Lineamientos de seguridad de red

Los siguientes lineamientos para la plataforma de seguridad viable mínima se alinean con el pilar de seguridad de la red.

Lineamientos del nivel básico

Primero, implementa los siguientes lineamientos de seguridad de red.

Elemento	Bloquea la creación de la red predeterminada
Descripción	La restricción booleana `compute.skipDefaultNetworkCreation` omite la creación de la red predeterminada y los recursos relacionados cuando se crean proyectos Google Cloud . La red predeterminada es una red de nube privada virtual (VPC) de modo automático con reglas de firewall IPv4 propagadas previamente para permitir rutas de comunicación internas. En general, esta configuración no es una postura de seguridad recomendada para los entornos de producción.
Información relacionada	Restricciones de las políticas de la organización
ID de artículo	MVSP-CO-1-47
Asignación	Controles relacionados de NIST-800-53: SC-7 SC-8 Controles relacionados del perfil de CRI: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Control del Administrador de cumplimiento: Restringe la creación de redes predeterminadas para las instancias de Compute Engine

Elemento	Habilita el Acceso privado a Google
Descripción	Habilita el Acceso privado a Google en todas las subredes. Habilitar el Acceso privado a Google permite que los servicios accedan a los servicios de Google Cloud que no tienen direcciones IP externas. De forma predeterminada, el Acceso privado a Google no está habilitado en los recursos nuevos y requiere pasos adicionales para habilitarlo de forma explícita.
Información relacionada	Configura el Acceso privado a Google
ID de artículo	MVSP-CO-1.52
Asignación	Controles relacionados de NIST-800-53: SC-7 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Habilita el Acceso privado a Google en una instancia

Después de implementar los lineamientos básicos, implementa los siguientes lineamientos de seguridad de red.

Elemento	Usa políticas de Cloud Armor
Descripción	En el caso de las aplicaciones que se exponen detrás de Cloud Load Balancing, usa las políticas predeterminadas de Google Cloud Armor o configura tus propias políticas para agregar protección de red de la capa 3 a la capa 7 para las aplicaciones o los servicios externos. Las políticas de seguridad de Cloud Armor ayudan a proteger tu aplicación, ya que proporcionan filtrado de capa 7. Estas políticas también revisan las solicitudes entrantes en busca de ataques web comunes o de otros atributos de capa 7 para bloquear el tráfico antes de que llegue a los servicios de backend con balanceo de cargas o los buckets de backend. Cada política de seguridad se compone de un conjunto de reglas que incluyen atributos de la capa 3 a la capa 7.
Información relacionada	Descripción general de Cloud Armor
ID de artículo	MVSP-CO-1.49
Asignación	Controles relacionados de NIST-800-53: SC-7 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Define una política de seguridad para mitigar los eventos de DDoS

Elemento	Restringe el tráfico saliente
Descripción	Limita el acceso a fuentes externas, ya que, de forma predeterminada, se permite todo el acceso saliente. Establece reglas de firewall específicas para los patrones de tráfico previstos que deben salir. De forma predeterminada, a menudo se permite que los sistemas realicen conexiones salientes a Internet, lo que se puede considerar un riesgo de seguridad. Una política de bloqueo predeterminado bloquea el tráfico saliente y requiere que se creen reglas específicas solo para los destinos conocidos y necesarios.
Información relacionada	Reglas de firewall de VPC
ID de artículo	MVSP-CO-1.50
Asignación	Controles relacionados de NIST-800-53: SC-7 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Aplica la regla de firewall de salida Deny All

Elemento	Limita el acceso entrante a los puertos SSH y RDP
Descripción	Cuando sea posible, restringe el acceso entrante solo a recursos y rangos de recursos específicos. Si Identity-Aware Proxy (IAP) está configurado, establece las reglas de firewall de SSH y Protocolo de escritorio remoto (RDP) entrantes en los rangos de IP de IAP como fuentes. Las reglas de firewall permisivas de SSH y RDP permiten ataques de fuerza bruta. En su lugar, usa proxies que tengan reconocimiento de identidad Google Cloud (como IAP) para SSH y RDP.
Información relacionada	Usa IAP para el reenvío de TCP
ID de artículo	MVSP-CO-1.51
Asignación	Controles relacionados de NIST-800-53: SC-7 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Bloquear el acceso al puerto SSH Bloquea el acceso al puerto RDP

Después de implementar los lineamientos intermedios, implementa los siguientes lineamientos de seguridad de red.

Elemento	Habilita los Controles del servicio de VPC
Descripción	Habilita los Controles del servicio de VPC como una capa adicional de protección para evitar la posible pérdida de datos. Los Controles del servicio de VPC pueden ayudar a evitar el robo de datos, ya que crean perímetros de aislamiento alrededor de tus recursos en la nube, datos sensibles y redes.
Información relacionada	Descripción general de los Controles del servicio de VPC Productos admitidos y limitaciones
ID de artículo	MVSP-CO-1.48
Asignación	Controles relacionados de NIST-800-53: SC-7 SC-8 Controles relacionados del perfil de CRI: PR.AC-3.1 Control del Administrador de cumplimiento: Cómo definir perímetros de servicio en los Controles del servicio de VPC