Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Computación en nube  |  Última actualización: 25 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Cómo configurar las reglas del cortafuegos en Google Cloud Platform(GCP)

Por
cortafuegos

¿Se pregunta cómo permitir o denegar el flujo de red en Google Cloud Platform (GCP)?

Cada proyecto que se crea en GCP viene con las reglas de cortafuegos predeterminadas.

gcp-default-firewall

Exploremos cuáles son.

  • default-allow-icmp - permite desde cualquier origen a todas las IP de la red. El protocolo ICMP se utiliza sobre todo para hacer ping al objetivo.
  • default-allow-internal - permite la conectividad entre instancias en cualquier puerto.
  • default-allow-rdp - permitir sesión RDP para conectarse a servidores Windows desde cualquier origen.
  • default-allow-ssh - permitir sesión SSH para conectarse a servidores UNIX desde cualquier origen.

Como puede ver, las reglas por defecto permiten una conectividad básica para permitir hacer ping al servidor e iniciar sesión en él.

¿Necesita más que esto?

Seguro que sí. Ahí es donde necesita saber cómo configurarlo en función de sus necesidades.

El cortafuegos de GCP son reglas definidas por software; no necesita aprender ni iniciar sesión en dispositivos de hardware de cortafuegos convencionales.

Las reglas del cortafuegos de Google Cloud son de estado. Toda la configuración se realiza a través de la consola de GCP o de comandos. No obstante, le explicaré cómo hacerlo mediante la consola.

Las reglas del cortafuegos están disponibles en la red VPC, en la sección de redes del menú lateral izquierdo.

gcp-firewall-rules

Cuando haga clic en crear una regla de cortafuegos, le pedirá los detalles de conectividad. Entendemos todas las opciones que tenemos y lo que significan.

Nombre - Nombre del cortafuegos (sólo en minúsculas y no se permite ningún espacio)

Descripción - opcional pero es bueno introducir algo significativo, para que lo recuerde en el futuro

Rojo - Si no ha creado ninguna VPC entonces verá sólo la predeterminada y la dejará como está. Sin embargo, si tiene varias VPC entonces seleccione la red donde desea aplicar las reglas del cortafuegos.

Prioridad - prioridad de la regla aplicada a la red. La prioridad más baja es la más alta y empieza en 1000. En la mayoría de los casos, querrá mantener todos los servicios críticos (HTTP, HTTPS, etc.) con prioridad 1000.

Dirección del tráfico - seleccione el tipo de flujo entre ingress (entrante) y outgress (saliente).

Acción en la coincidencia - elija si desea permitir o denegar

Objetivos - el objetivo donde desea aplicar las reglas. Tiene la opción de aplicar las reglas a todas las instancias de la red, permitir sólo en etiquetas específicas o cuenta de servicio.

Filtro de origen - un origen que se validará para permitir o denegar. Puede filtrar por rangos de IP, subredes, etiquetas de origen y cuentas de servicio.

Rangos de IP de origen - si selecciona el rango de IP en el filtro de origen, que es el predeterminado, entonces proporcione el rango de IP que se permitirá.

Segundo filtro de origen - es posible realizar múltiples validaciones de origen.

Ej: puede tener el primer filtro de origen como etiquetas de origen y el segundo filtro como cuenta de servicio. Cualquiera que coincida será permitido/denegado.

Protocolo y puertos - puede seleccionar todos los puertos o especificar puertos individuales (TCP/UDP). Puede tener varios puertos únicos en una sola regla.

gcp-create-firewall-rule

Exploremos escenarios en tiempo real...

Ha cambiado el puerto SSH de 22 a otro (digamos 5000) por razones de seguridad. Desde entonces, no puede entrar en una máquina virtual.

¿Por qué?

Bueno, puede adivinarlo fácilmente porque el puerto 5000 no está permitido en el cortafuegos. Para permitirlo, necesita crear una regla de cortafuegos como se indica a continuación.

  • Proporcione un nombre a la regla
  • Elija entrada en la dirección del tráfico
  • Elija permitir para la acción de la coincidencia
  • Seleccione todas las instancias de una red en el objetivo (suponiendo que desea conectarse a cualquier VM con el puerto 5000)
  • Seleccione rangos de IP en el filtro de origen (suponiendo que desea conectarse desde CUALQUIER origen)
  • Proporcione los rangos IP de origen como 0.0.0.0/0
  • Seleccione los protocolos y puertos especificados e introduzca tcp:5000
  • Haga clic en crear

gcp-custom-firewall-rule

Intente conectar su VM con el puerto 5000 y debería funcionar correctamente.

Algunas de las mejores prácticas para gestionar las reglas del cortafuegos.

  • Permita sólo lo que sea necesario (basado en la necesidad)
  • Siempre que sea posible, especifique IP de origen individuales o rangos en lugar de 0.0.0.0/0 (ANY)
  • Asocie instancias VM con las etiquetas y utilice eso en el objetivo en lugar de todas las instancias
  • Combine varios puertos en una sola regla para hacer coincidir el origen y el destino
  • Revise las reglas del cortafuegos periódicamente

La interfaz gráfica de GCP es fácil de entender y gestionar.

Espero que esto le dé una idea de la gestión de cortafuegos. Si está interesado en aprender GCP, le sugiero que consulte este curso.

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Etiquetado como
Gracias a nuestros patrocinadores
Más lecturas sobre computación en nube
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder