Descripción general de los Controles del servicio de VPC

Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery. Con los Controles del servicio de VPC, creas perímetros que protegen los recursos y datos de los servicios que especificas de forma explícita.

En todos los servicios de Google Cloud protegidos con los Controles del servicio de VPC, puedes asegurarte de lo siguiente:

  • A los recursos dentro de un perímetro solo se puede acceder de forma privada desde clientes dentro de redes de VPC autorizadas que usan el Acceso privado a Google con Google Cloud o de manera local.

  • Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.

  • No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.

  • Cuando está habilitado, el acceso a Internet a los recursos dentro de un perímetro se restringe mediante rangos de IPv4 y de IPv6 incluidos en la lista blanca.

Los Controles del servicio de VPC proporcionan una capa adicional de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.

Beneficios de seguridad de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

  1. Acceso desde redes no autorizadas mediante credenciales robadas: cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC protegen contra el robo de credenciales de OAuth o de credenciales de cuenta de servicio.

  2. Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

    Los Controles del servicio de VPC también evitan que se lean datos desde un recurso fuera del perímetro o se copien datos en él mediante operaciones de servicio, como copiarlos en un depósito público de Cloud Storage con el comando gsutil cp o a una tabla de BigQuery externa permanente con el comando bq mk.

    Además, Google Cloud proporciona una IP virtual restringida que se usa para evitar el acceso desde una red de confianza a servicios de almacenamiento que no están integrados a los Controles del servicio de VPC. La VIP restringida también permite que se realicen solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.

  3. Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa adicional de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.

    Cuando se asigna la función de administrador de políticas de Access Context Manager para IAM, un usuario que no sea el administrador de políticas de IAM puede configurar los Controles del servicio de VPC.

  4. Supervisión del acceso a los servicios: si usas perímetros en el modo de ejecución de prueba, los Controles del servicio de VPC se pueden aprovechar para supervisar las solicitudes a los servicios protegidos sin impedir el acceso. Los Controles del servicio de VPC se pueden usar en la supervisión de solicitudes a fin de comprender mejor el tráfico de solicitudes a tus proyectos. Además, proporcionan una forma de crear perímetros honeypot para identificar intentos inesperados o maliciosos de sondeos de servicios accesibles.

Los Controles del servicio de VPC se configuran para tu organización de Google Cloud a fin de crear una política amplia y uniforme que se aplique de manera coherente a todos los recursos protegidos dentro del perímetro. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro. Los controles de seguridad se aplican de forma automática a todos los recursos nuevos creados dentro de un perímetro.

Controles del servicio de VPC y metadatos

Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.

En este contexto, los “datos” se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los “metadatos” se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.

El objetivo principal de diseño de esta versión de los Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, en un perímetro de servicio a través de servicios compatibles. Si bien en la mayoría de los casos los Controles del servicio de VPC también controlan el acceso a metadatos, en algunas situaciones es posible que se puedan copiar metadatos y acceder a ellos sin las verificaciones de políticas de los Controles del servicio de VPC.

Te recomendamos que uses IAM, incluido el uso de funciones personalizadas, para garantizar un control adecuado sobre el acceso a los metadatos.

Funciones

Los Controles del servicio de VPC proporcionan estos beneficios porque te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos desde ubicaciones no confiables y mitigan los riesgos de robo de datos. Con esta versión de los Controles del servicio de VPC, podrás realizar las siguientes acciones:

Aísla los recursos de GCP en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Puedes configurar un perímetro de servicio para controlar las comunicaciones desde máquinas virtuales (VM) hasta un servicio de Google Cloud (API) y entre servicios de Google Cloud. Un perímetro de servicio permite una comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.

Por ejemplo:

  • Una VM dentro de una red de nube privada virtual (VPC) que es parte de un perímetro de servicio puede leer o escribir en un depósito de Cloud Storage en el mismo perímetro. Sin embargo, se rechaza cualquier intento de acceder al depósito desde las redes de VPC que no se encuentran dentro del perímetro.

  • Una operación de copia entre dos depósitos de Cloud Storage se realizará de forma correcta si ambos depósitos están en el mismo perímetro de servicio, pero fallará si uno de los depósitos está fuera del perímetro.

  • Una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de manera privada a los depósitos de Cloud Storage que estén en el mismo perímetro. Sin embargo, la VM no tendrá acceso a los depósitos de Cloud Storage que estén fuera del perímetro.

Extiende los perímetros a una VPN autorizada o a Cloud Interconnect

Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Una red de VPC debe ser parte de un perímetro de servicio para que las VM de esa red puedan acceder de forma privada a recursos administrados de Google Cloud dentro de ese perímetro de servicio.

Las VM con IP privadas en una red de VPC que forma parte de un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro de servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las API de Google (por ejemplo, Gmail) a través de Internet.

Por ejemplo, una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de forma privada a un depósito de Cloud Storage en el mismo perímetro de servicio. Sin embargo, la VM no tendrá acceso a los depósitos de Cloud Storage que estén fuera del perímetro de servicio.

Controla el acceso a los recursos de GCP desde Internet

El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para hacerlo, puedes crear niveles de acceso que controlen el acceso en función de varios atributos, como la dirección IP de origen. Las solicitudes realizadas desde Internet se rechazan si no cumplen con los criterios definidos en el nivel de acceso.

Para usar Cloud Console con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.

Servicios no compatibles

Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.

Intentar restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager generará un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Terminología

En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:

Controles del servicio de VPC
Tecnología que te permite definir un perímetro de seguridad en torno a los recursos de los servicios administrados por Google para controlar la comunicación hacia esos servicios y entre ellos.
VIP restringida
La VIP restringida proporciona una ruta de red privada para los productos y las API compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia a Internet.
Perímetro de servicio
Un perímetro de seguridad en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
Puente perimetral de servicio
Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de seguridad. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.
Access Context Manager
Es un servicio de clasificación de solicitudes contextual que puede mapear una solicitud a un nivel de acceso basado en atributos específicos del cliente, como la dirección IP de origen.
Nivel de acceso
Una clasificación de solicitudes a través de Internet según varios atributos, como el rango de IP de origen, el dispositivo del cliente, la ubicación geográfica y otros. Se puede configurar un perímetro de servicio para otorgar acceso desde Internet según el nivel de acceso asociado con una solicitud. Los niveles de acceso están determinados por el servicio de Access Context Manager.
Política de acceso
Un objeto de recursos de Google Cloud que define perímetros de servicio. Solo puede haber un objeto de política de acceso en una organización y es un elemento secundario del recurso de la organización.

Próximos pasos