Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Descripción general de la seguridad en la nube de GCP y mejores prácticas

Proteger una nube no es una tarea sencilla. Y proteger Google Cloud Platform (GCP) es, en ciertos aspectos, especialmente complicado.

Esto no se debe a algún fallo en GCP, pues se trata de una plataforma en la nube consolidada, robusta y fiable que ejecuta millones de workloads. Más bien se debe al hecho de que, en muchos sentidos, GCP es la más nueva de las “tres grandes” plataformas de nube pública, lo que hace que sea más difícil de proteger, ya que existen menos herramientas de seguridad diseñadas específicamente para GCP y menos consejos sobre las mejores prácticas para su seguridad.

GCP también es técnicamente diferente a nubes como Azure y AWS en ciertos aspectos importantes. Por ejemplo, una de las principales diferencias es que GCP se sustenta en gran medida en Kubernetes, utilizándolo como base para su marco de gestión de la nube híbrida (Anthos) junto con un servicio gestionado de containers (Google Kubernetes Engine).

Teniendo todo esto en cuenta, en este artículo ofrecemos información básica sobre aspectos importantes que hay que saber acerca de la seguridad en la nube de GCP. Hablaremos de la responsabilidad compartida en Google Cloud, de los controles de seguridad nativos que ofrece Google para las workloads en la nube y de las mejores prácticas para proteger las aplicaciones y los datos alojados en Google Cloud.

Modelo de responsabilidad compartida de GCP

A semejanza de las principales nubes públicas, GCP adopta un modelo de responsabilidad compartida. Según este modelo, algunas responsabilidades de seguridad recaen en el cliente y otras en Google Cloud. Otras son compartidas.

Los acuerdos concretos de responsabilidad en seguridad varían entre los servicios de nube y las configuraciones. Si desea más información, Google ofrece un documento de 87 páginas que lo explica todo en detalle. A grandes rasgos, la responsabilidad compartida en GCP puede resumirse como sigue:

  • Google es responsable de la protección de la infraestructura física, incluyendo las redes físicas, los servidores y los medios de almacenamiento, a excepción de cualquier infraestructura local conectada a GCP a través de una arquitectura de nube híbrida.
  • Por su parte, los clientes son responsables de la protección de las workloads que implementen en Google Cloud. Esto incluye recursos como los sistemas operativos que los clientes instalen en las máquinas virtuales en la nube, las configuraciones de redes virtuales que configuren, los containers que desplieguen a través de GKE y cualquier dato que suban al almacenamiento en la nube de GCP.
  • Google comparte la responsabilidad de la seguridad con los clientes en el caso de los servicios gestionados de GCP. Por ejemplo, si se utiliza GKE, el servicio de Kubernetes gestionado por GCP, Google asegura los componentes de la infraestructura necesarios para ejecutar clústeres, mientras que los clientes aseguran la mayoría de los componentes de Kubernetes (como la API) y cualquier aplicación que implementen a través de GKE.

Retos de seguridad y cumplimiento de GCP

Como ya hemos dicho, GCP es igual de seguro que cualquiera de las otras nubes públicas más utilizadas. Pero conviene señalar por qué la protección de las workloads en GCP puede suponer un desafío.

Un ecosistema de nube más pequeño

Uno de los retos que ya hemos mencionado es que GCP es una nube más joven en muchos sentidos que Azure y AWS. También ha tenido siempre una cuota de mercado más baja. Ambos factores significan que el ecosistema de la nube en su conjunto no ha favorecido a GCP tanto como a otras nubes. Aunque muchas plataformas modernas de seguridad nativas en la nube son totalmente compatibles con GCP, otras solo funcionan con AWS y Azure. Además, es probable que muchos ingenieros tengan menos experiencia trabajando con las herramientas de seguridad nativas de GCP, como su marco de Identity and Access Management (IAM), que con los servicios equivalentes que se ejecutan en AWS y Azure.

Inversiones en multicloud y nube híbrida

Relacionado en cierto modo con lo anterior, GCP también se centra más en los casos de uso de nube híbrida y multicloud que AWS y Azure, cuyo dominio en el mercado resta importancia a su compatibilidad con entornos externos (aunque AWS y Azure ofrecen integraciones híbridas y multicloud, un tema que no es objeto de este artículo).

Esta tendencia se ve confirmada por el hecho de que, por ejemplo, GCP fue la primera nube pública importante en ofrecer un marco de nube híbrida, Anthos, que funciona con prácticamente cualquier tipo de infraestructura local. Los equivalentes de Azure y AWS, Azure Stack y AWS Outposts, son más restrictivos que Anthos en muchos aspectos.

Por lo que respecta a la seguridad, la tendencia híbrida y multicloud de GCP presenta un reto por cuanto es más probable que los usuarios de GCP integren sus workloads GCP con entornos externos. Esto hace que sea más difícil confiar únicamente en las herramientas de seguridad nativas de GCP (que no suelen ser compatibles con entornos de terceros) para proteger las workloads. Además, también dificulta algunos de los desafíos asociados con la seguridad de la infraestructura de red y las APIs que conectan GCP con los recursos externos.

Todos estos retos se pueden salvar fácilmente, pero es importante conocer los requisitos especiales de seguridad de GCP para planificar la estrategia de seguridad más eficaz para Google Cloud.

Mejores prácticas de seguridad en la nube de GCP

En general, la gestión de los riesgos de seguridad de Google Cloud se basa en el mismo enfoque que se adopta para proteger cualquier nube:

  • Utilice IAM de GCP: IAM es una de las herramientas más potentes para asegurar las workloads en la nube. Saque el máximo partido al marco de IAM de Google Cloud para aplicar el mínimo privilegio en su entorno de GCP. Asimismo, audite sus políticas de IAM para detectar errores de configuración que puedan dar lugar a brechas de seguridad.
  • Aísle sus redes en la nube: Utilizando recursos como GCP Virtual Private Cloud, aísle las workloads no relacionadas dentro de sus propias redes privadas para mitigar el riesgo de que los problemas de seguridad se extiendan de una workload a otra.
  • Utilice etiquetas: GCP le permite organizar sus workloads mediante etiquetas. Aunque la falta de etiquetas no es un riesgo de seguridad en sí mismo, es más probable que los recursos sufran brechas si no están bien organizados, ya puede olvidarse de que existen o de incluirlos en las auditorías.
  • Aísle los datos sensibles: Sepa dónde se encuentran los datos sensibles (como los que contienen información personal identificable) en su entorno de GCP. Considere el uso de Google Cloud DLP para descubrir datos sensibles en ubicaciones que quizás haya pasado por alto.
  • Conozca la responsabilidad de los servicios gestionados: En el caso concreto de los servicios gestionados, es fácil hacer falsas suposiciones sobre el papel del proveedor de nube en materia de seguridad, sobre todo porque se trata de un tema con muchos matices y las responsabilidades del proveedor pueden variar de un servicio a otro. Asegúrese de conocer los aspectos específicos de cada servicio gestionado que utilice.

Además de estas prácticas, también puede adoptar otras medidas para abordar los desafíos de seguridad que plantea Google Cloud. Considere las siguientes estrategias:

  • Utilice herramientas externas de monitorización y auditoría de seguridad: A pesar de que GCP proporciona algunas herramientas, como Security Command Center, para ayudar a proteger los recursos de la nube, su principal limitación, como ya señalamos, es que normalmente solo funcionan para workloads que se ejecutan en el propio GCP. Si usted opera un entorno híbrido o multicloud, o simplemente quiere funciones más exhaustivas de monitorización, análisis y alerta que las que ofrece la herramienta nativa de GCP, considere el uso de una plataforma de seguridad de terceros que pueda funcionar en entornos multicloud y locales.
  • Invierta en la seguridad de Kubernetes: Dado que GCP se sustenta en gran medida en Kubernetes como base de algunos de sus principales servicios, dominar la seguridad de Kubernetes es especialmente importante para los usuarios de GCP, sobre todo aquellos que utilizan marcos basados en Kubernetes, como Anthos. 
  • Conozca la diferencia entre la seguridad gestionada y no gestionada de Kubernetes: Es importante tener en cuenta que, aunque puede ejecutar Kubernetes como un servicio gestionado en GCP a través de GKE, también puede configurar Kubernetes usted mismo en su propia infraestructura. En este último caso, toda la responsabilidad de la seguridad de Kubernetes recae en usted. Por este motivo, es conveniente que conozca las sutilezas de la responsabilidad en los diferentes tipos de modelos de implementación de Kubernetes en GCP.

Mejores prácticas de seguridad de containers en GCP

Hemos hablado mucho del papel central que desempeña la seguridad de Kubernetes en la seguridad de GCP. Pero, ¿cómo puede proteger realmente Kubernetes y los containers que se ejecutan en Google Cloud?

Responder en detalle a esa pregunta no entra dentro de los objetivos de este artículo, pero algunas de las mejores prácticas básicas a seguir son:

  • Proteja las imágenes de containers: Google Cloud no escanea automáticamente las imágenes de containers para detectar malware o vulnerabilidades. Por lo tanto, deberá hacerlo usted mismo antes de desplegar las imágenes en GKE o en otro entorno basado en containers alojado en GCP.
  • Utilice la auditoría de seguridad de Kubernetes: La auditoría de seguridad de Kubernetes es una potente función para controlar lo que ocurre en sus clústeres y detectar posibles usos indebidos a tiempo. Asegúrese de habilitar la auditoría de seguridad y de analizar los eventos de auditoría con una herramienta que pueda detectar patrones de comportamiento sospechosos.
  • Audite sus entornos de containers: Las auditorías de seguridad de Kubernetes solo supervisan las solicitudes a la API de Kubernetes. Por lo tanto, también debería utilizar herramientas externas para auditar la configuración de toda la pila de software de los containers y comprobar si hay versiones de software obsoletas, configuraciones de control de acceso inseguras, versiones de tiempo de ejecución vulnerables, etc.
  • Restrinja los permisos de los containers: Utilice herramientas como los contextos de seguridad de Kubernetes para restringir los recursos a los que puede acceder su container y aísle los containers entre sí.

Conclusión

La seguridad de GCP es un tema complejo, pero puede resumirse en algunos aspectos básicos. Comience aplicando las mejores prácticas de seguridad y cumplimiento que aplicaría en cualquier tipo de entorno de nube. Una vez hecho esto, tal vez quiera implementar controles de seguridad que gestionen las características especiales de GCP, como su enfoque centrado en Kubernetes y su tendencia a formar parte de una arquitectura multicloud o híbrida.