Parte-50: Reglas de Firewall de VPC en Google Cloud Explicadas
Cuando creas instancias de VM en Google Cloud, se alojan dentro de una red Virtual Private Cloud VPC y el tráfico entrante y saliente se controla mediante reglas de firewall de VPC. Estas reglas permiten o deniegan conexiones hacia o desde las NIC de las máquinas virtuales y pueden aplicarse a una sola VPC o a varias VPC mediante políticas de firewall.
Dirección del tráfico: ingress controla el tráfico entrante a la VM; egress controla el tráfico saliente desde la VM. Ejemplo práctico: un usuario accediendo por HTTP al puerto 80 es tráfico ingress; una VM descargando actualizaciones es tráfico egress.
Prioridad: los valores más bajos tienen mayor prioridad. Si existe una regla que niega SSH con prioridad 200 y otra que permite SSH con prioridad 100, prevalece la que tiene 100.
Acción: allow permite el tráfico; deny lo bloquea. Define claramente qué protocolos y puertos están permitidos para minimizar la superficie de ataque, por ejemplo tcp:443 para HTTPS o udp:53 para DNS.
Targets y alcance: puedes aplicar reglas al conjunto completo de instancias de la VPC, a VMs con tags específicos o a VMs que usan un servicio de cuenta concreto. Esto facilita implementar el principio de menor privilegio y gestionar reglas por función en la infraestructura.
Fuente y destino: en ingress defines de dónde procede el tráfico, por ejemplo permitir SSH solo desde la IP de la oficina; en egress defines hacia dónde puede salir el tráfico, por ejemplo solo a la subred interna del cluster de bases de datos.
Puertos y protocolos: limita las reglas a los protocolos y rangos de puertos necesarios. Evita reglas amplias 0.0.0.0/0 cuando no sean imprescindibles y prefiere rangos de IP para facilitar auditoría y cumplimiento.
Estado de aplicación: las reglas pueden habilitarse o deshabilitarse sin borrarlas, útil para mantenimientos temporales.
Reglas implícitas en GCP: por defecto GCP permite todo el egress y niega todo el ingress. La regla implícita de egress permite destino 0.0.0.0/0 con prioridad baja; la implícita de ingress deniega 0.0.0.0/0 hasta que crees reglas explícitas que permitan acceso como SSH o HTTP.
Buenas prácticas: aplicar principio de least privilege; bloquear todo por defecto y solo permitir tráfico específico; limitar reglas allow por cuenta de servicio o tags; usar rangos IP para mantener control y facilitar auditoría; minimizar reglas por IP; habilitar logging de firewall de forma selectiva porque genera coste adicional pero aporta trazabilidad.
Analogía real: piensa en las reglas de firewall como guardias de seguridad en un edificio. Una regla ingress decide quién entra, una regla egress decide adónde puede ir alguien al salir, la prioridad indica cuál orden sigue el guardia primero y las reglas implícitas son la política de la empresa de que nadie entra sin permiso y todos pueden salir salvo restricción.
En Q2BSTUDIO, empresa especializada en desarrollo de software y aplicaciones a medida, inteligencia artificial y ciberseguridad, ayudamos a diseñar arquitecturas seguras en la nube y a implementar reglas de firewall acordes con políticas de seguridad corporativas. Ofrecemos servicios de migración y operación en nube pública, optimización y hardening de redes y acceso con soluciones en servicios cloud AWS y Azure y auditorías técnicas en ciberseguridad y pentesting.
Si gestionas infraestructuras con necesidades de inteligencia artificial o análisis de datos, en Q2BSTUDIO también entregamos soluciones de inteligencia de negocio y Power BI que se integran con políticas de red y seguridad. Palabras clave que describen nuestros servicios y que aplican a este artículo incluyen aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.
Resumen rápido: las reglas de firewall de VPC definen allow o deny para ingress y egress; sus componentes clave son dirección, prioridad, targets, fuente/destino, protocolos y puertos, y estado de aplicación. GCP aplica reglas implícitas que permiten egress y niegan ingress por defecto. Para seguridad y cumplimiento, crea reglas explícitas, limita el alcance y habilita logging cuando sea necesario.