# Nube Comunitaria y su Implementación en Google Cloud

En esta lectura, aprenderás sobre la **nube comunitaria** y cómo se implementa, usando **Google Cloud** como ejemplo.

## ¿Qué es una nube comunitaria?

Según la definición de **NIST SP 800-145**, una nube comunitaria es:

> “Infraestructura de nube [que] se aprovisiona para el uso exclusivo de una comunidad específica de consumidores de organizaciones que comparten preocupaciones comunes (por ejemplo, misión, requisitos de seguridad, políticas y consideraciones de cumplimiento). Puede ser propiedad, gestionada y operada por una o más de las organizaciones de la comunidad, un tercero, o una combinación de ellos, y puede existir en las instalaciones o fuera de ellas.”

## ¿Por qué usar una nube comunitaria?

Las organizaciones usan el enfoque de nube comunitaria por las siguientes razones:

- Los miembros de la comunidad de la nube trabajan bajo el mismo conjunto de **controles de seguridad**.
- El enfoque proporciona a los miembros los mismos atributos, como **ciudadanía y controles de autorización**, mientras que les da acceso limitado, físico y/o lógico, a los recursos.
- **Apoya la localización de datos** y algunos requisitos de **soberanía de datos** basados en la ubicación de los centros de datos de la nube comunitaria.
- Define un **modelo de seguridad perimetral** que abarca la nube comunitaria.

## Implementación de Nube Comunitaria Definida por Software

Para establecer un perímetro de seguridad, la mayoría de las nubes comunitarias tradicionales dependen de la separación física de otras nubes. Sin embargo, esta implementación no pudo cumplir con los requisitos avanzados de seguridad, gestionabilidad o cumplimiento de la industria.

En la arquitectura moderna, una **nube comunitaria definida por software** está diseñada para ofrecer los beneficios requeridos. Google Cloud es un enfoque definido por software que proporciona seguridad y garantías de cumplimiento sin las estrictas limitaciones de infraestructura física de los enfoques tradicionales. Las nubes comunitarias de Google utilizan una combinación de tecnologías conocidas como **"nubes aseguradas"**, que pueden:

- Definir comunidades en torno a proyectos comunes, requisitos de seguridad y cumplimiento, y políticas.
- Separar proyectos compartidos de la comunidad de otros proyectos.
- Modificar las capacidades del límite de la comunidad basándose en cambios de configuración controlados por políticas y auditados.

## Comparación entre Nube Comunitaria Tradicional y Definida por Software

La nube comunitaria definida por software proporciona muchos beneficios en comparación con la implementación tradicional. A continuación se muestra una tabla que compara las dos implementaciones basadas en las características descritas en la definición dada por NIST.

| **Característica**                                 | **Definición NIST SP 800-145**                                                                                      | **Implementación Tradicional de la Nube Comunitaria**                                                                 | **Nube Comunitaria Definida por Software**                                                     |
|----------------------------------------------------|---------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------|
| **Exclusividad de la Infraestructura**             | La infraestructura de la nube se aprovisiona para el uso exclusivo de una comunidad específica de consumidores.       | Centros de datos separados con infraestructura separada                                                              | Cada proyecto es efectivamente una nube privada con primitivas de infraestructura aisladas.     |
| **Controles de Seguridad Comunes**                 | (Implicado)                                                                                                         | Los mismos controles de seguridad se aplican a través de la infraestructura exclusiva compartida por la comunidad.     | Los controles de seguridad se aplican a la comunidad y se refuerzan mediante términos de servicio. |
| **Personal y Ciudadanía del Personal de Soporte**  | Puede ser propiedad, gestionada y operada por una o más organizaciones en la comunidad, un tercero, o una combinación | El personal debe estar físicamente ubicado en instalaciones dedicadas.                                                | El servicio de gestión de acceso restringe el soporte al personal con atributos requeridos (ciudadanía, ubicación laboral, etc.). |
| **Localización de Datos**                          | Puede existir en las instalaciones o fuera de ellas                                                                 | Dispositivos de almacenamiento dedicados para la comunidad                                                           | Aplicado por software                                                                          |
| **Parámetro de Seguridad Definido**                | (Implicado)                                                                                                         | La comunidad es el enclave                                                                                           | Cada proyecto es su propio enclave.                                                            |

## Nube Comunitaria Definida por Software como un Nuevo Tipo de "Nube Gubernamental"

En **Google Cloud Platform (GCP)**, un proyecto es un grupo lógico único de “primitivas de infraestructura”. En este contexto, una **primitiva de infraestructura** es cualquier unidad atómica de capacidad en GCP, como una **máquina virtual (VM)**, un **disco persistente (PD)**, un **bucket de almacenamiento**, entre otros. Los proyectos son **recursos globales** que pueden asignar primitivas de infraestructura de cualquier región o zona.

Cada proyecto es **independiente** de los proyectos de otros clientes. Los recursos de bajo nivel, como **hipervisores**, bloques en el sistema de almacenamiento distribuido que subyace en **Google Cloud Storage (GCS)**, y otros componentes están **aislados con abstracciones de recursos** que refuerzan el aislamiento tanto lógica como criptográficamente.

Un modelo de despliegue de nube privada se define en **NIST SP 800-145** como:

> "Infraestructura de nube [que] se aprovisiona para el uso exclusivo de una sola organización que comprende múltiples consumidores (como unidades de negocio). Puede ser propiedad, gestionada y operada por la organización, un tercero, o una combinación de ellos, y puede existir en las instalaciones o fuera de ellas."

Cuando se crea un proyecto en GCP, las primitivas de infraestructura asignadas a ese proyecto están limitadas solo a ese proyecto, creando efectivamente un “**enclave**” por proyecto.

Cuando se superponen con las restricciones de **Assured Workloads** para la residencia de datos, los atributos del personal de soporte y los controles de seguridad comunes a esa comunidad, estos enclaves privados por proyecto se convierten en **nubes comunitarias definidas por software**.

## Beneficios de una Nube Comunitaria Definida por Software

El enfoque de Google Cloud aporta múltiples beneficios, tales como:

- Cumplimiento de requisitos de **seguridad y cumplimiento**.
- Acceso más rápido a **nuevos hardware**, **nuevos servicios** y mejoras en los servicios existentes en comparación con las nubes comunitarias tradicionales.
- Mayor **eficiencia** debido a la escala de infraestructura disponible para la comunidad, lo que se traduce en una **mejora en la disponibilidad y el rendimiento**.
- Las mejoras de seguridad se pueden **escalar** e implementar más rápidamente.
