Descripción general de los Controles del servicio de VPC

Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes usar los Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.

Con los Controles del servicio de VPC, se definen los siguientes controles para proteger los servicios de Google Cloud:

  • Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.

  • No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.

  • El intercambio de datos entre clientes y recursos separados por perímetros se protege mediante reglas de entrada y salida.

  • El acceso adaptado al contexto de los recursos se basa en atributos de cliente, como el tipo de identidad (cuenta de servicio o usuario), identidad, datos del dispositivo y origen de red (dirección IP o red de VPC). Los siguientes son ejemplos de acceso adaptado al contexto:

    • Los clientes fuera del perímetro que se encuentran en Google Cloud o de forma local están dentro de las redes de VPC autorizadas y usan el Acceso privado a Google para acceder a los recursos dentro de un perímetro.

    • El acceso a Internet a los recursos dentro de un perímetro está restringido a un rango de direcciones IPv4 y, también, IPv6.

Los Controles del servicio de VPC proporcionan una capa extra de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.

Beneficios de seguridad de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

  • Acceso desde redes no autorizadas mediante credenciales robadas: cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC protegen contra el robo de credenciales de OAuth o de credenciales de cuenta de servicio.

  • Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

    Los Controles del servicio de VPC también evitan que se lean datos desde un recurso fuera del perímetro o se copien datos en él. Los Controles del servicio de VPC impiden que las operaciones de servicio, como la copia de un comando gsutil cp en un bucket público de Cloud Storage o una copia del comando bq mk se copien en una tabla externa permanente de BigQuery.

    Google Cloud también proporciona una IP virtual restringida que se usa integrada en los Controles del servicio de VPC. La VIP restringida también permite que se realicen solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.

  • Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa extra de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.

  • Supervisión del acceso a los servicios: Usa los Controles del servicio de VPC en modo de ejecución de prueba para supervisar las solicitudes a los servicios protegidos, sin tener que acceder y comprender las solicitudes de tráfico hacia tus proyectos. También puedes crear perímetros de maceta para identificar intentos inesperados o maliciosos de sondeo de servicios accesibles.

Los Controles del servicio de VPC se configuran para tu organización de Google Cloud a fin de crear una política amplia y uniforme que se aplique de manera coherente a todos los recursos protegidos dentro del perímetro. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro. Los controles de seguridad se aplican de forma automática a todos los recursos nuevos creados dentro de un perímetro.

Controles del servicio de VPC y metadatos

Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.

En este contexto, los “datos” se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los “metadatos” se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.

El objetivo principal de los Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio a través de servicios compatibles. Los Controles del servicio de VPC también administran el acceso a los metadatos, pero es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles del servicio de VPC.

Te recomendamos que uses IAM, incluido el uso de funciones personalizadas, para garantizar un control adecuado sobre el acceso a los metadatos.

Funciones

Los Controles del servicio de VPC te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos desde ubicaciones no confiables y mitigan los riesgos de robo de datos. Puedes usar los Controles del servicio de VPC para los siguientes casos prácticos:

Aísla los recursos de Google Cloud en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Puedes configurar un perímetro para controlar las comunicaciones desde máquinas virtuales (VM) hasta un servicio de Google Cloud (API) y entre servicios de Google Cloud. Un perímetro permite una comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.

Por ejemplo:

  • Una VM dentro de una red de nube privada virtual (VPC) que es parte de un perímetro de servicio puede leer un bucket de Cloud Storage en el mismo perímetro o escribir en él. Sin embargo, se rechaza cualquier intento de acceder al bucket desde las redes de VPC que no se encuentran dentro del perímetro.

  • Una operación de copia entre dos depósitos de Cloud Storage se realiza de forma correcta si ambos depósitos están en el mismo perímetro de servicio, pero falla si uno de los depósitos está fuera del perímetro.

  • Una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de manera privada a los depósitos de Cloud Storage que estén en el mismo perímetro. Sin embargo, la VM no tiene acceso a los depósitos de Cloud Storage que están fuera del perímetro.

Extiende los perímetros a una VPN autorizada o a Cloud Interconnect

Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Una red de VPC debe ser parte de un perímetro de servicio para que las VM de esa red puedan acceder de forma privada a recursos administrados de Google Cloud dentro de ese perímetro de servicio.

Las VM con IP privadas en una red de VPC que forma parte de un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro de servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las API de Google (por ejemplo, Gmail) a través de Internet.

Por ejemplo, una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de forma privada a un bucket de Cloud Storage en el mismo perímetro de servicio. Sin embargo, la VM no tiene acceso a los depósitos de Cloud Storage que están fuera del perímetro de servicio.

Controla el acceso a los recursos de Google Cloud desde Internet

El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para hacerlo, puedes crear niveles de acceso que controlen el acceso en función de varios atributos, como la dirección IP de origen. Si las solicitudes realizadas desde Internet no cumplen con los criterios definidos en el nivel de acceso, se rechazan.

Para usar Cloud Console con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.

Servicios no compatibles

Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.

Intentar restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager generará un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Terminología

En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:

Controles del servicio de VPC
Tecnología que te permite definir un perímetro de seguridad en torno a los recursos de los servicios administrados por Google para controlar la comunicación hacia esos servicios y entre ellos.
Perímetro de servicio
Un perímetro de seguridad en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
regla de entrada
Una regla que permita que un cliente de API que está fuera del perímetro acceda a recursos dentro de un perímetro.
regla de salida
Una regla que permite que un cliente o recurso de API que está dentro del perímetro acceda a recursos fuera del perímetro.
Puente perimetral de servicio
Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de seguridad. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.
Access Context Manager
Es un servicio de clasificación de solicitudes contextual que puede mapear una solicitud a un nivel de acceso basado en atributos específicos del cliente, como la dirección IP de origen.
Nivel de acceso
Una clasificación de solicitudes a través de Internet basada en varios atributos, como el rango de IP de origen, el dispositivo del cliente, la ubicación geográfica y otros. Se puede configurar un perímetro de servicio para otorgar acceso desde Internet según el nivel de acceso asociado con una solicitud. Los niveles de acceso están determinados por el servicio de Access Context Manager.
Política de acceso
Un objeto de recursos de Google Cloud que define perímetros de servicio. Solo puede haber un objeto de política de acceso en una organización y es un elemento secundario del recurso de la organización.
VIP restringida
La VIP restringida proporciona una ruta de red privada para los productos y las API compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia a Internet.

¿Qué sigue?