En esta sección se describe el proceso que puedes usar para desplegar el blueprint, sus convenciones de nomenclatura y las alternativas a las recomendaciones del blueprint.
Resumen
Para implementar tu propia base empresarial de acuerdo con las prácticas recomendadas de este plan, sigue las tareas generales que se resumen en esta sección. Para realizar la implementación, se deben seguir una serie de pasos de configuración obligatorios, llevar a cabo la implementación automatizada a través de terraform-example-foundation en GitHub y completar otros pasos que deben configurarse manualmente una vez que se haya completado la implementación inicial de la base.
| Proceso | Pasos |
|---|---|
Requisitos previos para implementar los recursos de la canalización inicial |
Sigue estos pasos antes de implementar la canalización base:
Para conectarte a un entorno local, prepara lo siguiente:
|
Pasos para desplegar terraform-example-foundation desde GitHub |
Sigue las instrucciones del archivo README de cada fase para implementar terraform-example-foundation desde GitHub:
|
Pasos adicionales después de la implementación de IaC |
Después de implementar el código de Terraform, haz lo siguiente:
|
Controles administrativos adicionales para clientes con cargas de trabajo sensibles
Google Cloud proporciona controles administrativos adicionales que pueden ayudarte a cumplir los requisitos de seguridad y cumplimiento. Sin embargo, algunos controles implican costes adicionales o compensaciones operativas que pueden no ser adecuados para todos los clientes. Estos controles también requieren entradas personalizadas para tus requisitos específicos, que no se pueden automatizar por completo en el plan con un valor predeterminado para todos los clientes.
En esta sección se presentan los controles de seguridad que se aplican de forma centralizada a tu base. Esta sección no pretende ser exhaustiva con respecto a todos los controles de seguridad que puedes aplicar a cargas de trabajo específicas. Para obtener más información sobre los productos y las soluciones de seguridad de Google, consulta el Google Cloud centro de prácticas recomendadas de seguridad.
Evalúa si los siguientes controles son adecuados para tu fundación en función de tus requisitos de cumplimiento, tu tolerancia al riesgo y la sensibilidad de los datos.
| Control | Descripción |
|---|---|
Controles de Servicio de VPC te permite definir políticas de seguridad que impidan el acceso a servicios gestionados por Google fuera de un perímetro de confianza, bloquear el acceso a datos desde ubicaciones no fiables y mitigar los riesgos de filtración externa de datos. Sin embargo, Controles de Servicio de VPC puede provocar que los servicios dejen de funcionar hasta que definas excepciones para permitir los patrones de acceso previstos. Evalúa si el valor de mitigar los riesgos de exfiltración justifica el aumento de la complejidad y la sobrecarga operativa que supone adoptar Controles de Servicio de VPC. El blueprint prepara los controles de red necesarios y un perímetro de Controles de Servicio de VPC de prueba, pero el perímetro no se aplica hasta que sigues pasos adicionales. |
|
Puede que tengas requisitos normativos que exijan que los recursos de la nube solo se implementen en ubicaciones geográficas aprobadas. Esta restricción de política de la organización obliga a que los recursos solo se puedan implementar en la lista de ubicaciones que definas. |
|
Assured Workloads proporciona controles de cumplimiento adicionales que te ayudan a cumplir regímenes normativos específicos. El plano proporciona variables opcionales en la canalización de implementación para habilitar la función. |
|
Es posible que tengas que registrar todos los accesos a determinados datos o recursos sensibles. Evalúa en qué puntos de tus cargas de trabajo se gestionan datos sensibles que requieren registros de acceso a datos y habilita los registros de cada servicio y entorno que trabaje con datos sensibles. |
|
Aprobación de acceso asegura que el equipo de Asistencia de Google Cloud y el de ingeniería necesiten tu aprobación explícita siempre que deban acceder al contenido de tus clientes. Evalúa el proceso operativo necesario para revisar las solicitudes de Aprobación de acceso y mitigar posibles retrasos en la resolución de incidencias de asistencia. |
|
Las justificaciones de acceso a claves te permiten controlar mediante programación si Google puede acceder a tus claves de cifrado, incluso para operaciones automatizadas y para que el equipo de Asistencia pueda acceder al contenido de tus clientes. Evalúa los costes y la sobrecarga operativa asociados a las justificaciones de acceso a claves, así como su dependencia de Cloud External Key Manager (Cloud EKM). |
|
Cloud Shell es un entorno de desarrollo online. Este shell se aloja en un servidor gestionado por Google fuera de tu entorno, por lo que no está sujeto a los controles que hayas implementado en tus propias estaciones de trabajo de desarrollador. Si quieres controlar estrictamente las estaciones de trabajo que puede usar un desarrollador para acceder a los recursos de la nube, inhabilita Cloud Shell. También puedes evaluar Cloud Workstations para obtener una opción de estación de trabajo configurable en tu propio entorno. |
|
Google Cloud te permite restringir el acceso a la Google Cloud consola en función de atributos de nivel de acceso, como la pertenencia a grupos, los intervalos de direcciones IP de confianza y la verificación de dispositivos. Algunos atributos requieren una suscripción adicional a Chrome Enterprise Premium. Evalúa los patrones de acceso en los que confías para que los usuarios accedan a aplicaciones web, como la consola, como parte de una implementación de confianza cero más amplia. |
Convenciones de nombres
Te recomendamos que sigas una convención de nomenclatura estandarizada para tus recursos deGoogle Cloud . En la siguiente tabla se describen las convenciones recomendadas para los nombres de los recursos del plano.
| Recurso | Convención de nomenclatura |
|---|---|
Carpeta |
Por ejemplo:
|
ID del proyecto |
Por ejemplo: |
Red VPC |
Por ejemplo: |
Subred |
Por ejemplo: |
Políticas de cortafuegos |
Por ejemplo:
|
Cloud Router |
Por ejemplo: |
Conexión de Cloud Interconnect |
Por ejemplo: |
Vinculación de VLAN de Cloud Interconnect |
Por ejemplo:
|
Grupo |
Donde
Por ejemplo:
|
Función personalizada |
Donde Por ejemplo: |
Cuenta de servicio |
Donde:
Por ejemplo:
|
Segmento de almacenamiento |
Donde:
Por ejemplo:
|
Alternativas a las recomendaciones predeterminadas
Es posible que las prácticas recomendadas en el plan no funcionen para todos los clientes. Puedes personalizar cualquiera de las recomendaciones para que se ajuste a tus requisitos específicos. En la siguiente tabla se muestran algunas de las variaciones habituales que puedes necesitar en función de tu pila tecnológica y tus formas de trabajar.
| Área de decisión | Posibles alternativas |
|---|---|
Organización: el plano técnico usa una sola organización como nodo raíz de todos los recursos. |
En Decide una jerarquía de recursos para tu Google Cloud zona de aterrizaje se presentan situaciones en las que puede ser preferible tener varias organizaciones, como las siguientes:
|
Estructura de carpetas: el plano tiene una estructura de carpetas que divide las cargas de trabajo en las carpetas |
En Decidir una jerarquía de recursos para tu Google Cloud zona de aterrizaje se presentan otros enfoques para estructurar las carpetas en función de cómo quieras gestionar los recursos y heredar las políticas, como los siguientes:
|
Políticas de organización: el blueprint aplica todas las restricciones de las políticas de organización en el nodo de organización. |
Es posible que tengas políticas de seguridad o formas de trabajar diferentes para distintas partes de la empresa. En este caso, aplica las restricciones de la política de organización en un nodo inferior de la jerarquía de recursos. Consulta la lista completa de restricciones de políticas de la organización que te ayudarán a cumplir tus requisitos. |
Herramientas de la canalización de despliegue: el blueprint usa Cloud Build para ejecutar la canalización de automatización. |
Puede que prefieras otros productos para tu flujo de implementación, como Terraform Enterprise, GitLab Runners, GitHub Actions o Jenkins. El plano incluye instrucciones alternativas para cada producto. |
Repositorio de código para la implementación: el plano usa Cloud Source Repositories como repositorio de Git privado gestionado. |
Usa el sistema de control de versiones que prefieras para gestionar los repositorios de código, como GitLab, GitHub o Bitbucket. Si utilizas un repositorio privado alojado en tu entorno local, configura una ruta de red privada desde tu repositorio hasta tu entorno de Google Cloud. |
Proveedor de identidades: el blueprint presupone que hay un Active Directory local y federa las identidades a Cloud Identity mediante Google Cloud Directory Sync. |
Si ya usas Google Workspace, puedes usar las identidades de Google que ya se gestionan en Google Workspace. Si no tienes un proveedor de identidades, puedes crear y gestionar identidades de usuario directamente en Cloud Identity. Si tienes un proveedor de identidades, como Okta, Ping o Azure Entra ID, puedes gestionar las cuentas de usuario en tu proveedor de identidades y sincronizarlas con Cloud Identity. Si tienes requisitos de soberanía de datos o de cumplimiento que te impiden usar Cloud Identity y no necesitas identidades de usuario de Google gestionadas para otros servicios de Google, como Google Ads o Google Marketing Platform, puede que prefieras la federación de identidades de empleados. En este caso, ten en cuenta las limitaciones de los servicios compatibles. |
Varias regiones: el plano despliega recursos regionales en dos regiones diferentes para facilitar el diseño de cargas de trabajo con requisitos de alta disponibilidad y recuperación tras desastres. Google Cloud |
Si tienes usuarios finales en más ubicaciones geográficas, puedes configurar más Google Cloud regiones para crear recursos más cerca de los usuarios finales y reducir la latencia. Si tienes restricciones de soberanía de datos o tus necesidades de disponibilidad se pueden satisfacer en una sola región, puedes configurar solo unaGoogle Cloud región. |
Asignación de direcciones IP: el plano técnico proporciona un conjunto de intervalos de direcciones IP. | Es posible que tengas que cambiar los intervalos de direcciones IP específicos que se usan en función de la disponibilidad de direcciones IP en tu entorno híbrido. Si modificas los intervalos de direcciones IP, utiliza el plan como guía para saber el número y el tamaño de los intervalos necesarios, y consulta los intervalos de direcciones IP válidos para Google Cloud. |
Redes híbridas: el plano técnico usa Interconnect dedicado en varios sitios físicos yGoogle Cloud regiones para ofrecer el máximo ancho de banda y disponibilidad. |
En función de tus requisitos de coste, ancho de banda y fiabilidad, puedes configurar Partner Interconnect o Cloud VPN. Si necesitas empezar a desplegar recursos con conectividad privada antes de que se pueda completar una interconexión dedicada, puedes empezar con Cloud VPN y cambiar a la interconexión dedicada más adelante. Si no tienes un entorno local, es posible que no necesites una red híbrida. |
Perímetro de Controles de Servicio de VPC: el blueprint recomienda un único perímetro que incluya todos los proyectos de servicio de tu topología de VPC compartida. | Puede que tengas un caso práctico que requiera varios perímetros para una organización o que decidas no usar Controles de Servicio de VPC. Para obtener más información, consulta cómo mitigar la exfiltración de datos a través de las APIs de Google. |
Secret Manager: la blueprint implementa un proyecto para usar Secret Manager en la carpeta | Si tienes un solo equipo responsable de gestionar y auditar secretos sensibles en toda la organización, puede que prefieras usar un solo proyecto para gestionar el acceso a los secretos. Si permites que los equipos de carga de trabajo gestionen sus propias secretos, es posible que no uses un proyecto centralizado para gestionar el acceso a los secretos y, en su lugar, permitas que los equipos usen sus propias instancias de Secret Manager en proyectos de carga de trabajo. |
Cloud KMS: la plantilla implementa un proyecto para usar Cloud KMS en la carpeta |
Si tienes un solo equipo responsable de gestionar y auditar las claves de cifrado de toda la organización, puede que prefieras usar un solo proyecto para gestionar el acceso a las claves. Un enfoque centralizado puede ayudar a cumplir los requisitos de cumplimiento, como los custodios de claves de PCI. Si permites que los equipos de cargas de trabajo gestionen sus propias claves, es posible que no utilices un proyecto centralizado para gestionar el acceso a las claves y, en su lugar, permitas que los equipos usen sus propias instancias de Cloud KMS en proyectos de cargas de trabajo. |
Sumideros de registros agregados: la blueprint configura un conjunto de sumideros de registros en el nodo de la organización para que un equipo de seguridad central pueda revisar los registros de auditoría de toda la organización. | Puede que tengas diferentes equipos responsables de auditar distintas partes de la empresa, y estos equipos pueden necesitar diferentes registros para hacer su trabajo. En este caso, diseña varios receptores agregados en las carpetas y los proyectos adecuados, y crea filtros para que cada equipo reciba solo los registros necesarios. También puedes diseñar vistas de registro para controlar el acceso de forma granular a un segmento de registro común. |
Granularidad de las canalizaciones de infraestructura: el plano técnico usa un modelo en el que cada unidad de negocio tiene una canalización de infraestructura independiente para gestionar sus proyectos de carga de trabajo. | Puede que prefieras una única canalización de infraestructura gestionada por un equipo central si tienes un equipo central responsable de implementar todos los proyectos y la infraestructura. Este equipo central puede aceptar solicitudes de extracción de los equipos de carga de trabajo para revisarlas y aprobarlas antes de crear el proyecto, o bien puede crear la solicitud de extracción por su cuenta en respuesta a un sistema de incidencias. Puede que prefieras usar canalizaciones más granulares si los equipos de cargas de trabajo individuales tienen la capacidad de personalizar sus propias canalizaciones y quieres diseñar cuentas de servicio con privilegios más granulares para las canalizaciones. |
Exportaciones de SIEM: el blueprint gestiona todos los resultados de seguridad de Security Command Center. | Decide si vas a exportar los resultados de seguridad de Security Command Center a herramientas como Google Security Operations o tu SIEM, o si los equipos van a usar la consola para ver y gestionar los resultados de seguridad. Puedes configurar varias exportaciones con filtros únicos para diferentes equipos con distintos ámbitos y responsabilidades. |
Siguientes pasos
- Implementa el blueprint con la base del ejemplo de Terraform en GitHub.
- Consulta más información sobre los principios de diseño de las prácticas recomendadas con el Google Cloud framework Well-Architected.
Consulta la biblioteca de planos para acelerar el diseño y la creación de cargas de trabajo empresariales habituales, como las siguientes:
Consulta las soluciones relacionadas que puedes implementar en tu entorno de base.