeto de recurso de Google Cloud que define perímetros de servicio. Puedes crear políticas de acceso que se apliquen a carpetas o proyectos específicos junto con una política de acceso que se pueda aplicar a toda la organización. Una organización solo puede tener una política de acceso a nivel de la organización.

política con alcance

Una política con alcance es una política de acceso que se aplica a carpetas o proyectos específicos junto con una política de acceso que se aplica a toda la organización. Para obtener más información, consulta Descripción general de las políticas con permiso.

VIP restringida

La VIP restringida proporciona una ruta de red privada para los productos y las APIs compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia a Internet.

¿Qué sigue?