Publicado por Grace Mollison, arquitecta de Cloud Solutions

¿Ejecutas y administras aplicaciones en Google Cloud Platform (GCP)? ¿Tienes que agrupar o clasificar tus recursos de GCP para satisfacer demandas vinculadas al cumplimiento? ¿Tienes que manejar el tráfico desde y hacia una VM, controlar recursos específicos o ver esos recursos por cuenta de facturación? Si tu respuesta a cualquiera de estas preguntas es afirmativa, te pondrá contento saber que el GCP ofrece varias maneras de anotar tus recursos para poder realizar un seguimiento más sencillo de ellos: marcas de seguridad, etiquetas y etiquetas de red.

Aunque cada anotación tiene una funcionalidad y un alcance diferentes, no son mutuamente exclusivos y, a menudo, los usarás combinados para cumplir con requisitos. Usa este diagrama de flujo como ayuda para elegir la anotación que corresponda.

Observemos en mayor detalle cada tipo de anotación.

Tipo de anotación: Marcas de seguridad

Las marcas de seguridad, o marcas, te ofrecen una manera de anotar recursos y luego realizar búsquedas e implementar selecciones o filtros usando la marca a través del Cloud Security Command Center (Cloud SCC)

Casos de uso:
A continuación, te mostramos los principales casos de usos para marcas de seguridad:
  • Clasificación y organización de recursos y resultados independientes de mecanismos de etiquetas de niveles de recursos, incluidas agrupaciones con varios elementos superiores
  • Habilitación del seguimiento de severidad y prioridad de infracciones
  • Integración con sistemas de flujo de trabajo para la asignación y la resolución de incidentes
  • Habilitación del cumplimiento de políticas diferenciadas en recursos, proyectos o grupos de proyectos
  • Mejoramiento de estadísticas centradas en la seguridad para tus recursos; p. ej., aclarar los depósitos de acceso público que cumplen con la política y los que no lo hacen
Ten en cuenta que las etiquetas de Cloud para los recursos compatibles asociados también aparecen y se indexan a través de Cloud SCC, a fin de que puedas usar la lógica de automatización para crear o modificar marcas en base a los valores de las etiquetas y las marcas de los recursos existentes.

Uso:
Las marcas son pares clave-valor clave que son compatibles con varios recursos. Proporcionan una vista de los recursos compatibles centrada en la seguridad y solo se pueden ver desde Cloud SCC. Para el acceso al inventario orientado a la edición o la vista de recursos en Cloud SCC y las marcas asociadas se requiere una función de IAM de securityCenter.editor, independientemente de las funciones y los permisos del recurso subyacente. Puedes establecer marcas en el nivel de la organización o el nivel de proyectos o para recursos individuales que admitan marcas. Para trabajar con marcas, puedes usar cURL, REST API, la biblioteca de Python de Cloud SCC o la página de inventario de recursos de Cloud SCC seleccionando los recursos a los que desees aplicar una marca, y luego agregando los elementos de pares clave-valor.

Qué puedes anotar:
Una marca válida que cumpla con los siguientes criterios:
  • En la versión alpha, las claves tienen una extensión mínima de 1 carácter y una máxima de 63 caracteres, y no pueden estar vacías. En las versiones beta y GA, las claves se extenderán para admitir hasta 256 caracteres y el valor puede tener un máximo de 4096 caracteres.
  • Los valores y las claves pueden contener solo minúscula, caracteres numéricos, guiones bajos y guiones. Todos los caracteres deben usar codificación UTF-8 y pueden incluir caracteres internacionales.
Puedes encontrar una lista de recursos actualizada que se puede anotar mediante marcas aquí.

Tipo de anotación: Etiquetas

Las etiquetas son pares clave-valor compatibles con varios recursos de GCP. Puedes usar etiquetas para realizar un seguimiento de tu gasto en datos de facturación exportados. También puedes usar etiquetas para filtrar y agrupar recursos para otros casos de usos; por ejemplo, para identificar todos esos recursos que se encuentran en un entorno de prueba, en contraposición a los que se encuentran en producción.

Aquí te proporcionamos una lista de todo lo que puedes hacer con las etiquetas:
  • Identificar recursos empleados por los equipos separados o los centros de costos
  • Distinguir entornos de implementación (prueba, control de calidad, etapa y producción)
  • Identificar propietarios y etiquetas del estado
  • Dar uso para fallas en asignaciones de costos e intervalos de facturación
  • Controlar grupos de recursos a través de Stackdriver, que pueden usar etiquetas accesibles en los metadatos de recursos
Uso:
Una etiqueta válida cumple con los siguientes criterios:
  • Cada etiqueta debe tener un par clave-valor.
  • Las claves tienen una extensión mínima de 1 carácter y una máxima de 63 caracteres, y no pueden estar vacías. Los valores no pueden estar vacíos y deben tener una extensión máxima de 63 caracteres.
  • Los valores y las claves pueden contener solo minúscula, caracteres numéricos, guiones bajos y guiones. Todos los caracteres deben usar codificación UTF-8 y pueden incluir caracteres internacionales.
  • La parte que corresponde a la clave en una etiqueta debe ser única. Sin embargo, puedes usar la misma clave con varios recursos. Las claves deben empezar con una letra minúscula o un carácter internacional.
Consulta los recursos compatibles para obtener información sobre cómo aplicar etiquetas y a qué las puedes aplicar. Por ejemplo, BigQuery te permite agregar etiquetas a tus tablas, vistas y conjuntos de datos mientras que Cloud Storage te permite agregar etiquetas a los depósitos. Puedes agregar etiquetas a tus proyectos pero no a tus carpetas.

Los permisos que necesitas para agregar etiquetas a los recursos se determinan producto por producto. Por ejemplo, BigQuery requiere el permiso bigquery.datasets.update para modificar etiquetas en los conjuntos de datos. El propietario del conjunto de datos tiene este permiso de forma predeterminada, pero también puedes asignar en el nivel del proyecto las funciones de IAM predefinidas bigquery.dataOwner y bigquery.admin, que incluyen este permiso. También puedes agregar etiquetas a las tablas y vistas. Para esta acción se requiere el permiso bigquery.tables.update. La asignación de los roles de IAM predefinidos en el nivel de proyecto bigquery.dataOwner, bigquery.dataEditor o bigquery.admin otorga este permiso. El propietario del conjunto de datos tiene permisos completos respecto de las tablas y las vistas que contiene el conjunto de datos.

Qué puedes etiquetar:
Aquí podrás encontrar una lista actualizada de productos de GCP que admiten etiquetas. Luego, puedes inspeccionar la documentación de cada producto para obtener más información.

Ten en cuenta que puedes etiquetar instancias, pero si las anotas para administrar el tráfico de red debes usar etiquetas (consulta a continuación) como alternativa.

Tipo de anotación: Etiquetas de red

Las etiquetas de red se aplican a instancias y representan el medio para controlar el tráfico de red desde y hacia una instancia de VM. En las redes de GCP, las etiquetas identifican las instancias de VM que se encuentran sujetas a reglas de firewalls y rutas de redes. Puedes usar las etiquetas como valores de origen y destino en las reglas de firewall. Para las rutas, se usan etiquetas a fin de identificar qué instancias aplica una ruta determinada.

Uso:
Usar etiquetas significa crear una aislamiento adicional entre subredes permitiendo, de modo selectivo, que solo ciertas instancias se comuniquen. Si permites que todas las instancias en una subred compartan la misma etiqueta, puedes especificar esa etiqueta en las reglas de firewall para simular un firewall por subred. Por ejemplo, si tienes una subred llamada “subred-a”, puedes etiquetar a todas las instancias de una subred-a con la etiqueta “mi subred-a” y usar esa etiqueta en las reglas de firewall como una fuente o destino.

Las etiquetas se pueden agregar o quitar desde una instancia usando comandos de gcloud, Cloud Console o llamadas de API. El siguiente comando gcloud agregará las etiquetas de “producción” y “web” a una instancia 
gcloud compute instances add-tags [INSTANCE_NAME] --tags production,web
Puedes establecer reglas de firewall usando comandos de gcloud y la Console. El siguiente comando de gcloud establece una regla de firewall usando etiquetas en el origen y el destino. Permite el tráfico de la producción web con etiquetas de instancias a datos de registro con etiquetas de instancias a través del puerto TCP 443. 
gcloud compute firewall-rules create web-logdata \
    --network logging-network \
    --allow TCP:443 \
    --source-tags web-production \
    --target-tags log-data
En el caso de las rutas, se usan etiquetas para identificar las instancias a las que se aplica una ruta determinada. Por ejemplo, puedes crear una ruta que se aplique a todas las instancias de VM etiquetadas con la VPN de strings. Puedes fijar rutas usando comandos de gcloud o la Console. El siguiente comando de gcloud crea una ruta llamada my-route en una red llamada my-network que restringe la ruta de modo que se aplique únicamente a instancias con las etiquetas “web-prod” o “api-gate-prod”. 

gcloud compute routes create my-route --destination-range 10.0.0.0/16 \
--network my-network [--tags=web-prod,api-gate-prod]
Sin embargo, la modificación de las etiquetas de red está disponible para cualquier persona de tu organización que tenga la función Compute InstanceAdmin dentro del proyecto en el cual se creó la red. Puedes crear un rol personalizado con permisos más restringidos que inhabilitan la capacidad de configurar las etiquetas en instancias eliminando el permiso compute.instances.setTag desde la función Compute InstanceAdmin. En lugar de usar las etiquetas y las funciones personalizadas para evitar que los desarrolladores ajusten etiquetas (y, por lo tanto, habiliten una regla de firewall en sus instancias), usa cuentas de servicio. A menos que tengan acceso a las cuentas de servicio administradas de manera central correspondientes, no podrán modificar la regla. Consulta cuentas de servicio vs. etiquetas para determinar si las restricciones en el uso de las cuentas de servicio para las reglas de firewall son aceptables.

Los valores de las etiquetas deben cumplir con los siguientes criterios:
  • No puede contener más de 63 caracteres cada uno.
  • Solo puede tener letras en minúscula, caracteres numéricos y guiones.
  • Debe comenzar y terminar con un número o un carácter en minúscula.

Marcas, etiquetas y etiquetas de red a simple vista

A modo de repaso, aquí te mostramos una tabla en la que se resumen los casos de uso común y las anotaciones asociadas.

Caso de uso
Anotaciones obligatorias
Notas
Hacer inventario de los recursos GCP
Marcas de seguridad
Etiquetas
Las etiquetas actualmente son compatibles con un rango más amplio de recursos que las marcas de seguridad. La vista de Cloud SCC de tus recursos incluye, como propiedades de estos, las etiquetas y las marcas que has aplicado. Puedes aplicar más marcas de seguridad ACL’d para controlar la organización y la filtración del amplio conjunto de recursos, marcas y etiquetas.
Clasificación o agrupación de datos y recursos de GCP en grupos lógicos, como entornos de producción o desarrollo para casos de uso sin ACL’d
Etiquetas

Clasificación o agrupación de datos y recursos de GCP en grupos, como entornos de producción o desarrollo para casos de uso de seguridad
Marcas de seguridad
Úsalas cuando quieras que el control de los grupos esté en un nivel de organización o no esté específicamente bajo el control del propietario de los recursos.
Agrupación y clasificación de recursos confidenciales u organización de recursos para la atribución en casos de uso de seguridad
Marcas de seguridad
Las marcas de lectura y configuración se restringen a las funciones específicas de Cloud SCC
Desglose de facturación y asignación de costos
Etiquetas

Administración del tráfico de red desde y hacia las instancias
Etiquetas
Cualquier persona de tu organización que tenga la función Compute InstanceAdmin puede modificar las etiquetas de redes.
Supervisión de agrupaciones de recursos relacionados para tareas operativas
Etiquetas

Usadas con grupos de recursos de Stackdriver
Supervisión de agrupaciones de recursos relacionados o descubrimientos para evaluaciones de riesgo de seguridad, administración de vulnerabilidad y detección de amenazas
Marcas de seguridad
Se usa en Cloud SCC

En sus marcas, preparados, ya

Si administras un entorno grande y complejo, sabes lo difícil que puede ser dar seguimiento a todos tus recursos de GCP. Esperamos que las marcas de seguridad, las etiquetas convencionales y las etiquetas de red puedan facilitar esa tarea un poco más. Para obtener más información sobre los recursos de seguimiento en GCP, consulta esta guía práctica sobre la creación y administración de etiquetas. Visita también este espacio para obtener más trucos secretos que te permitirán administrar recursos de GCP como un profesional.