En este documento se describen las prácticas recomendadas que le permiten implementar un conjunto básico de recursos en Google Cloud. Una base de la nube es la base de los recursos, las configuraciones y las funciones que permiten a las empresas adoptarGoogle Cloud para satisfacer sus necesidades empresariales. Una base bien diseñada permite que la gobernanza, los controles de seguridad, la escalabilidad, la visibilidad y el acceso a los servicios compartidos sean coherentes en todas las cargas de trabajo de tu Google Cloud entorno. Una vez que hayas implementado los controles y la gobernanza que se describen en este documento, podrás implementar cargas de trabajo en Google Cloud.
El blueprint de las bases de la empresa (antes conocido como blueprint de las bases de seguridad) está dirigido a arquitectos, profesionales de la seguridad y equipos de ingeniería de plataformas que son responsables de diseñar un entorno preparado para empresas en Google Cloud. Este plan consta de lo siguiente:
- Un repositorio de GitHub de ejemplo de Terraform que contiene los recursos de Terraform que se pueden desplegar.
- Una guía que describe la arquitectura, el diseño y los controles que implementas con el plano (este documento).
Puedes usar esta guía de dos formas:
- Para crear una base completa siguiendo las prácticas recomendadas de Google. Puedes implementar todas las recomendaciones de esta guía como punto de partida y, después, personalizar el entorno para que se ajuste a los requisitos específicos de tu empresa.
- Para revisar un entorno en Google Cloud. Puedes comparar componentes específicos de tu diseño con las prácticas recomendadas por Google.
Casos prácticos
El plano de seguridad para empresas proporciona una capa base de recursos y configuraciones que ayudan a habilitar todo tipo de cargas de trabajo en Google Cloud. Tanto si quieres migrar cargas de trabajo de computación a Google Cloud, crear aplicaciones web en contenedores o crear cargas de trabajo de big data y aprendizaje automático, el blueprint de base empresarial te ayudará a crear tu entorno para que admita cargas de trabajo empresariales a gran escala.
Una vez que hayas implementado el blueprint de aspectos básicos de seguridad para empresas, podrás implementar cargas de trabajo directamente o implementar blueprints adicionales para admitir cargas de trabajo complejas que requieran funciones adicionales.
Un modelo de seguridad de defensa en profundidad
Los servicios deGoogle Cloud se benefician del diseño de seguridad de la infraestructura de Google. Es tu responsabilidad diseñar la seguridad de los sistemas que crees sobre Google Cloud. El blueprint de la base de la empresa te ayuda a implementar un modelo de seguridad de defensa en profundidad para tus servicios y cargas de trabajo de Google Cloud .
En el siguiente diagrama se muestra un modelo de seguridad de defensa reforzada para tu organización que combina controles de arquitectura, controles de políticas y controles de detección.Google Cloud
En el diagrama se describen los siguientes controles:
- Los controles de políticas son restricciones programáticas que aplican configuraciones de recursos aceptables y evitan configuraciones arriesgadas. El blueprint usa una combinación de controles de políticas, incluida la validación de la infraestructura como código (IaC) en tu canalización y las restricciones de las políticas de la organización.
- Los controles de arquitectura son la configuración de Google Cloud recursos como redes y jerarquía de recursos. La arquitectura del plan se basa en prácticas recomendadas de seguridad.
- Los controles de detección te permiten detectar comportamientos anómalos o maliciosos en la organización. El plano técnico usa funciones de la plataforma, como Security Command Center, se integra con los controles de detección y los flujos de trabajo que ya tengas, como un centro de operaciones de seguridad (SOC), y ofrece funciones para aplicar controles de detección personalizados.
Decisiones clave
En esta sección se resumen las decisiones de arquitectura de alto nivel del plan de implementación.
En el diagrama se describe cómo contribuyen los servicios de Google Cloud a las decisiones de arquitectura clave:
- Cloud Build: los recursos de infraestructura se gestionan mediante un modelo de GitOps. La IaC declarativa se escribe en Terraform y se gestiona en un sistema de control de versiones para su revisión y aprobación. Los recursos se implementan mediante Cloud Build como herramienta de automatización de integración continua y desarrollo continuo (CI/CD). La canalización también aplica comprobaciones de políticas como código para validar que los recursos cumplen las configuraciones esperadas antes de la implementación.
- Cloud Identity: los usuarios y la pertenencia a grupos se sincronizan desde tu proveedor de identidades. Los controles para la gestión del ciclo de vida de las cuentas de usuario y el inicio de sesión único (SSO) se basan en los controles y procesos de tu proveedor de identidades.
- Gestión de Identidades y Accesos (IAM): las políticas de permiso (antes conocidas como políticas de IAM) permiten acceder a los recursos y se aplican a los grupos en función de su función. Los usuarios se añaden a los grupos correspondientes para obtener acceso de solo lectura a los recursos de la fundación. Todos los cambios en los recursos de la base se implementan a través de la canalización de CI/CD, que usa identidades de cuentas de servicio privilegiadas.
- Resource Manager: todos los recursos se gestionan en una sola organización, con una jerarquía de recursos de carpetas que organiza los proyectos por entornos. Los proyectos se etiquetan con metadatos para la gobernanza, incluida la atribución de costes.
- Redes: las topologías de red usan una VPC compartida para proporcionar recursos de red a las cargas de trabajo de varias regiones y zonas, separadas por el entorno y gestionadas de forma centralizada. Todas las rutas de red entre los hosts on-premise, los Google Cloud recursos de las redes de VPC Google Cloud y los servicios son privadas. De forma predeterminada, no se permite el tráfico saliente ni entrante de Internet público.
- Cloud Logging: los receptores de registros agregados se configuran para recoger los registros relevantes para la seguridad y la auditoría en un proyecto centralizado para conservarlos a largo plazo, analizarlos y exportarlos a sistemas externos.
- Servicio de políticas de la organización: las restricciones de las políticas de la organización se configuran para evitar varias configuraciones de alto riesgo.
- Secret Manager: se crean proyectos centralizados para un equipo responsable de gestionar y auditar el uso de secretos de aplicaciones sensibles para cumplir los requisitos.
- Cloud Key Management Service (Cloud KMS): se crean proyectos centralizados para un equipo responsable de gestionar y auditar las claves de cifrado para cumplir los requisitos.
- Security Command Center: las funciones de detección y monitorización de amenazas se proporcionan mediante una combinación de controles de seguridad integrados de Security Command Center y soluciones personalizadas que te permiten detectar eventos de seguridad y responder ante ellos.
Para ver alternativas a estas decisiones clave, consulta las alternativas.
Siguientes pasos
- Consulta información sobre la autenticación y la autorización en el siguiente documento de esta serie.