En este tema, se proporciona una descripción general de los Controles del servicio de VPC y se describen sus ventajas y capacidades.
Quién debe usar los Controles del servicio de VPC
Es posible que tu organización sea propietaria de propiedad intelectual en forma de datos altamente sensibles o que maneje datos sensibles que estén sujetos a reglamentaciones adicionales de protección de datos, como las PCI DSS. La pérdida o divulgación no deseada de datos sensibles puede generar consecuencias comerciales negativas significativas.
Si migras de un entorno local a la nube, uno de tus objetivos podría ser replicar tu arquitectura de seguridad basada en la red local a medida que trasladas tus datos a Google Cloud. Para proteger tus datos altamente sensibles, te recomendamos que te asegures de que solo se pueda acceder a tus recursos desde redes de confianza. Algunas organizaciones pueden permitir el acceso público a los recursos, siempre que la solicitud provenga de una red de confianza, que se puede identificar según la dirección IP de la solicitud.
Para mitigar los riesgos de robo de datos, tu organización también podría querer garantizar un intercambio de datos seguro entre los límites de la organización con controles detallados. Como administrador, te recomendamos que te asegures de lo siguiente:
- Los clientes con acceso con privilegios tampoco tienen acceso a los recursos de los socios.
- Los clientes con acceso a datos sensibles solo pueden leer conjuntos de datos públicos, pero no escribir en ellos.
Cómo los Controles del servicio de VPC reducen los riesgos de robo de datos
Los Controles del servicio de VPC ayudan a proteger contra acciones accidentales o intencionales provenientes de entidades externas o internas, lo que ayuda a minimizar los riesgos de robo de datos no garantizados de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.
Con Controles del servicio de VPC, se definen los siguientes controles para proteger los servicios de Google Cloud:
Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.
No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como
gcloud storage cp
obq mk
.El intercambio de datos entre clientes y recursos separados por perímetros se protege mediante reglas de entrada y salida.
El acceso adaptado al contexto de los recursos se basa en atributos del cliente, como el tipo de identidad (cuenta de servicio o usuario), identidad, datos del dispositivo y origen de red (dirección IP o red de VPC). Los siguientes son ejemplos de acceso adaptado al contexto:
Los clientes fuera del perímetro que están en Google Cloud o de forma local se encuentran dentro de recursos de VPC autorizados y usan el Acceso privado a Google para acceder a los recursos dentro de un perímetro.
El acceso a Internet a los recursos dentro de un perímetro está restringido a un rango de direcciones IPv4 y de IPv6.
Para obtener más información, consulta Acceso adaptado al contexto con reglas de entrada.
Los Controles del servicio de VPC proporcionan una capa extra de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.
Los Controles del servicio de VPC te permiten supervisar los patrones de acceso a los recursos en todos tus perímetros de servicio con los Registros de auditoría de Cloud. Para obtener más información, consulta Registro de auditoría de los Controles del servicio de VPC.
Beneficios de seguridad de los Controles del servicio de VPC
Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:
Acceso desde redes no autorizadas mediante credenciales robadas: Cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC ayudan a proteger contra el riesgo de robo de datos que presentan los clientes que usan credenciales de OAuth o de cuenta de servicio robadas.
Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.
Controles del servicio de VPC también evita que se lean datos desde un recurso fuera del perímetro o se copien datos en él. Controles del servicio de VPC evita que las operaciones de servicio, como un comando
gcloud storage cp
en un bucket público de Cloud Storage o un comandobq mk
en una tabla externa de BigQuery permanente.Google Cloud también proporciona una IP virtual restringida que se integra a los Controles del servicio de VPC. La VIP restringida también permite que se realicen solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.
Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa extra de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.
Supervisa el acceso a los servicios: Usa los Controles del servicio de VPC en el modo de ejecución de prueba para supervisar las solicitudes a los servicios protegidos sin impedir el acceso y comprender las solicitudes de tráfico a los proyectos. También puedes crear perímetros de honeypot para identificar intentos inesperados o maliciosos de sondear los servicios accesibles.
Puedes usar una política de acceso de organización y configurar Controles del servicio de VPC para toda tu organización de Google Cloud, o usar políticas con alcance y configurar Controles del servicio de VPC para una carpeta o un proyecto en la organización. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro.
De forma predeterminada, las configuraciones de los Controles del servicio de VPC se administran a nivel de la organización, pero se pueden usar políticas de acceso con alcance para carpetas o proyectos para delegar la administración de los perímetros de servicio más abajo en la jerarquía de recursos.
Controles del servicio de VPC y metadatos
Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.
En este contexto, los datos se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los metadatos se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.
El objetivo principal de Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio a través de servicios compatibles. Controles del servicio de VPC también administra el acceso a los metadatos, pero es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles del servicio de VPC.
Te recomendamos que uses IAM, incluido el uso de roles personalizados, para garantizar un control adecuado sobre el acceso a los metadatos.
Funciones
Los Controles del servicio de VPC te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos desde ubicaciones no confiables y mitigan los riesgos de robo de datos.
Puedes usar Controles del servicio de VPC para los siguientes casos de uso:
Aislar los recursos de Google Cloud y las redes de VPC en perímetros de servicio
Extiende los perímetros a redes locales con redes de VPC de zona de destino de VPN o Cloud Interconnect autorizadas.
Controlar el acceso a los recursos de Google Cloud desde Internet
Proteger el intercambio de datos en perímetros y organizaciones mediante las reglas de entrada y salida
Permitir el acceso adaptado al contexto de los recursos según los atributos del cliente mediante reglas de entrada
Aislar los recursos de Google Cloud en perímetros de servicio
Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Un perímetro de servicio permite una comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea la comunicación con los servicios de Google Cloud en todo el perímetro.
El perímetro funciona específicamente con los servicios administrados de Google Cloud. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
Puedes configurar un perímetro para controlar los siguientes tipos de comunicaciones:
- De la Internet pública a los recursos del cliente dentro de los servicios administrados
- De máquinas virtuales (VM) a un servicio de Google Cloud (API)
- Entre servicios de Google Cloud
Los Controles del servicio de VPC no requieren que tengas una red de nube privada virtual (VPC). Para usar los controles del servicio de VPC sin tener recursos en una red de VPC, puedes permitir el tráfico de rangos de IP externos o ciertos principales de IAM. Para obtener más información, consulta Crea y administra niveles de acceso.
Estos son algunos ejemplos de los Controles del servicio de VPC que crean un límite de seguridad:
Una VM dentro de una red de VPC que es parte de un perímetro de servicio puede leer o escribir en un bucket de Cloud Storage en el mismo perímetro. Sin embargo, los Controles del servicio de VPC no permiten que las VM dentro de redes de VPC que están fuera del perímetro accedan a depósitos de Cloud Storage que están dentro del perímetro. Debes especificar una política de entrada para permitir que las VMs dentro de redes de VPC que están fuera del perímetro accedan a los buckets de Cloud Storage que están dentro del perímetro.
Un proyecto host que contiene varias redes de VPC tiene una política de perímetro distinta para cada red de VPC en el proyecto host.
Una operación de copia entre dos buckets de Cloud Storage se realiza de forma correcta si ambos buckets están en el mismo perímetro de servicio, pero si uno de los buckets está fuera del perímetro, la operación de copia falla.
Los Controles del servicio de VPC no permiten que una VM dentro de una red de VPC que se encuentra dentro de un perímetro de servicio acceda a los depósitos de Cloud Storage que están fuera del perímetro.
En el siguiente diagrama, se muestra un perímetro de servicio que permite la comunicación entre un proyecto de VPC y un bucket de Cloud Storage dentro del perímetro, pero bloquea toda la comunicación fuera de este:
Extiende los perímetros a una VPN autorizada o a Cloud Interconnect
Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Para acceder de forma privada a los recursos de Google Cloud dentro de un perímetro, la red de VPC que contiene la zona de aterrizaje de las instalaciones debe ser parte del perímetro de los recursos de la red local.
Las VMs con direcciones IP privadas en una red de VPC protegida por un perímetro de servicio no pueden acceder a los recursos administrados fuera de este. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las APIs de Google (por ejemplo, Gmail) a través de Internet.
En el siguiente diagrama, se muestra un perímetro de servicio que se extiende a entornos híbridos con el Acceso privado a Google:
Controla el acceso a los recursos de Google Cloud desde Internet
El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para ello, puedes crear reglas de entrada o niveles de acceso para permitir el acceso en función de varios atributos, como la dirección IP, la identidad o el proyecto de Google Cloud de origen. Si las solicitudes realizadas desde Internet no cumplen con los criterios definidos en la regla de entrada o el nivel de acceso, se rechazan.
Para usar la consola de Google Cloud con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.
En el siguiente diagrama, se muestra un perímetro de servicio que permite el acceso desde Internet a los recursos protegidos en función de los niveles de acceso configurados, como la dirección IP o la política de dispositivo:
Otros controles para mitigar los riesgos de robo de datos
Uso compartido restringido al dominio: Puedes configurar una política de la organización para limitar el uso compartido de recursos a identidades que pertenecen a un recurso de organización en particular. Para obtener más información, consulta Restringe identidades por dominio.
Acceso uniforme a nivel de bucket: Para controlar de manera uniforme el acceso a tus buckets de Cloud Storage, considera configurar permisos de IAM a nivel del bucket. El uso del acceso uniforme a nivel de bucket te permite usar otras funciones de seguridad de Google Cloud, como el uso compartido restringido del dominio, la federación de identidades de personal y las condiciones de IAM.
Autenticación de varios factores: Te recomendamos que uses la autenticación de varios factores para acceder a tus recursos de Google Cloud.
Automatización con herramientas de infraestructura como código: Te recomendamos que implementes buckets de Cloud Storage con una herramienta de automatización para controlar el acceso a los buckets. Pasa la infraestructura como código a través de revisiones manuales o automáticas antes de la implementación.
Análisis posteriores a la implementación: Puedes usar las siguientes herramientas de análisis posteriores a la implementación para buscar buckets de Cloud Storage abiertos:
- Security Command Center
- Cloud Asset Inventory para buscar el historial de metadatos de los activos y analizar la política de IAM para comprender quién tiene acceso a qué.
- Herramientas de terceros, como Palo Alto PrismaCloud
Desidentificación de datos sensibles: Puedes usar Protección de datos sensibles para descubrir, clasificar y desidentificar datos sensibles dentro y fuera de Google Cloud. La desidentificación de los datos sensibles se puede realizar mediante ocultamiento, asignación de tokens o encriptación.
Servicios no compatibles
Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.
Intentar restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud
o la API de Access Context Manager generará un error.
Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.
Limitaciones conocidas
Existen algunas limitaciones conocidas con ciertos servicios, interfaces y productos de Google Cloud cuando usas los Controles del servicio de VPC. Por ejemplo, los Controles del servicio de VPC no son compatibles con todos los servicios de Google Cloud. Por lo tanto, no habilites los servicios de Google Cloud no compatibles en el perímetro. Para obtener más información, consulta la lista de productos compatibles con los Controles del servicio de VPC. Si necesitas usar un servicio que los Controles del servicio de VPC no admite, habilita el servicio en un proyecto que esté fuera del perímetro.
Te recomendamos que revises las limitaciones conocidas antes de incluir los servicios de Google Cloud en el perímetro. Para obtener más información, consulta las limitaciones del servicio de Controles del servicio de VPC.
Glosario
En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:
- Controles del servicio de VPC
- Tecnología que te permite definir un perímetro de servicio en torno a los recursos de los servicios administrados por Google para controlar la comunicación hacia esos servicios y entre ellos.
- perímetro de servicio
- Un perímetro de servicio en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
- regla de entrada
- Una regla que permite que un cliente de la API fuera del perímetro acceda a los recursos dentro de un perímetro. Para obtener más información, consulta Reglas de entrada y salida.
- regla de salida
- Una regla que permite que un cliente o recurso de API que está dentro del perímetro acceda a recursos de Google Cloud fuera del perímetro. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
- Puente perimetral de servicio
Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de servicio. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.
- Access Context Manager
Es un servicio de clasificación de solicitudes contextual que puede asignar una solicitud a un nivel de acceso basado en atributos específicos del cliente, como la dirección IP de origen. Para obtener más información, consulta Descripción general de Access Context Manager.
- nivel de acceso
Una clasificación de solicitudes a través de Internet según varios atributos, como el rango de IP de origen, el dispositivo del cliente, la ubicación geográfica y otros. Al igual que con una regla de entrada, puedes usar un nivel de acceso para configurar un perímetro de servicio que otorgue acceso desde Internet según el nivel de acceso asociado con una solicitud. Puedes crear un nivel de acceso con Access Context Manager.
- política de acceso
Un objeto de recursos de Google Cloud que define perímetros de servicio. Puedes crear políticas de acceso con alcance para carpetas o proyectos específicos junto con una política de acceso que se pueda aplicar a toda la organización. Una organización solo puede tener una política de acceso a nivel de la organización.
- política con alcance
Una política de alcance es una política de acceso que se aplica a carpetas o proyectos específicos junto con una política de acceso que se aplica a toda la organización. Para obtener más información, consulta Descripción general de las políticas centradas.
- VIP restringida
La VIP restringida proporciona una ruta de red privada para los productos y las APIs compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet.
restricted.googleapis.com
se resuelve como199.36.153.4/30
. Este rango de direcciones IP no se anuncia a Internet.
¿Qué sigue?
- Obtén más información sobre la configuración del perímetro de servicio.
- Comprende cómo administrar redes de VPC en perímetros de servicio
- Revisa las limitaciones del servicio conocidas.