En esta página se describen los perímetros de servicio y se incluyen los pasos generales para configurar perímetros.
Acerca de los perímetros de servicio
En esta sección se explica cómo funcionan los perímetros de servicio y cuáles son las diferencias entre los perímetros obligatorios y los de ejecución de prueba.
Para proteger los Google Cloud servicios de tus proyectos y mitigar el riesgo de filtración externa de datos, puedes especificar perímetros de servicio a nivel de proyecto o de red de VPC. Para obtener más información sobre las ventajas de los perímetros de servicio, consulta la información general sobre Controles de Servicio de VPC.
Además, los servicios a los que se puede acceder dentro de un perímetro, como las máquinas virtuales de una red de VPC alojada en un perímetro, se pueden restringir mediante la función Servicios accesibles de VPC.
Puedes configurar perímetros de Controles de Servicio de VPC en modo de ejecución o de prueba. Los mismos pasos de configuración se aplican a los perímetros de seguridad obligatorios y de prueba. La diferencia es que los perímetros de prueba de funcionamiento registran las infracciones como si se aplicaran, pero no impiden el acceso a los servicios restringidos.
Modo obligatorio
El modo obligatorio es el modo predeterminado de los perímetros de servicio. Cuando se aplica un perímetro de servicio, se rechazan las solicitudes que infringen la política del perímetro, como las solicitudes a servicios restringidos desde fuera de un perímetro.
Un perímetro en modo aplicado protege los recursos aplicando el límite del perímetro a los servicios restringidos en la configuración del perímetro. Google Cloud Las solicitudes a APIs de servicios restringidos no cruzan el límite del perímetro a menos que se cumplan las condiciones de las reglas de entrada y salida necesarias del perímetro. Un perímetro obligatorio protege contra los riesgos de filtración externa de datos, como las credenciales robadas, los permisos mal configurados o los insiders malintencionados que tienen acceso a los proyectos.
Modo de ejecución de prueba
En el modo de prueba, las solicitudes que infringen la política de perímetro no se rechazan, sino que solo se registran. Los perímetros de servicio de prueba de funcionamiento se usan para probar la configuración de los perímetros y para monitorizar el uso de los servicios sin impedir el acceso a los recursos. A continuación se indican algunos de los casos prácticos habituales:
Determinar el impacto al cambiar los perímetros de servicio.
Vista previa del impacto al añadir nuevos perímetros de servicio.
Monitorizar las solicitudes a servicios restringidos que proceden de fuera de un perímetro de servicio. Por ejemplo, para identificar desde dónde proceden las solicitudes a un servicio determinado o para identificar un uso inesperado del servicio en tu organización.
Crear una arquitectura de perímetro en tu entorno de desarrollo que sea análoga a tu entorno de producción. Puedes identificar y mitigar cualquier problema causado por tus perímetros de servicio antes de enviar los cambios a tu entorno de producción.
Para obtener más información, consulta el artículo sobre el modo de prueba.
Fases de configuración de perímetros de servicio
Para configurar Controles de Servicio de VPC, puedes usar la Google Cloud consola, la herramienta de línea de comandos gcloud y las APIs Access Context Manager.
Puede configurar Controles de Servicio de VPC siguiendo estos pasos generales:
Crea una política de acceso.
Protege los recursos gestionados por Google con perímetros de servicio.
Configura servicios accesibles de VPC para añadir restricciones adicionales sobre cómo se pueden usar los servicios dentro de tus perímetros (opcional).
Configura la conectividad privada desde una red de VPC (opcional).
Permitir el acceso contextual desde fuera de un perímetro de servicio mediante reglas de entrada (opcional).
Configura el intercambio de datos seguro mediante reglas de entrada y salida (opcional).
Crear una política de acceso
Una política de acceso recoge los perímetros de servicio y los niveles de acceso que creas para tu organización. Una organización puede tener una política de acceso para toda la organización y varias políticas de acceso con ámbito para las carpetas y los proyectos.
Puedes usar la Google Cloud consola, la herramienta de línea de comandos gcloud o las APIs del Administrador de contextos de acceso para crear una política de acceso.
Para obtener más información sobre Administrador de contextos de acceso y las políticas de acceso, consulta la introducción a Administrador de contextos de acceso.
Proteger recursos gestionados por Google con perímetros de servicio
Los perímetros de servicio se usan para proteger los servicios que utilizan los proyectos de tu organización. Una vez que hayas identificado los proyectos y servicios que quieres proteger, crea uno o varios perímetros de servicio.
Para obtener más información sobre cómo funcionan los perímetros de servicio y qué servicios se pueden proteger con Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.
Algunos servicios tienen limitaciones en cuanto a cómo se pueden usar con Controles de Servicio de VPC. Si tienes problemas con tus proyectos después de configurar los perímetros de servicio, consulta la sección Solución de problemas.
Configurar servicios accesibles de VPC
Cuando habilitas los servicios accesibles de VPC en un perímetro, el acceso desde los endpoints de red que se encuentran dentro del perímetro se limita a un conjunto de servicios que especifiques.
Para obtener más información sobre cómo limitar el acceso dentro de tu perímetro a un conjunto específico de servicios, consulta el artículo Servicios accesibles de VPC.
Configurar la conectividad privada desde una red VPC
Para proporcionar seguridad adicional a las redes de VPC y a los hosts on-premise protegidos por un perímetro de servicio, te recomendamos que uses el acceso privado de Google. Para obtener más información, consulta la sección sobre conectividad privada desde redes locales.
Para obtener información sobre cómo configurar la conectividad privada, consulta el artículo Configurar la conectividad privada en servicios y APIs de Google.
Si restringes el acceso a los recursos de Google Cloud para que solo se pueda acceder a ellos de forma privada desde redes de VPC, se denegará el acceso mediante interfaces como la consola de Google Cloud y la consola de Cloud Monitoring. Puedes seguir usando la herramienta de línea de comandos gcloud o los clientes de API desde redes de VPC que compartan un perímetro de servicio o un perímetro puente con los recursos restringidos.
Permitir el acceso contextual desde fuera de un perímetro de servicio mediante reglas de entrada
Puedes permitir el acceso contextual a los recursos restringidos por un perímetro en función de los atributos del cliente. Puedes especificar atributos de cliente, como el tipo de identidad (cuenta de servicio o usuario), la identidad, los datos del dispositivo y el origen de la red (dirección IP o red VPC).
Por ejemplo, puede configurar reglas de entrada para permitir el acceso a Internet a los recursos de un perímetro en función del intervalo de direcciones IPv4 e IPv6. Para obtener más información sobre cómo usar reglas de entrada para configurar el acceso contextual, consulta el artículo Acceso contextual.
Configurar el intercambio de datos seguro con reglas de entrada y salida
Solo puedes incluir tu proyecto en un perímetro de servicio. Si quieres permitir la comunicación a través del límite del perímetro, configura reglas de entrada y de salida. Por ejemplo, puede especificar reglas de entrada y salida para permitir que los proyectos de varios perímetros compartan registros en un perímetro independiente. Para obtener más información sobre los casos prácticos del intercambio seguro de datos, consulta el artículo Intercambio seguro de datos.