Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Protege Compute Engine con un perímetro de Controles del servicio de VPC

En este instructivo, se muestra cómo proteger Compute Engine con un perímetro de servicio y cómo solucionar problemas relacionados con un incumplimiento de entrada para permitir el acceso autorizado a Compute Engine.

Los Controles del servicio de VPC te permiten definir un perímetro de servicio alrededor de los recursos de los servicios administrados por Google para controlar la comunicación hacia esos servicios y entre ellos. Puedes establecer un perímetro de confianza cero alrededor de tus recursos sensibles, lo que restringe el acceso a direcciones IP, usuarios y dispositivos autorizados. Esta capacidad te permite definir políticas de seguridad que impiden el acceso a servicios administrados por Google fuera de un perímetro de confianza, bloquean el acceso a los datos desde ubicaciones que no son de confianza y reducen los riesgos de robo de datos.

Este instructivo está dirigido a los administradores de la organización de Cloud de Confiance que desean aprender los conceptos básicos de los Controles del servicio de VPC.

Objetivos

Comprender los conceptos básicos de los Controles del servicio de VPC
Crear un perímetro de servicio
Proteger un proyecto con los Controles del servicio de VPC
Solucionar problemas relacionados con un incumplimiento de entrada de los Controles del servicio de VPC

Costos

En este documento, usarás los siguientes componentes facturables de Cloud de Confiance by S3NS:

Compute Engine VM instance

Cuando completes las tareas que se describen en este documento, podrás borrar los recursos que creaste para evitar que se te siga facturando. Para obtener más información, consulta Realiza una limpieza.

Antes de comenzar

Debes tener un recurso de organización de Cloud de Confiance . Si aún no tienes una cuenta de Google Workspace o Cloud Identity, debes adquirir una, de ese modo, se crea automáticamente un recurso de organización para ti
Crea una carpeta, Exercise, a nivel de la organización.
Crea dos proyectos, My-Project-1 y My-Project-2, en la carpeta Exercise dentro de la misma organización.
- Verify that billing is enabled for your Cloud de Confiance project.
Asegúrate de tener los siguientes permisos y roles a nivel de la organización:
- Permisos y roles necesarios para configurar los Controles del servicio de VPC
- Permisos y roles necesarios para administrar Compute Engine

Crea un perímetro de servicio

Crea un perímetro de servicio que proteja la API de Compute Engine en el proyecto My-Project-2:

En la consola de Cloud de Confiance , ve a la página Controles del servicio de VPC.

Ir a los Controles del servicio de VPC

Asegúrate de encontrarte en el permiso de la organización.
Haz clic en Administrar políticas.
Crea una política de acceso nueva cuyo permiso se limite a la carpeta Exercise.
Crea un perímetro nuevo con los siguientes detalles:
- Título: MyFirstPerimeter
- Tipo de perímetro: Normal
- Modo de aplicación forzosa: Aplicado
- Recursos que se deben proteger: proyecto My-Project-2
- Servicios restringidos: API de Compute Engine

Verifica el perímetro

En esta sección, puedes realizar solicitudes de acceso a los recursos de los proyectos para confirmar si el perímetro protege los recursos previstos.

Accede al proyecto My-Project-1 y verifica que puedes acceder a Compute Engine. Para ello, visita la página Instancias de VM.

Ir a Instancias de VM

Deberías poder acceder porque My-Project-1 no está protegido por el perímetro que creaste antes.
Accede al proyecto My-Project-2 y verifica que puedes acceder a Compute Engine. Para ello, visita la página Instancias de VM.

Deberías ver que los Controles del servicio de VPC rechazan tu solicitud de acceso a Compute Engine porque el perímetro MyFirstPerimeter protege a My-Project-2 y a la API de Compute Engine.

Soluciona problemas de incumplimientos

Los registros de los Controles del servicio de VPC incluyen detalles sobre las solicitudes a recursos protegidos y el motivo por el que los Controles del servicio de VPC rechazaron la solicitud. Necesitas esta información para identificar y solucionar problemas de incumplimiento en el proyecto My-Project-2.

Ver registros de auditoría

Busca el ID único del incumplimiento de los Controles del servicio de VPC en los registros de auditoría del proyecto My-Project-2:
1. En la consola de Cloud de Confiance , accede a la página Explorador de registros:
  Acceder al Explorador de registros
  
  Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
2. Selecciona el proyecto My-Project-2.
3. Para mostrar todos los registros de auditoría, ingresa la siguiente consulta en el campo del editor de consultas:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Haz clic en Ejecutar consulta.
Esta consulta muestra todos los registros de auditoría de los Controles del servicio de VPC. Para encontrar los detalles del incumplimiento por acceder a la API de Compute Engine en el proyecto My-Project-2, consulta el último registro de errores.

Nota: Para filtrar los registros de forma más detallada, puedes usar estas consultas de ejemplo y agregar el ID único de los Controles del servicio de VPC que recibiste cuando verificaste el perímetro.

Para obtener más información, consulta Visualiza registros.
En el panel Resultados de la consulta, haz clic en Controles del servicio de VPC junto con el rechazo que deseas solucionar y, luego, en Rechazo de la solución de problemas.

Se abrirá la página del analizador de incumplimientos de los Controles del servicio de VPC. En esta página, se muestra el motivo del incumplimiento y otra información, como si se trata de un incumplimiento de ingreso o salida.

En este instructivo, busca la siguiente información:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
El motivo del incumplimiento es "NO_MATCHING_ACCESS_LEVEL". El incumplimiento de "NO_MATCHING_ACCESS_LEVEL" se produce cuando la dirección IP, el tipo de dispositivo o la identidad del usuario no coinciden con ninguna regla de entrada ni niveles de acceso asociados al perímetro. Si falta la dirección IP del emisor o aparece como una dirección IP interna en el registro, este incumplimiento puede deberse a un servicio de Cloud de Confiance que no es admitido por los Controles del servicio de VPC.

Para corregir este rechazo en el proyecto My-Project-2, tienes dos opciones:

Crea un nivel de acceso que permita el acceso a la dirección IP de tu sistema al proyecto dentro del perímetro.
Crea una regla de entrada que permita el acceso a un cliente de API ubicado fuera del perímetro a los recursos que se encuentran dentro de él.

En la siguiente sección, se muestra cómo solucionar problemas relacionados con este rechazo. Para ello, se crea un nivel de acceso.

Crea un nivel de acceso

En la consola de Cloud de Confiance , ve a la página Access Context Manager en el permiso de la carpeta Exercise.

Ir a Access Context Manager
Crea un nivel de acceso con los siguientes detalles:
- Para Crear condiciones en, elige Modo básico.
- Para Cuando se cumpla la condición, devolver:, elige Verdadero.
- Elige el atributo Subredes de IP y especifica la dirección IP pública de tu sistema.
- Elige el atributo Ubicaciones geográficas y especifica tu ubicación geográfica.
Este nivel de acceso solo permite el acceso cuando coinciden la dirección IP y la ubicación geográfica.
Ve a la página Controles del servicio de VPC en el permiso de la organización.

Ir a los Controles del servicio de VPC
Elige la política de acceso que creaste antes en este instructivo.
Agrega el nivel de acceso que creaste en el permiso de la carpeta Exercise al perímetro MyFirstPerimeter.

Prueba el acceso

Después de agregar el nivel de acceso, verifica que puedas acceder a Compute Engine en el proyecto My-Project-2 y crear una instancia de VM.

En la consola de Cloud de Confiance , ve a la página Instancias de VM.

Ir a Instancias de VM
Crea una instancia de VM.

Nota: Conserva los valores predeterminados en los campos y crea una instancia de VM de bajo costo.

Después de cerca de un minuto, Compute Engine crea una instancia de VM y esta acción verifica que tengas acceso completo a Compute Engine protegido dentro del perímetro.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o consérvalo y borra los recursos individuales.

Borra el proyecto

Precaución: Borrar un proyecto tiene las siguientes consecuencias:

Se borra todo su contenido. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los IDs personalizados de los proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees usar en el futuro. Para conservar las URLs que usan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto, en lugar de todo el proyecto.

Si planeas explorar varios instructivos, arquitecturas o guías de inicio rápido, reutilizar proyectos puede ser útil para no exceder los límites de cuota de los proyectos.

In the Cloud de Confiance console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Borra los recursos individuales

Borra instancias de VM

In the Cloud de Confiance console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Borra recursos de los Controles del servicio de VPC

Borra el perímetro de servicio.
Borra el nivel de acceso que creaste en el permiso de la carpeta Exercise.

¿Qué sigue?

Diagnostica una denegación de acceso con el ID único en el analizador de incumplimientos