Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los Controles del servicio de VPC

En este tema, se proporciona una descripción general de los Controles del servicio de VPC y se describen sus ventajas y capacidades.

Quiénes deberían usar los Controles del servicio de VPC

Es posible que tu organización sea propietaria de propiedad intelectual en forma de datos altamente sensibles o que controle datos sensibles que están sujetos a regulaciones adicionales de protección de datos, como PCI DSS. La pérdida accidental o la divulgación de datos sensibles puede generar implicaciones comerciales negativas significativas.

Si migras de un entorno local a la nube, uno de tus objetivos podría ser replicar la arquitectura de seguridad local basada en la red a medida que mueves los datos a Google Cloud. Para proteger tus datos altamente sensibles, te recomendamos asegurarte de que solo se pueda acceder a tus recursos desde redes de confianza. Algunas organizaciones pueden permitir el acceso público a recursos siempre que la solicitud se origine en una red de confianza, que se puede identificar en función de la dirección IP de la solicitud.

Para mitigar los riesgos de robo de datos, es posible que tu organización también desee garantizar el intercambio seguro de datos más allá de los límites organizacionales con controles detallados. Como administrador, te recomendamos que te asegures de que se cumpla lo siguiente:

Los clientes con acceso privilegiado no tienen acceso a los recursos de los socios.
Los clientes con acceso a datos sensibles solo pueden leer conjuntos de datos públicos, pero no escribir en ellos.

Cómo los Controles del servicio de VPC reducen los riesgos de robo de datos

Los Controles del servicio de VPC ayudan a proteger contra las acciones accidentales o dirigidas por parte de entidades externas o internas, lo que ayuda a minimizar los riesgos de robo de datos no autorizados de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.

Para proteger los servicios de Google Cloud, los Controles del servicio de VPC definen los siguientes controles:

Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.
No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.
El intercambio de datos entre clientes y recursos separados por perímetros se protege mediante reglas de entrada y salida.
El acceso adaptado al contexto de los recursos se basa en atributos del cliente, como el tipo de identidad (cuenta de servicio o usuario), identidad, datos del dispositivo y origen de red (dirección IP o red de VPC). Los siguientes son ejemplos de acceso adaptado al contexto:
- Los clientes fuera del perímetro que se encuentran en Google Cloud o de forma local se encuentran dentro de los recursos de VPC autorizados y usan el Acceso privado a Google para acceder a los recursos dentro de un perímetro.
- El acceso a Internet a los recursos dentro de un perímetro está restringido a un rango de direcciones IPv4 y de IPv6.
Para obtener más información, consulta Acceso adaptado al contexto mediante reglas de entrada.

Los Controles del servicio de VPC proporcionan una capa extra de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.

Los Controles del servicio de VPC te permiten supervisar patrones de acceso a los recursos en los perímetros de servicio con Registros de auditoría de Cloud. Para obtener más información, consulta Registro de auditoría de los Controles del servicio de VPC.

Beneficios de seguridad de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

Acceso desde redes no autorizadas con credenciales robadas: Cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC ayudan a proteger contra el riesgo de robo de datos que presentan los clientes que usan credenciales de cuentas de servicio o OAuth robadas.
Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

Controles del servicio de VPC también evita que se lean datos desde un recurso fuera del perímetro o se copien datos en él. Controles del servicio de VPC evita que las operaciones de servicio, como un comando gsutil cp en un bucket público de Cloud Storage o un comando bq mk en una tabla externa de BigQuery permanente.

Google Cloud también proporciona una IP virtual restringida que se integra en los Controles del servicio de VPC. La VIP restringida también permite realizar solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.
Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa extra de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.
Supervisa el acceso a los servicios: Usa los Controles del servicio de VPC en modo de ejecución de prueba para supervisar las solicitudes a los servicios protegidos sin impedir el acceso y comprender las solicitudes de tráfico a tus proyectos. También puedes crear perímetros de honeypot para identificar intentos inesperados o maliciosos de sondear los servicios accesibles.

Puedes usar una política de acceso de la organización y configurar los Controles del servicio de VPC para toda la organización de Google Cloud, o usar políticas de alcance y configurar los Controles del servicio de VPC para una carpeta o un proyecto de la organización. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro.

La configuración de los Controles del servicio de VPC se administra a nivel de la organización de forma predeterminada, pero las políticas de acceso con permiso para carpetas o proyectos se pueden usar a fin de delegar la administración de perímetros de servicio más abajo en la jerarquía de recursos.

Controles del servicio de VPC y metadatos

Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.

En este contexto, los datos se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los metadatos se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.

El objetivo principal de Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio a través de servicios compatibles. Controles del servicio de VPC también administra el acceso a los metadatos, pero es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles del servicio de VPC.

Te recomendamos que uses IAM, incluido el uso de funciones personalizadas, para garantizar un control adecuado sobre el acceso a los metadatos.

Funciones

Los Controles del servicio de VPC te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos de ubicaciones que no son de confianza y mitigan los riesgos de robo de datos.

Puedes usar Controles del servicio de VPC para los siguientes casos de uso:

Aislar los recursos de Google Cloud y las redes de VPC en perímetros de servicio
Extiende los perímetros a redes locales mediante redes de VPC autorizadas o de zona de destino de Cloud Interconnect.
Controlar el acceso a los recursos de Google Cloud desde Internet
Proteger el intercambio de datos en perímetros y organizaciones mediante las reglas de entrada y salida
Permitir el acceso adaptado al contexto de los recursos según los atributos del cliente mediante reglas de entrada

Aislar los recursos de Google Cloud en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Un perímetro de servicio permite una comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea la comunicación con los servicios de Google Cloud en el perímetro.

El perímetro funciona específicamente con los servicios administrados de Google Cloud. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.

Puedes configurar un perímetro para controlar los siguientes tipos de comunicaciones:

De Internet pública a recursos de clientes en servicios administrados
De máquinas virtuales (VMs) a un servicio (API) de Google Cloud
Entre los servicios de Google Cloud

Los Controles del servicio de VPC no requieren que tengas una red de nube privada virtual (VPC). Para usar los Controles del servicio de VPC sin tener ningún recurso en una red de VPC, puedes permitir el tráfico desde rangos de IP externas o determinadas principales de IAM. Para obtener más información, consulta Crea y administra niveles de acceso.

Estos son algunos ejemplos de los Controles del servicio de VPC que crean un límite de seguridad:

Una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede leer o escribir en un bucket de Cloud Storage en el mismo perímetro. Sin embargo, los Controles del servicio de VPC no permiten que las VM dentro de redes de VPC que están fuera del perímetro accedan a depósitos de Cloud Storage que están dentro del perímetro. Debes especificar una política de entrada para permitir que las VM dentro de las redes de VPC que están fuera del perímetro accedan a los buckets de Cloud Storage que están dentro del perímetro.
Un proyecto host que contiene varias redes de VPC tiene una política de perímetro diferente para cada red de VPC en el proyecto host.
Una operación de copia entre dos buckets de Cloud Storage se realiza de forma correcta si ambos buckets están en el mismo perímetro de servicio, pero si uno de los buckets está fuera del perímetro, la operación de copia falla.
Los Controles del servicio de VPC no permiten que una VM dentro de una red de VPC que se encuentra dentro de un perímetro de servicio acceda a los depósitos de Cloud Storage que están fuera del perímetro.

En el siguiente diagrama, se muestra un perímetro de servicio que permite la comunicación entre un proyecto de VPC y un bucket de Cloud Storage dentro del perímetro, pero bloquea toda la comunicación fuera de este:

Extiende los perímetros a una VPN autorizada o a Cloud Interconnect

Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Para acceder de forma privada a los recursos de Google Cloud dentro de un perímetro, la red de VPC que contiene la zona de destino local debe ser parte del perímetro de los recursos de la red local.

Las VM con direcciones IP privadas en una red de VPC protegida por un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro de servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las APIs de Google (por ejemplo, Gmail) a través de Internet.

En el siguiente diagrama, se muestra un perímetro de servicio que se extiende a entornos híbridos con el Acceso privado a Google:

Controla el acceso a los recursos de Google Cloud desde Internet

El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para hacerlo, puedes crear reglas de entrada o niveles de acceso que permitan el acceso en función de varios atributos, como la dirección IP de origen, la identidad o el proyecto de origen de Google Cloud. Si las solicitudes realizadas desde Internet no cumplen con los criterios definidos en la regla de entrada o el nivel de acceso, se rechazan las solicitudes.

Para usar la consola de Google Cloud con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.

En el siguiente diagrama, se muestra un perímetro de servicio que permite el acceso desde Internet a los recursos protegidos en función de los niveles de acceso configurados, como la dirección IP o la política de dispositivo:

Otros controles para mitigar los riesgos de robo de datos

Uso compartido restringido al dominio: Puedes considerar la posibilidad de configurar una política de la organización para limitar el uso compartido de recursos a las identidades que pertenecen a un recurso de organización en particular. Para obtener más información, consulta Restringe identidades por dominio.
Acceso uniforme a nivel de bucket: Para controlar el acceso de manera uniforme a tus buckets de Cloud Storage, considera configurar permisos de IAM a nivel de bucket. El uso del acceso uniforme a nivel de bucket te permite usar otras funciones de seguridad de Google Cloud, como el uso compartido restringido al dominio, la federación de identidades de personal y las condiciones de IAM.
Autenticación de varios factores: Te recomendamos que uses la autenticación de varios factores para acceder a los recursos de Google Cloud.
Automatización con herramientas de infraestructura como código: Te recomendamos que implementes buckets de Cloud Storage con una herramienta de automatización para controlar el acceso a los buckets. Pasar la infraestructura como código a través de revisiones manuales o automatizadas antes de la implementación
Análisis posteriores a la implementación: Puedes considerar usar las siguientes herramientas de análisis posteriores a la implementación para buscar buckets abiertos de Cloud Storage:
- Security Command Center
- Cloud Asset Inventory para buscar en el historial de metadatos de los elementos y analizar la política de IAM a fin de comprender quién tiene acceso a qué.
- Herramientas de terceros, como Palo Alto PrismaCloud
Desidentificación de datos sensibles: Puedes considerar usar la Protección de datos sensibles para descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. La desidentificación de datos sensibles se puede realizar mediante ocultación, asignación de token o encriptación.

Servicios no compatibles

Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.

Advertencia: Si bien es posible habilitar que los servicios no compatibles accedan a los datos de los productos y servicios compatibles, recomendamos que no lo hagas. Pueden surgir problemas inesperados cuando se intenta acceder a un servicio compatible mediante un servicio no admitido, en especial dentro del mismo proyecto.

Es posible que los servicios no compatibles no funcionen cuando se habiliten en un proyecto protegido por los Controles del servicio de VPC, en especial cuando los servicios de almacenamiento de bajo nivel, como Cloud Storage o Pub/Sub, están restringidos. Recomendamos implementar servicios no compatibles en proyectos fuera de los perímetros. A fin de permitir que estos servicios accedan a los datos de los recursos dentro de un perímetro, crea un nivel de acceso que incluya la cuenta de servicio para ese servicio y aplícalo a perímetros según sea necesario.

Si intentas restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager, se producirá un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Limitaciones conocidas

Existen algunas limitaciones conocidas con ciertos servicios, interfaces y productos de Google Cloud cuando usas los Controles del servicio de VPC. Por ejemplo, los Controles del servicio de VPC no son compatibles con todos los servicios de Google Cloud. Por lo tanto, no habilites los servicios de Google Cloud no compatibles en el perímetro. Para obtener más información, consulta la lista de productos compatibles de los Controles del servicio de VPC. Si necesitas usar un servicio que los Controles del servicio de VPC no admiten, habilítalo en un proyecto que esté fuera del perímetro.

Te recomendamos que revises las limitaciones conocidas antes de incluir servicios de Google Cloud en el perímetro. Para obtener más información, consulta las limitaciones del servicio de Controles del servicio de VPC.

Glosario

En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:

Controles del servicio de VPC: Una tecnología que te permite definir un perímetro de servicio alrededor de los recursos de los servicios administrados por Google para controlar la comunicación entre esos servicios.
perímetro de servicio: Un perímetro de servicio en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
regla de entrada: Una regla que permite que un cliente de la API que está fuera del perímetro acceda a los recursos que se encuentran dentro de uno. Para obtener más información, consulta Reglas de entrada y salida.
regla de salida: Una regla que permite que un cliente o recurso de API que está dentro del perímetro acceda a recursos de Google Cloud fuera del perímetro. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
Puente perimetral de servicio: Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de servicio. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.

Nota: En lugar de usar un puente perimetral, te recomendamos que uses reglas de entrada y salida que proporcionen controles más detallados.
Access Context Manager: Un servicio de clasificación de solicitudes contextuales que puede asignar una solicitud a un nivel de acceso en función de atributos específicos del cliente, como la dirección IP de origen. Para obtener más información, consulta Descripción general de Access Context Manager.
nivel de acceso: Es una clasificación de solicitudes a través de Internet basada en varios atributos, como el rango de IP de origen, el dispositivo del cliente y la ubicación geográfica, entre otros. Al igual que con una regla de entrada, puedes usar un nivel de acceso para configurar un perímetro de servicio y otorgar acceso desde Internet según el nivel de acceso asociado con una solicitud. Puedes crear un nivel de acceso mediante Access Context Manager.
política de acceso: Un objeto de recurso de Google Cloud que define perímetros de servicio. Puedes crear políticas de acceso que tengan permisos para carpetas o proyectos específicos, junto con una política de acceso que pueda aplicarse a toda la organización. Una organización solo puede tener una política de acceso a nivel de la organización.
política con alcance: Una política con alcance es una política de acceso que se limita a carpetas o proyectos específicos junto con una política de acceso que se aplica a toda la organización. Para obtener más información, consulta Descripción general de las políticas con alcance.
VIP restringida: La VIP restringida proporciona una ruta de red privada para los productos y las APIs compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia a Internet.

¿Qué sigue?

Obtén más información sobre la configuración del perímetro de servicio.
Comprender cómo administrar redes de VPC en perímetros de servicio
Revisa las limitaciones del servicio conocidas.
Obtén más información sobre cómo Google Cloud ayuda a reducir los riesgos de robo de datos.