Introducción a Cloud Armor
Google Cloud Armor es un servicio de seguridad que protege tus aplicaciones y servicios contra ataques DDoS (Distributed Denial of Service) y otras amenazas basadas en la web. Utiliza la infraestructura global de Google para proporcionar protección a nivel de red y aplicación, permitiendo a los administradores definir políticas de seguridad que se aplican a sus recursos en Google Cloud Platform (GCP).
Objetivos de Aprendizaje
Al final de esta sección, deberías ser capaz de:
- Comprender qué es Google Cloud Armor y sus beneficios.
- Configurar políticas de seguridad utilizando Cloud Armor.
- Implementar reglas de firewall para proteger tus aplicaciones.
- Monitorear y gestionar las políticas de seguridad.
Conceptos Clave
¿Qué es Google Cloud Armor?
Google Cloud Armor es un servicio de seguridad que ofrece:
- Protección contra DDoS: Mitiga ataques de denegación de servicio distribuidos.
- Políticas de seguridad: Define reglas para permitir o denegar tráfico basado en varios criterios.
- Integración con otros servicios de GCP: Funciona con Google Cloud Load Balancing y otros servicios.
Beneficios de Cloud Armor
- Escalabilidad: Utiliza la infraestructura global de Google para escalar automáticamente.
- Flexibilidad: Define políticas de seguridad personalizadas.
- Visibilidad: Monitorea el tráfico y las amenazas en tiempo real.
Configuración de Cloud Armor
Paso 1: Crear una Política de Seguridad
- Accede a la consola de GCP: Navega a la sección de Cloud Armor.
- Crea una nueva política:
- Ve a "Security policies" y haz clic en "Create policy".
- Asigna un nombre a la política y define las reglas iniciales.
Paso 2: Definir Reglas de Seguridad
- Añadir reglas a la política:
- Define reglas para permitir o denegar tráfico basado en IP, geolocalización, etc.
gcloud compute security-policies rules create 1000 \
--security-policy my-security-policy \
--expression "origin.region_code == 'US'" \
--action "allow"- Ejemplo de regla para bloquear tráfico de una IP específica:
gcloud compute security-policies rules create 2000 \
--security-policy my-security-policy \
--expression "origin.ip == '192.168.1.1'" \
--action "deny-403"Paso 3: Asociar la Política a un Balanceador de Carga
- Asociar la política de seguridad a un balanceador de carga:
- Navega a la sección de "Load balancing" en la consola de GCP.
- Selecciona el balanceador de carga y edita su configuración para asociar la política de seguridad.
Monitoreo y Gestión
Monitoreo de Políticas
- Accede a los registros de Cloud Armor:
- Utiliza Stackdriver Logging para ver los registros de tráfico y las acciones tomadas por las políticas de seguridad.
- Visualización en la consola:
- Navega a la sección de "Logging" en la consola de GCP para ver los registros detallados.
Gestión de Políticas
- Actualizar reglas:
- Modifica las reglas existentes para adaptarse a nuevas amenazas o cambios en la infraestructura.
gcloud compute security-policies rules update 1000 \
--security-policy my-security-policy \
--expression "origin.region_code == 'CA'" \
--action "allow"- Eliminar reglas:
- Elimina reglas que ya no sean necesarias.
Ejercicio Práctico
Ejercicio 1: Crear y Configurar una Política de Seguridad
Objetivo: Crear una política de seguridad que permita tráfico solo desde los Estados Unidos y bloquee una IP específica.
-
Crear la política de seguridad:
- Utiliza la consola de GCP o el comando
gcloudpara crear una nueva política.
- Utiliza la consola de GCP o el comando
-
Añadir reglas:
- Añade una regla para permitir tráfico desde los Estados Unidos.
- Añade una regla para bloquear tráfico desde la IP
192.168.1.1.
-
Asociar la política a un balanceador de carga:
- Asocia la política de seguridad a un balanceador de carga existente.
Solución
# Crear la política de seguridad
gcloud compute security-policies create my-security-policy --description "Policy to allow US traffic and block specific IP"
# Añadir regla para permitir tráfico desde los Estados Unidos
gcloud compute security-policies rules create 1000 \
--security-policy my-security-policy \
--expression "origin.region_code == 'US'" \
--action "allow"
# Añadir regla para bloquear tráfico desde la IP 192.168.1.1
gcloud compute security-policies rules create 2000 \
--security-policy my-security-policy \
--expression "origin.ip == '192.168.1.1'" \
--action "deny-403"
# Asociar la política de seguridad a un balanceador de carga
gcloud compute backend-services update my-backend-service \
--security-policy my-security-policyConclusión
En esta sección, hemos aprendido sobre Google Cloud Armor, sus beneficios y cómo configurarlo para proteger nuestras aplicaciones y servicios en GCP. Hemos cubierto la creación de políticas de seguridad, la definición de reglas y la asociación de estas políticas con balanceadores de carga. Además, hemos visto cómo monitorear y gestionar estas políticas para mantener nuestras aplicaciones seguras.
En el próximo módulo, exploraremos otros aspectos de la seguridad en GCP, incluyendo la gestión de identidad y acceso (IAM).
Curso de Google Cloud Platform (GCP)
Módulo 1: Introducción a Google Cloud Platform
- ¿Qué es Google Cloud Platform?
- Configuración de tu cuenta de GCP
- Descripción general de la consola de GCP
- Comprensión de proyectos y facturación
Módulo 2: Servicios principales de GCP
Módulo 3: Redes y seguridad
Módulo 4: Datos y análisis
Módulo 5: Aprendizaje automático e IA
Módulo 6: DevOps y monitoreo
- Cloud Build
- Repositorios de código en la nube
- Cloud Functions
- Monitoreo de Stackdriver
- Cloud Deployment Manager
Módulo 7: Temas avanzados de GCP
- Híbrido y multi-nube con Anthos
- Computación sin servidor con Cloud Run
- Redes avanzadas
- Mejores prácticas de seguridad
- Gestión y optimización de costos