Configuración y detalles del perímetro de servicio

En esta página, se describen los perímetros de servicio y se incluyen los pasos de alto nivel para configurarlos.

Acerca de los perímetros de servicio

En esta sección, se proporcionan detalles sobre el funcionamiento de los perímetros de servicio y las diferencias entre los perímetros de aplicación forzosa y los de ejecución de prueba.

Para proteger los servicios de Google Cloud en tus proyectos y mitigar el riesgo de robo de datos, puedes especificar perímetros de servicio a nivel de proyecto o de red de VPC. Para obtener más información sobre los beneficios de los perímetros de servicio, consulta la Descripción general de los Controles del servicio de VPC.

Además, los servicios a los que se puede acceder dentro de un perímetro, como las VM de una red de VPC alojada en un perímetro, se pueden restringir mediante la función de servicios accesibles de VPC.

Puedes configurar los perímetros de los Controles del servicio de VPC en modo de ejecución de prueba o de aplicación forzosa. Los mismos pasos de configuración se aplican a los perímetros de aplicación forzosa y de ejecución de prueba. La diferencia es que los perímetros de ejecución de prueba registran las infracciones como si se aplicaran, pero no impiden el acceso a servicios restringidos.

Modo aplicado

El modo de aplicación forzosa es el modo predeterminado para los perímetros de servicio. Cuando un perímetro de servicio es de aplicación forzosa, se rechazan las solicitudes que infringen la política del perímetro, como las solicitudes a servicios restringidos fuera del perímetro.

Un perímetro en modo de aplicación forzosa protege los recursos de Google Cloud mediante la aplicación del límite del perímetro para los servicios restringidos en la configuración del perímetro. Las solicitudes a la API a servicios restringidos no cruzan el límite del perímetro, a menos que se cumplan las condiciones de las reglas de entrada y salida necesarias del perímetro. Un perímetro de aplicación forzosa protege contra riesgos de robo de datos, como credenciales robadas, permisos mal configurados o usuarios maliciosos con información privilegiada que tienen acceso a los proyectos.

Modo de ejecución de prueba

En el modo de ejecución de prueba, las solicitudes que infringen la política del perímetro no se rechazan, solo se registran. Los perímetros de servicio de ejecución de prueba se usan para probar la configuración del perímetro y supervisar el uso de los servicios sin impedir el acceso a los recursos. Estos son algunos de los casos de uso más comunes:

  • Determinar el impacto cuando cambias los perímetros de servicio existentes.

  • Obtener una vista previa del impacto cuando agregas perímetros de servicio nuevos

  • Supervisar solicitudes a servicios restringidos que se originan fuera del perímetro de servicio. Por ejemplo, para identificar el origen de las solicitudes a un servicio determinado o identificar el uso inesperado de un servicio en la organización.

  • Crear una arquitectura de perímetro en tu entorno de desarrollo que sea análoga a tu entorno de producción. Puedes identificar y mitigar cualquier problema causado por los perímetros de servicio antes de enviar los cambios al entorno de producción.

Para obtener más información, consulta Modo de ejecución de prueba.

Etapas de configuración del perímetro de servicio

Para configurar los Controles del servicio de VPC, puedes usar la consola de Google Cloud, la herramienta de línea de comandos de gcloud y las API de Access Context Manager.

Puedes configurar los Controles del servicio de VPC como se describe en los siguientes pasos de alto nivel:

  1. Crea una política de acceso.

  2. Protege los recursos administrados por Google con perímetros de servicio

  3. Configura los servicios accesibles de VPC para agregar restricciones adicionales al uso de los servicios dentro de los perímetros (opcional).

  4. Configura la conectividad privada desde una red de VPC (opcional).

  5. Permite el acceso adaptado al contexto desde fuera del perímetro de servicio mediante reglas de entrada (opcional).

  6. Configura el intercambio de datos seguro mediante reglas de entrada y salida (opcional).

Crea una política de acceso

Una política de acceso recopila los perímetros de servicio y los niveles de acceso que creas para la organización. Una organización puede tener una política de acceso para toda la organización y varias políticas de acceso con permiso para las carpetas y los proyectos.

Puedes usar la consola de Google Cloud, la herramienta de línea de comandos de gcloud o las APIs de Access Context Manager para crear una política de acceso.

Si deseas obtener más información sobre Access Context Manager y las políticas de acceso, lee la Descripción general de Access Context Manager.

Protege los recursos administrados por Google con perímetros de servicio

Los perímetros de servicio se usan para proteger los servicios que usan los proyectos de la organización. Después de identificar los proyectos y servicios que quieres proteger, crea uno o más perímetros de servicio.

Para obtener más información sobre cómo funcionan los perímetros de servicio y qué servicios se pueden proteger con los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Algunos servicios tienen limitaciones sobre cómo se pueden usar con los Controles del servicio de VPC. Si tienes problemas con los proyectos después de configurar los perímetros de servicio, consulta Soluciona problemas.

Configura los servicios accesibles de VPC

Cuando habilitas los servicios de VPC accesibles para un perímetro, el acceso desde los extremos de red dentro del perímetro se limita a un conjunto de servicios que especifiques.

Para obtener más información sobre cómo limitar el acceso dentro del perímetro a solo un conjunto específico de servicios, lee acerca de los servicios de VPC accesibles.

Configura la conectividad privada desde una red de VPC

A fin de proporcionar seguridad adicional para las redes de VPC y los hosts locales protegidos por un perímetro de servicio, te recomendamos usar el Acceso privado a Google. Para obtener más información, consulta Conectividad privada desde redes locales.

Para obtener más información sobre la configuración de la conectividad privada, consulta Configura la conectividad privada a los servicios y las API de Google.

Restringir el acceso a los recursos de Google Cloud solo al acceso privado desde las redes de VPC significa que se denegará el acceso mediante interfaces como la consola de Google Cloud y la consola de Cloud Monitoring. Puedes seguir usando la herramienta de línea de comandos de gcloud o los clientes de API con los recursos restringidos desde redes de VPC que comparten un perímetro de servicio o un puente perimetral.

Permite el acceso adaptado al contexto desde fuera del perímetro de servicio mediante reglas de entrada

Puedes permitir el acceso adaptado al contexto a los recursos restringidos por un perímetro según los atributos del cliente. Puedes especificar atributos de cliente, como el tipo de identidad (cuenta de servicio o usuario), la identidad, los datos del dispositivo y el origen de la red (dirección IP o red de VPC).

Por ejemplo, puedes configurar reglas de entrada para permitir el acceso a Internet a recursos dentro de un perímetro según el rango de direcciones IPv4 e IPv6. Si deseas obtener más información sobre el uso de reglas de entrada para configurar el acceso adaptado al contexto, consulta Acceso adaptado al contexto.

Configura el intercambio de datos seguro mediante reglas de entrada y salida

Puedes incluir tu proyecto solo en un perímetro de servicio. Si deseas permitir la comunicación en el límite del perímetro, configura las reglas de entrada y salida. Por ejemplo, puedes especificar reglas de entrada y salida para permitir que los proyectos de varios perímetros compartan registros en un perímetro independiente. Para obtener más información sobre los casos prácticos de intercambio de datos seguros, consulta Intercambio seguro de datos.