Descripción general de los controles del servicio de VPC

Los Controles de servicio de VPC mejoran tu capacidad para mitigar el riesgo de exiliados de datos de servicios administrados por Google, como Cloud Storage y BigQuery. Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.

Para todos los servicios administrados por Google protegidos con Controles de servicio de VPC, puedes asegurarte de que:

  • Los recursos dentro de un perímetro solo se pueden acceder de forma privada desde clientes dentro de redes de VPC autorizadas que usan Acceso privado a Google con Google Cloud o de manera local.

  • Los clientes dentro de un perímetro que tienen acceso privado a los recursos no tienen acceso a recursos no autorizados (potencialmente públicos) fuera del perímetro.

  • No se pueden copiar los datos a recursos no autorizados fuera del perímetro mediante operaciones de servicio como gsutil cp o bq mk.

  • Cuando está habilitado, el acceso a Internet a los recursos dentro de un perímetro está restringido mediante rangos de IPv4 e IPv6 incluidos en la lista blanca.

Los Controles de servicio de VPC proporcionan una capa adicional de seguridad para los servicios de Google Cloud que es independiente de Cloud Identity and Access Management (Cloud IAM). Si bien Cloud IAM permite un control de acceso detallado, los Controles de servicio de VPC permiten una seguridad perimetral basada en contexto más amplia, como el control de salida de datos en todo el perímetro. Te recomendamos usar los controles de servicio de VPC y Cloud IAM para la defensa en profundidad.

Beneficios de seguridad de los controles de servicio de VPC

Los Controles de servicio de VPC ayudan a mitigar los siguientes riesgos de seguridad sin sacrificar las ventajas de rendimiento del acceso privado directo a los recursos de Google Cloud:

  1. Acceso desde redes no autorizadas con credenciales robadas: Al permitir el acceso privado solo desde redes de VPC autorizadas, los Controles de servicio de VPC protegen contra el robo de credenciales OAuth o credenciales de cuentas de servicio.

  2. Exfiltración de datos por personas malintencionadas o código comprometido: Los Controles de servicio de VPC complementan los controles de salida de red al impedir que los clientes dentro de esas redes accedan a los recursos de servicios administrados por Google fuera del perímetro.

    Los Controles del servicio de VPC también evitan leer o copiar datos a un recurso fuera del perímetro mediante operaciones de servicio, como copiar en un depósito público de Cloud Storage mediante el comando gsutil cp o una tabla de BigQuery externa permanente mediante el comando bq mk.

    La función VIP restringida se puede usar para evitar el acceso de una red confiable a los servicios de almacenamiento que no están integrados con los Controles de servicio de VPC.

  3. Exposición pública de datos privados debido a políticas mal configuradas de Cloud IAM: Los controles del servicio VPC proporcionan una capa adicional de seguridad al denegar el acceso a redes no autorizadas, aunque los datos estén expuestos por políticas de Cloud IAM mal configuradas.

    Al asignar la función de administrador de la política de Access Context Manager para Cloud IAM, un usuario que no sea el administrador de políticas de Cloud IAM puede configurar los controles de servicio de VPC.

Los controles de servicio de VPC están configurados para que tu organización de Google Cloud cree una política amplia y uniforme que se aplique de manera coherente a todos los recursos protegidos dentro del perímetro. Conserva la flexibilidad para procesar, transformar y copiar datos dentro del perímetro. Los controles de seguridad se aplican automáticamente a todos los recursos nuevos creados dentro de un perímetro.

Controles y metadatos del servicio de VPC

Los controles de servicio de VPC no están diseñados para aplicar controles exhaustivos sobre el movimiento de metadatos.

En este contexto, "datos" se define como el contenido almacenado en un recurso de Google Cloud. Por ejemplo, el contenido de un objeto de Cloud Storage. "Metadatos" se define como los atributos del recurso o su elemento superior. Por ejemplo, nombres de depósitos de Cloud Storage.

El objetivo principal de diseño de esta versión de los Controles de servicio de VPC es controlar el movimiento de datos, en lugar de metadatos, a través de un perímetro de servicio mediante servicios compatibles. Si bien en la mayoría de los casos los Controles de servicio de VPC también controlan el acceso a metadatos, es posible que se puedan copiar y acceder a metadatos sin las verificaciones de política de Controles de servicio de VPC.

Te recomendamos que confíes en Cloud IAM, incluido el uso de funciones personalizadas, para garantizar el control adecuado del acceso a los metadatos.

Funciones

Los controles de servicio de VPC brindan estos beneficios al definir políticas de seguridad que impiden el acceso a servicios administrados por Google fuera de un perímetro confiable, bloquean el acceso a datos de ubicaciones no confiables y mitigan los riesgos de exfiltración de datos. Con esta versión de los Controles de servicio de VPC, puedes hacer lo siguiente:

Cómo aislar los recursos de GCP en perímetros de servicio

Un perímetro de servicio crea un límite de seguridad alrededor de los recursos de Google Cloud. Puedes configurar un perímetro de servicio para controlar las comunicaciones de las máquinas virtuales (VM) a un servicio de Google Cloud (API) y entre los servicios de Google Cloud. Un perímetro de servicio permite la comunicación gratuita dentro del perímetro, pero, de forma predeterminada, bloquea todas las comunicaciones en todo el perímetro.

Por ejemplo:

  • Una VM dentro de una red de nube privada virtual (VPC) que forma parte de un perímetro de servicio puede leer o escribir en un depósito de Cloud Storage en el mismo perímetro. Sin embargo, se rechaza cualquier intento de acceder al depósito desde redes de VPC que no estén dentro del perímetro.

  • Una operación de copia entre dos depósitos de Cloud Storage tendrá éxito si ambos depósitos están en el mismo perímetro de servicio, pero fallará si uno de los depósitos está fuera del perímetro.

  • Una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de forma privada a depósitos de Cloud Storage en el mismo perímetro. Sin embargo, a la VM se le negará el acceso a los depósitos de Cloud Storage que se encuentren fuera del perímetro.

Extiende los perímetros a una VPN autorizada o a una interconexión de Cloud

Puedes configurar la comunicación privada con los recursos de Google Cloud desde redes de VPC que abarquen entornos híbridos con las extensiones locales de Google Access privado. Una red de VPC debe formar parte de un perímetro de servicio para las VM de esa red para acceder de forma privada a los recursos administrados de Google Cloud dentro de ese perímetro de servicio.

Las VM con IP privadas en una red de VPC que forma parte de un perímetro de servicio no pueden acceder a los recursos administrados fuera del perímetro del servicio. Si es necesario, puedes seguir habilitando el acceso inspeccionado y auditado a todas las API de Google (por ejemplo, Gmail) a través de Internet.

Por ejemplo, una VM dentro de una red de VPC que forma parte de un perímetro de servicio puede acceder de forma privada a un depósito de Cloud Storage en el mismo perímetro de servicio. Sin embargo, a la VM se le negará el acceso a los depósitos de Cloud Storage que estén fuera del perímetro del servicio.

Controlar el acceso a los recursos de GCP desde Internet

El acceso de Internet a los recursos administrados dentro de un perímetro de servicio se rechaza de forma predeterminada. De manera opcional, puede habilitar el acceso según el contexto de la solicitud. Para ello, puede crear niveles de acceso que controlan el acceso según una serie de atributos, como la dirección IP de origen. Las solicitudes realizadas desde Internet se rechazan si no cumplen con los criterios definidos en el nivel de acceso.

Para usar Cloud Console a fin de acceder a recursos dentro de un perímetro, debes configurar un nivel de acceso que permita el acceso desde uno o más rangos IPv4 e IPv6, o cuentas de usuario específicas.

Servicios no admitidos

Para obtener más información sobre los productos y servicios compatibles con los Controles de servicio de VPC, consulta la página Productos compatibles.

Si intentas restringir un servicio no compatible con la herramienta de línea de comandos gcloud o la API de Access Context Manager, se producirá un error.

Los controles de servicio de VPC bloquearán el acceso de varios proyectos a los datos de los servicios compatibles. Además, el VIP restringido se puede usar para bloquear la capacidad de las cargas de trabajo para llamar a servicios no compatibles.

Terminología

En este tema, aprendió sobre varios conceptos nuevos que introdujeron los Controles de servicio de VPC:

Controles del servicio de VPC
Tecnología que te permite definir un perímetro de seguridad alrededor de los recursos de los servicios administrados por Google para controlar la comunicación hacia esos servicios y entre ellos
VIP restringido
El VIP restringido proporciona una ruta de red privada para los productos y las API compatibles con los Controles de servicio de VPC para hacer que los datos y recursos utilizados por esos productos sean inaccesibles desde Internet. restricted.googleapis.com se resuelve como 199.36.153.4/30. Este rango de direcciones IP no se anuncia en Internet.
perímetro de servicio
Un perímetro de seguridad alrededor de los recursos administrados por Google. Permite la comunicación gratuita dentro del perímetro, pero, de manera predeterminada, bloquea todas las comunicaciones en todo el perímetro.
puente perimetral de servicio
Un puente perimetral permite que los proyectos en diferentes perímetros de seguridad se comuniquen. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan igual acceso dentro del alcance del puente.
Access Context Manager
Es un servicio de clasificación de solicitudes de contexto que puede asignar una solicitud a un nivel de acceso basado en atributos específicos del cliente, como la dirección IP de origen.
nivel de acceso
Una clasificación de solicitudes a través de Internet basada en una serie de atributos, como el rango de IP de origen, el dispositivo del cliente, la ubicación geográfica y otros. Un perímetro de servicio se puede configurar para otorgar acceso desde Internet en función del nivel de acceso asociado con una solicitud. El servicio de Access Context Manager determina los niveles de acceso.
política de acceso
Un objeto de recurso de Google Cloud que define perímetros de servicio. Solo puede haber un objeto de política de acceso en una organización y es un elemento secundario del recurso Organización.

Qué sigue