INTEGRANTES:

LEONARDO PAYPAY CABEZAS

PALOMINO ROSAS JHOSEPT
LUIS ROMERO PÉÑA
CHERRES JEANPAUL
 CASO PRACTICO
La empresa SystelCom & CIA desea realizar la Construcción de Redes Seguras en Google Cloud Platform (GCP)
para mejorar su escalabilidad y eficiencia operativa. Dado que maneja datos sensibles, necesita construir una red
segura para evitar ataques cibernéticos, accesos no autorizados y fugas de información.

Desafíos Identificados

1. Accesos Externos Inseguros: Algunos servicios de la empresa, como bases de datos y servidores web, estaban
expuestos con direcciones IP públicas.

2. Gestión Deficiente de Identidades y Accesos (IAM): Se detectaron cuentas de servicio con permisos excesivos,
lo que incrementaba el riesgo de ataques internos.

3. Falta de Segmentación de Red: Todos los servicios estaban en una misma VPC, sin restricciones entre ellos,
aumentando el riesgo de movimientos laterales en caso de ataque.

4. Comunicación No Segura entre Servicios: Algunos servicios internos usaban HTTP en lugar de HTTPS, lo que
exponía datos sensibles en tránsito.

5. Ausencia de Monitoreo y Alertas: No se contaba con una estrategia efectiva de monitoreo en tiempo real para
detectar amenazas o accesos no autorizados.
 CASO PRACTICO
Solución Implementada

1. Segmentación de la Red con VPCs y Subredes Seguras

￭ Se implementaron diferentes VPCs para entornos de producción, desarrollo y pruebas.
￭ Se utilizaron subredes privadas para evitar la exposición innecesaria de servicios.
2.Reforzamiento de Firewalls y Control de Tráfico
￭ Se restringió el acceso a servicios críticos mediante Cloud Firewall y se permitió únicamente el tráfico
necesario.
￭ Se habilitó Cloud Armor para mitigar ataques DDoS.
3.Implementación de Identity-Aware Proxy (IAP) y IAM Seguro
￭ Se utilizó IAP para controlar el acceso seguro a las aplicaciones internas sin exponerlas a internet.
￭ Se aplicó el principio de menor privilegio en IAM, asignando permisos solo cuando era estrictamente
necesario.
4.Cifrado y Seguridad en la Comunicación
￭ Se habilitó el uso de TLS para todas las comunicaciones internas.
￭ Se usaron VPC Service Controls para proteger los datos almacenados en servicios como Cloud Storage
y BigQuery.
5.Monitoreo y Detección de Amenazas
￭ Se implementó Security Command Center para detectar y responder a amenazas en tiempo real.
￭ Se activaron logs en Cloud Logging y Cloud Monitoring para analizar eventos sospechosos.
 CASO PRACTICO
Que no hacer:

1. Configuración Incorrecta de Firewalls y Reglas de Seguridad

⚬ Uso de reglas de firewall demasiado permisivas (ejemplo: permitir tráfico abierto en puertos críticos como
SSH o RDP).
⚬ Falta de segmentación de redes y control de acceso granular.
⚬ Configuración incorrecta de Cloud Armor y reglas de IDS/IPS.

2. Exposición de Servicios Críticos a Internet

⚬ Instancias de VM o bases de datos expuestas con direcciones IP públicas.
⚬ Falta de políticas adecuadas en Identity-Aware Proxy (IAP) para acceso seguro.
⚬ Uso de API sin autenticación o con permisos excesivos.

3. Falta de Gestión de Identidades y Accesos (IAM)

⚬ Uso de cuentas de servicio con privilegios excesivos.
⚬ No aplicar el principio de menor privilegio en IAM.
⚬ Falta de monitoreo de accesos y credenciales expuestas.

4. Comunicación Insegura Entre Servicios

⚬ Uso de HTTP en lugar de HTTPS/TLS en la comunicación interna.
⚬ Falta de control sobre el tráfico entre VPCs y servicios privados.
⚬ No utilizar VPC Service Controls para restringir el acceso a datos sensibles.
1. Introducción a las VPCs: Presente el concepto de nubes privadas virtuales (VPCs) y su
importancia en la seguridad de la red en la nube.

2. Configuración de una VPC en GCP: Describa el proceso de creación de una VPC

en GCP utilizando la consola de administración.

3. Configuración de subredes y reglas de firewall: Describa como configurar

subredes y reglas de firewall dentro de una VPC para segmentar el tráfico y
controlar el acceso.
Introducción a las VPCs

Una nube privada virtual (VPC) es una red aislada dentro

VPCS de una nube pública, como Google Cloud Platform (GCP).
Su propósito principal es proporcionar un entorno seguro
y controlado para desplegar recursos en la nube,
manteniendo la segmentación de tráfico y garantizando la
conectividad entre instancias de manera eficiente.

Las VPCs son esenciales para la seguridad en la nube

VPCS porque permiten definir reglas de firewall, establecer
controles de acceso y configurar rutas personalizadas.
Además, ofrecen flexibilidad en la configuración de
subredes, direccionamiento IP y conectividad híbrida con
redes locales.
Introducción a las VPCs
Las VPCs desempeñan un papel crucial en la seguridad de la nube al proporcionar un
entorno de red aislado que protege los recursos contra accesos no autorizados y
VPCS ataques externos. A continuación, se destacan algunos aspectos clave de su importancia
en la seguridad:

Aislamiento de Red: Las VPCs crean un Cifrado de Datos en Tránsito:

espacio de red privado, evitando que los Las conexiones dentro de una VPC pueden cifrarse
mediante VPNs o TLS, asegurando que los datos
recursos sean accesibles desde el exterior sin
permanezcan protegidos mientras se transfieren.
autorización.

Control de Acceso Granular: Se pueden definir Monitoreo y Registro de Actividad: Las VPCs
reglas de firewall y políticas de seguridad permiten la integración con herramientas de
detalladas para permitir o restringir el tráfico a monitoreo, como Cloud Logging y Cloud Monitoring,
nivel de instancia o subred. para detectar anomalías y responder a amenazas en
tiempo real.

Integración con Servicios de Seguridad: En GCP, las VPCs pueden

combinarse con Identity and Access Management (IAM), Cloud Armor
y otros servicios de seguridad para reforzar la protección de la red.
Configuración de una VPC en GCP

Paso 01 Paso 02 Paso 03

En este paso seleccionaremos Buscaremos en la barra Una vez ingresado al

un proyecto o crearemos uno superior VPC Networks e dashboard, seleccionamos en
nuevo ingresaremos para acceder al crear nueva red y llenaremos
dashboard, no olvidar activar los campos requeridos,
el Compute Engine API además, se verá como crear
uno desde powershell
PASO 1: SELECCIONAR UN PROYECTO
PASO 2: BUSCAMOS VPC NETWORK NOTA:

NOTA: No olvidar activar el COMPUTE ENGINE

API
PASO 3: SELECCIONAR EN LA OPCIÓN DE CREAR NUEVA VPC Y LLENAR LOS CAMPOS.
Crear una red mediante
consola:
gcloud compute networks create redprivada --subnet-mode=custom
CONFIGURACIÓN DE SUBREDES Y REGLAS DE FIREWALL

Son divisiones lógicas dentro de una VPC que permiten

organizar y segmentar el tráfico de red. Facilitan la
SUBREDES asignación de direcciones IP y optimizan el rendimiento y
la seguridad de los recursos en la nube.

Son políticas de seguridad que controlan el tráfico

entrante y saliente dentro de la VPC. Permiten definir qué
REGLAS DE
conexiones están permitidas o bloqueadas, asegurando
FIREWALL
un control preciso sobre la comunicación entre los
recursos.
CONFIGURACIÓN DE SUBREDES Y REGLAS DE FIREWALL

Son divisiones lógicas dentro de una VPC que permiten

organizar y segmentar el tráfico de red. Facilitan la
SUBREDES asignación de direcciones IP y optimizan el rendimiento y
la seguridad de los recursos en la nube.

Son políticas de seguridad que controlan el tráfico

entrante y saliente dentro de la VPC. Permiten definir qué
REGLAS DE
conexiones están permitidas o bloqueadas, asegurando
FIREWALL
un control preciso sobre la comunicación entre los
recursos.
Configuración de subredes y reglas de firewall
Configuración de subredes y reglas de
firewall

CREAR UNA SUBRED MEDIANTE

CONSOLA:
gcloud compute networks subnets create subnetprivada --network=redprivada --region=us-west1 --
range=172.16.0.0/20
Configuración de subredes y reglas de
firewall

CREAR REGLAS DE
FIREWALL
Configuración de subredes y reglas de
firewall
CREAR REGLAS DE
FIREWALL
Configuración de subredes y reglas de
firewall
CREAR REGLAS DE
FIREWALL
Las VPCs en GCP son una herramienta fundamental para la seguridad y administración de redes en
la nube. Al configurarlas correctamente con subredes y reglas de firewall, se puede garantizar un tráfico
controlado y segmentado, optimizando el rendimiento y la protección de los recursos desplegados en la
nube.

Colocar subredes permite dividir la red en segmentos más pequeños, lo que ayuda a mejorar
la seguridad al limitar la exposición de los recursos y facilita la administración del tráfico.
También mejora el rendimiento al reducir la congestión y permitir un uso más eficiente de los
recursos.

Las reglas de firewall es crucial para definir qué tipos de tráfico están permitidos o
bloqueados. Esto impide accesos no autorizados y ayuda a cumplir con políticas de seguridad.
Al aplicar reglas precisas, se protege la infraestructura frente a amenazas externas e internas,
asegurando la disponibilidad y confiabilidad de los servicios en la nube.
 IP PRIVADA IP PÚBLICA NAT

Es un mecanismo que permite

Permite la comunicación entre En GCP, las IPs públicas que recursos con IP privada
recursos dentro de la misma permiten que los servicios accedan a Internet (saliente)
red (por ejemplo, entre VMs sean accesibles desde sin tener una IP pública.
en la misma VPC). Internet.
El cifrado en la nube es como ponerle un candado a tus datos
antes de guardarlos en GCP. Esto asegura que, aunque
alguien logre acceder a los archivos, sin la llave correcta no
podrá leer la información, porque puedes decidir que se cifre
automáticamente.

GCP usa claves para hacer esto, y hay diferentes formas de

manejar esas claves:
 En GCP hay varias herramientas para cifrar y proteger los datos. Las principales son:

01 SSL/TLS (Secure Sockets Layer /

Transport Layer Security) 02 Google Cloud KMS (Key
Management Service)

Es como un túnel seguro entre tu Es un servicio que te permite

computadora y los servidores de crear, usar y administrar claves de
Google que protege la información cifrado y puedes usar claves
cuando viaja por internet para que gestionadas por Google o crear
nadie pueda verla o modificarla, las tuyas propias, también, sirve
también se usa, por ejemplo, cuando para cifrar bases de datos, discos
accedes a una página web con HTTPS de máquinas virtuales, archivos
o cuando una aplicación se comunica en almacenamiento y más.
con GCP.
01 Cifrado en reposo
02 Cifrado en tránsito
03 Confidential Computing

GCP cifra automáticamente Protege los datos cuando se Protege los datos incluso
todos los datos que mueven dentro de la red de GCP mientras están en uso, dentro
almacenas, ya sea en Cloud o entre GCP y otros servicios de la memoria de una máquina
Storage, BigQuery, Compute también usa SSL/TLS para virtual y usa procesadores
Engine, etc. Usa claves evitar que los datos sean especiales para que nadie
propias de Google, pero si interceptados. pueda ver los datos mientras se
quieres más control, puedes procesan.
usar Cloud KMS o incluso tus
propias claves (CSEK).

En resumen, GCP protege los datos en tres niveles: cuando viajan (TLS), cuando
están almacenados (At-Rest Encryption) y mientras se usan (Confidential
Computing). Además, Cloud KMS te da control total sobre las claves de cifrado.
 1. Cifrado en tránsito con SSL/TLS
Caso de uso: Proteger la comunicación entre mi aplicación y GCP.

Ejemplo: Si tengo una aplicación web que se conecta a una base de datos en Cloud SQL,
quiero asegurarme de que los datos viajen cifrados.

Pasos:

1.-Aseguro que mi aplicación use HTTPS en lugar de HTTP.

2.-Si uso Cloud SQL, habilito la opción de conexión con TLS en la configuración.
3.-Si es una API en Cloud Run o App Engine, activo los certificados SSL/TLS.

Comando para verificar conexión segura:

 2.- Cifrado en reposo con Cloud KMS

Caso de uso: Proteger archivos en Cloud Storage con claves administradas por mí.

Ejemplo: Subo archivos confidenciales a un bucket de Cloud Storage y quiero cifrarlos

con una clave propia en Cloud KMS.
Pasos:

1.-Habilito Cloud Key Management Service (KMS) en mi proyecto.

2.-Creo una clave en KMS:

3.-Creo un bucket de Cloud Storage y le asigno esta clave para cifrar objetos:

4.-Subo un archivo y se cifra automáticamente con mi clave KMS:

 3.- Cifrado en máquinas virtuales (Compute Engine)

Caso de uso: Asegurar que los discos de mis máquinas virtuales estén cifrados.

Ejemplo: Tengo una VM en Compute Engine y quiero que su disco use mi propia clave
de cifrado.

Pasos:

1.-Creo una clave en KMS como en el ejemplo anterior.

2.-Creo una máquina virtual con un disco cifrado usando mi clave:

3.-Uso este disco en mi VM:

 3.- Cifrado en máquinas virtuales (Compute Engine)

Caso de uso: Proteger datos sensibles mientras se procesan en memoria.

Ejemplo: Si trabajo con datos financieros o de salud y quiero que ni siquiera el sistema
operativo tenga acceso a ellos.

Pasos:

1.-Habilito Confidential VM en mi proyecto.

2.-Creo una VM con Confidential Computing activado:

3.-Aseguro que mi aplicación dentro de la VM maneje los datos de forma segura.

 Ejemplo práctico
Caso de uso Herramienta

Protección de HTTPS en APIs, Cloud

comunicaciones SQL con TLS
SSL/TLS

Protección de archivos
Cifrado de objetos en Con estas opciones, puedo asegurar que
en almacenamiento Cloud KMS
Cloud Storage
mis datos estén protegidos en cualquier
etapa dentro de GCP.

Protección de discos en Cloud KMS Cifrado de discos en

máquinas virtuales Compute Engine

Protección de datos en Confidential Confidential VM para

procesamiento Computing datos sensibles
La construccion de redes seguras en la nube con Google Cloud Platform (GCP) requiere una combinación de

1
buenas prácticas, herramientas de seguridad y una correcta configuración de la infraestructura. La protección de
los recursos depende de la correcta gestión de reglas de firewall, segmentación de redes, control de identidades
(IAM) y cifrado en la comunicación entre servicios. Además, el monitoreo constante mediante herramientas como
Security Command Center y Cloud Logging es esencial para detectar y mitigar amenazas. Implementar
estrategias de seguridad adecuadas no solo reduce riesgos, sino que también garantiza el cumplimiento de
normativas y la integridad de los datos en entornos cloud.

2
3