Configuración y detalles del perímetro de servicio

En esta página, se describen los perímetros de servicio y se incluyen los pasos de alto nivel para configurarlos.

Acerca de los perímetros de servicio

En esta sección, se proporcionan detalles sobre el funcionamiento de los perímetros de servicio y las diferencias entre los perímetros de aplicación forzosa y los de ejecución de prueba.

Los perímetros de servicio son un método a nivel de organización que protegen a los servicios de Google Cloud en los proyectos a fin de mitigar el riesgo de robo de datos. Para obtener una descripción detallada de los beneficios de los perímetros de servicio, consulta la Descripción general de los Controles del servicio de VPC.

Además, los servicios a los que se puede acceder dentro de un perímetro, como las VM de una red de VPC alojada en un perímetro, se pueden restringir mediante la función de servicios accesibles de VPC.

Los perímetros de los Controles del servicio de VPC se pueden configurar de dos modos: aplicación forzosa y ejecución de prueba. En general, se aplican los mismos pasos de configuración para los perímetros de aplicación forzosa y de ejecución de prueba. La diferencia fundamental es que los perímetros de ejecución de prueba no evitarán el acceso a los servicios protegidos, solo registrarán las infracciones como si los perímetros fueran de aplicación forzosa. En esta guía, se explican de manera explícita las diferencias entre los perímetros de servicio de aplicación forzosa y los de ejecución de prueba, según sea necesario.

Modo de aplicación forzosa

El modo de aplicación forzosa es el modo predeterminado para los perímetros de servicio. Cuando un perímetro de servicio es de aplicación forzosa, se rechazan las solicitudes que infringen la política del perímetro, como las solicitudes a servicios protegidos fuera del perímetro.

Cuando un servicio está protegido por un perímetro de aplicación forzosa, sucede lo siguiente:

  • El servicio no puede transmitir datos fuera del perímetro.

    Los servicios protegidos funcionan con normalidad dentro del perímetro, pero no pueden realizar acciones para enviar recursos y datos fuera del perímetro. Esto ayuda a evitar que los usuarios maliciosos que pueden tener acceso a proyectos en el perímetro roben datos.

  • Las solicitudes desde fuera del perímetro al servicio protegido se respetan solo si las solicitudes cumplen con los criterios de los niveles de acceso que se asignaron al perímetro.

  • Los proyectos pueden acceder a ese servicio en otros perímetros mediante puentes perimetrales.

Modo de ejecución de prueba

En el modo de ejecución de prueba, las solicitudes que infringen la política del perímetro no se rechazan, solo se registran. Los perímetros de servicio de ejecución de prueba se usan para probar la configuración del perímetro y supervisar el uso de los servicios sin impedir el acceso a los recursos. Los casos de uso comunes incluyen los siguientes:

  • Determinar el impacto que tendrán los cambios en los perímetros de servicio existentes.

  • Obtener una vista previa del impacto que tendrán los perímetros de servicio nuevos.

  • Supervisar solicitudes a servicios protegidos que se originan fuera del perímetro de servicio. Por ejemplo, puedes ver el origen de las solicitudes a un servicio determinado o identificar el uso inesperado de un servicio en la organización.

  • En los entornos de desarrollo, crear una arquitectura de perímetro análoga para el entorno de producción. Esto te permite identificar y mitigar los problemas que causarán los perímetros de servicio antes de enviar los cambios al entorno de producción.

Para obtener más información, consulta Modo de ejecución de prueba.

Etapas de configuración del perímetro de servicio

Los Controles del servicio de VPC se pueden configurar mediante Google Cloud Console, la herramienta de línea de comandos de gcloud y las API de Access Context Manager.

Para configurar los Controles del servicio de VPC, haz lo siguiente:

  1. Si quieres usar la herramienta de línea de comandos de gcloud o las API de Access Context Manager para crear los perímetros de servicio, crea una política de acceso.

  2. Protege los recursos de GCP con los perímetros de servicio.

  3. Configura los servicios accesibles de VPC para agregar restricciones adicionales al uso de los servicios dentro de los perímetros (opcional).

  4. Configura la conectividad privada desde una red de VPC (opcional).

  5. Otorga acceso desde fuera del perímetro de servicio mediante niveles de acceso (opcional).

  6. Configura el uso compartido de recursos entre perímetros mediante puentes perimetrales de servicio (opcional).

Crea una política de acceso

Una política de acceso recopila los perímetros de servicio y los niveles de acceso que creas para la organización. Una organización solo puede tener una política de acceso.

Cuando se crean y administran los perímetros de servicio mediante la página Controles del servicio de VPC de Cloud Console, no es necesario crear una política de acceso.

Sin embargo, si usas la herramienta de línea de comandos de gcloud o las API de Access Context Manager para crear y configurar los perímetros de servicio, primero debes crear una política de acceso.

Si deseas obtener más información sobre Access Context Manager y las políticas de acceso, lee la Descripción general de Access Context Manager.

Protege los recursos de GCP con perímetros de servicio

Los perímetros de servicio se usan para proteger los servicios que usan los proyectos de la organización. Después de identificar los proyectos y los servicios que quieres proteger, crea uno o más perímetros de servicio.

Para obtener más información sobre cómo funcionan los perímetros de servicio y qué servicios se pueden proteger con los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Algunos servicios tienen limitaciones sobre cómo se pueden usar con los Controles del servicio de VPC. Si tienes problemas con los proyectos después de configurar los perímetros de servicio, consulta Soluciona problemas.

Configura los servicios accesibles de VPC

Cuando habilitas los servicios de VPC accesibles para un perímetro, el acceso desde los extremos de red dentro del perímetro se limita a un conjunto de servicios que especifiques.

Para obtener más información sobre cómo limitar el acceso dentro del perímetro a solo un conjunto específico de servicios, lee acerca de los servicios de VPC accesibles.

Configura la conectividad privada desde una red de VPC

Para proporcionar seguridad adicional a las redes de VPC que están protegidas por un perímetro de servicio, te recomendamos usar el Acceso privado a Google. Esto incluye la conectividad privada de redes locales.

Para obtener más información sobre la configuración de la conectividad privada, consulta Configura la conectividad privada a los servicios y las API de Google.

Restringir el acceso a los recursos de Google Cloud solo al acceso privado desde las redes de VPC significa que se denegará el acceso mediante interfaces como Cloud Console y la consola de Cloud Monitoring. Puedes seguir usando la herramienta de línea de comandos de gcloud o los clientes de API con los recursos restringidos desde redes de VPC que comparten un perímetro de servicio o un puente perimetral.

Otorga acceso desde fuera del perímetro de servicio mediante niveles de acceso

Los niveles de acceso se pueden usar para permitir las solicitudes externas al perímetro de servicio a los recursos protegidos por ese perímetro.

Si usas los niveles de acceso, puedes especificar bloques CIDR de IPv4 y de IPv6 públicas, y cuentas de usuario y de servicio individuales a las que deseas otorgarles acceso a los recursos protegidos por los Controles del servicio de VPC.

Si restringes recursos mediante conectividad privada desde redes de VPC, puedes volver a habilitar el uso de Cloud Console a fin de acceder a los servicios protegidos. Para ello, agrega un bloque CIDR a un nivel de acceso que incluya la dirección IP pública del host en el que se usa Cloud Console. Si quieres volver a habilitar Cloud Console para un usuario específico sin importar la dirección IP, agrega esa cuenta de usuario como miembro al nivel de acceso.

Para obtener información sobre el uso de niveles de acceso, consulta Crea un nivel de acceso.

Comparte datos entre perímetros de servicio

Un proyecto se puede incluir en un solo perímetro de servicio. Si deseas permitir la comunicación entre dos perímetros, crea un puente perimetral de servicio.

Se pueden usar puentes perimetrales para habilitar la comunicación entre proyectos en perímetros de servicio diferentes. Un proyecto puede pertenecer a más de un puente perimetral.

Para obtener más información sobre los puentes perimetrales, consulta Comparte entre perímetros con puentes.