Descripción general de los Controles del servicio de VPC

Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de robo de datos de los servicios de Google Cloud, como Cloud Storage y BigQuery. Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.

Con Controles del servicio de VPC, se definen los siguientes controles para proteger los servicios de Google Cloud:

  • Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (es posible que sean públicos) fuera del perímetro.

  • No se pueden copiar los datos en recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.

  • El intercambio de datos entre clientes y recursos separados por perímetros se protege mediante reglas de entrada y salida.

  • El acceso adaptado al contexto de los recursos se basa en atributos del cliente, como el tipo de identidad (cuenta de servicio o usuario), identidad, datos del dispositivo y origen de red (dirección IP o red de VPC). Los siguientes son ejemplos de acceso adaptado al contexto:

    • Los clientes fuera del perímetro que están en Google Cloud o de forma local se encuentran dentro de redes de VPC autorizadas y usan el Acceso privado a Google para acceder a los recursos dentro de un perímetro.

    • El acceso a Internet a los recursos dentro de un perímetro está restringido a un rango de direcciones IPv4 y de IPv6.

Los Controles del servicio de VPC proporcionan una capa extra de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien IAM habilita un control de acceso basado en la identidad detallado, los Controles del servicio de VPC permiten una seguridad perimetral basada en el contexto más amplia, que incluye el control de salida de datos en todo el perímetro. Recomendamos usar IAM y los Controles del servicio de VPC para una defensa en profundidad.

Beneficios de seguridad de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin perder las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

  • Acceso desde redes no autorizadas mediante credenciales robadas: cuando se permite el acceso privado solo desde redes de VPC autorizadas, los Controles del servicio de VPC protegen contra el robo de credenciales de OAuth o de credenciales de cuenta de servicio.

  • Robo de datos debido a usuarios maliciosos con información privilegiada o un código vulnerado: los Controles del servicio de VPC complementan los controles de salida de red, ya que evitan que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

    Controles del servicio de VPC también evita que se lean datos desde un recurso fuera del perímetro o se copien datos en él. Controles del servicio de VPC evita que las operaciones de servicio, como un comando gsutil cp en un bucket público de Cloud Storage o un comando bq mk en una tabla externa de BigQuery permanente.

    Google Cloud también proporciona una IP virtual restringida que se usa integrada en los Controles del servicio de VPC. La VIP restringida también permite que se realicen solicitudes a servicios compatibles con los Controles del servicio de VPC sin exponer esas solicitudes a Internet.

  • Exposición pública de datos privados debido a políticas de IAM mal configuradas: los Controles del servicio de VPC proporcionan una capa extra de seguridad mediante la denegación del acceso desde redes no autorizadas, incluso si los datos están expuestos por políticas de IAM mal configuradas.

  • Supervisa el acceso a los servicios: Usa los Controles del servicio de VPC en el modo de ejecución de prueba para supervisar las solicitudes a los servicios protegidos sin impedir el acceso y comprender las solicitudes de tráfico a los proyectos. También puedes crear perímetros de honeypot para identificar intentos inesperados o maliciosos de sondear los servicios accesibles.

Puedes usar una política de acceso de organización y configurar Controles del servicio de VPC para toda tu organización de Google Cloud, o usar políticas con alcance y configurar Controles del servicio de VPC para una carpeta o un proyecto en la organización. Conservas la flexibilidad para procesar, transformar y copiar datos dentro del perímetro. Los controles de seguridad se aplican de forma automática a todos los recursos nuevos creados dentro de un perímetro.

Controles del servicio de VPC y metadatos

Los Controles del servicio de VPC no están diseñados para aplicar controles integrales sobre el movimiento de los metadatos.

En este contexto, los “datos” se definen como contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. Los “metadatos” se definen como los atributos del recurso o su superior. Por ejemplo, los nombres de depósitos de Cloud Storage.

El objetivo principal de Controles del servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio a través de servicios compatibles. Controles del servicio de VPC también administra el acceso a los metadatos, pero es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles del servicio de VPC.

Te recomendamos que uses IAM, incluido el uso de funciones personalizadas, para garantizar un control adecuado sobre el acceso a los metadatos.

Funciones

Controles del servicio de VPC te permiten definir políticas de seguridad que evitan el acceso a los servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos desde ubicaciones no confiables y mitigan los riesgos de robo de datos. Puedes usar Controles del servicio de VPC para los siguientes casos de uso:

Aislar los recursos de Google Cloud en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad en torno a los recursos de Google Cloud. Puedes configurar un perímetro para controlar las comunicaciones desde máquinas virtuales (VM) hasta un servicio de Google Cloud (API) y entre servicios de Google Cloud. Un perímetro permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea la comunicación con los servicios de Google Cloud en todo el perímetro. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.

Estos son algunos ejemplos de los Controles del servicio de VPC que crean un límite de seguridad:

  • Una VM dentro de una red de nube privada virtual (VPC) que es parte de un perímetro de servicio puede leer o escribir en un depósito de Cloud Storage en el mismo perímetro. Sin embargo, los Controles del servicio de VPC no permiten que las VM dentro de redes de VPC que están fuera del perímetro accedan a depósitos de Cloud Storage que están dentro del perímetro.

  • Una operación de copia entre dos buckets de Cloud Storage se realiza de forma correcta si ambos buckets están en el mismo perímetro de servicio, pero si uno de los buckets está fuera del perímetro, la operación de copia falla.

  • Los Controles del servicio de VPC no permiten que una VM dentro de una red de VPC que se encuentra dentro de un perímetro de servicio acceda a los depósitos de Cloud Storage que están fuera del perímetro.

En el siguiente diagrama, se muestra un perímetro de servicio que permite la comunicación entre un proyecto de VPC y un bucket de Cloud Storage dentro del perímetro, pero bloquea toda la comunicación fuera de este:

Extiende los perímetros a una VPN autorizada o a Cloud Interconnect

Puedes configurar la comunicación privada con los recursos de Google Cloud desde las redes de VPC que abarcan entornos híbridos con extensiones locales del Acceso privado a Google. Una red de VPC debe ser parte de un perímetro de servicio para que las VM de esa red puedan acceder de forma privada a recursos administrados de Google Cloud dentro de ese perímetro de servicio.

Las VM con IP privadas en una red de VPC que forma parte de un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro de servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las API de Google (por ejemplo, Gmail) a través de Internet.

En el siguiente diagrama, se muestra un perímetro de servicio que se extiende a entornos híbridos con el Acceso privado a Google:

Controla el acceso a los recursos de Google Cloud desde Internet

El acceso desde Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puedes habilitar el acceso según el contexto de la solicitud. Para hacerlo, puedes crear niveles de acceso que controlen el acceso en función de varios atributos, como la dirección IP de origen. Si las solicitudes realizadas desde Internet no cumplen con los criterios definidos en el nivel de acceso, se rechazan.

Para usar la consola con el fin de acceder a los recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos de IPv4 y de IPv6 o a cuentas de usuario específicas.

En el siguiente diagrama, se muestra un perímetro de servicio que permite el acceso desde Internet a los recursos protegidos en función de los niveles de acceso configurados, como la dirección IP o la política de dispositivo:

Servicios no compatibles

Para obtener más información sobre los productos y servicios compatibles con los Controles del servicio de VPC, consulta la página Productos compatibles.

Si intentas restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager, se generará un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Terminología

En este tema, aprendiste sobre varios conceptos nuevos que presentan los Controles del servicio de VPC:

Controles del servicio de VPC
Una tecnología que te permite definir un perímetro de servicio en torno a los recursos de los servicios administrados por Google para controlar la comunicación entre esos servicios
Perímetro de servicio
Un perímetro de servicio en torno a los recursos administrados por Google. Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea toda la comunicación fuera de este.
regla de entrada
Una regla que permite que un cliente de la API fuera del perímetro acceda a los recursos dentro de un perímetro.
regla de salida
Una regla que permite que un cliente o recurso de API que está dentro del perímetro acceda a recursos de Google Cloud fuera del perímetro. El perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
Puente perimetral de servicio
Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de servicio. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente.
Access Context Manager
Es un servicio de clasificación de solicitudes adaptado al contexto que puede mapear una solicitud a un nivel de acceso basado en atributos específicos del cliente, como la dirección IP de origen.
Nivel de acceso
Una clasificación de solicitudes a través de Internet según varios atributos, como el rango de IP de origen, el dispositivo del cliente, la ubicación geográfica y otros. Se puede configurar un perímetro de servicio para otorgar acceso desde Internet según el nivel de acceso asociado con una solicitud. Los niveles de acceso están determinados por el servicio de Access Context Manager.
Política de acceso
Un objeto de recursos de Google Cloud que define perímetros de servicio. Puedes crear políticas de acceso con alcance para carpetas o proyectos específicos junto con una política de acceso que se pueda aplicar a toda la organización.
VIP restringida
La VIP restringida proporciona una ruta de red privada para los productos y las API compatibles con los Controles del servicio de VPC a fin de que los datos y recursos que usan esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia a Internet.

¿Qué sigue?