# üõ°Ô∏è Securing Virtual Machines using Chrome Enterprise Premium

En este laboratorio, aprender√°s a utilizar **Chrome Enterprise Premium** junto con **Identity-Aware Proxy (IAP)** para habilitar un acceso administrativo seguro a m√°quinas virtuales (VMs) que no cuentan con una direcci√≥n IP externa y, por lo tanto, no permiten acceso directo desde Internet. Este enfoque es ideal para empresas que buscan proteger datos sensibles, como informaci√≥n contable, mientras mantienen un acceso controlado y seguro a sus recursos en la nube.

üí° **Beneficio empresarial**: Usar **IAP** con **Chrome Enterprise Premium** garantiza que solo usuarios y dispositivos autorizados puedan acceder a sistemas cr√≠ticos, como servidores que almacenan datos financieros, reduciendo riesgos de seguridad y cumpliendo con normativas como el RGPD o auditor√≠as internas.

Para m√°s informaci√≥n sobre Identity-Aware Proxy, consulta la [Documentaci√≥n oficial de Google Cloud IAP](https://cloud.google.com/iap/docs).

## ¬øQu√© aprender√°s?
- Activar el reenv√≠o TCP de **IAP** en tu proyecto de Google Cloud.
- Probar la conectividad a instancias Linux y Windows sin IP externa.
- Configurar reglas de firewall necesarias para permitir conexiones seguras.
- Asignar permisos para usar el reenv√≠o TCP por **IAP**.
- Demostrar el uso de t√∫neles seguros utilizando conexiones **SSH** y **RDP**.

üìä **Analog√≠a contable**: Configurar **IAP** es como instalar una b√≥veda segura para los libros contables de una empresa, donde solo los auditores autorizados pueden acceder a trav√©s de un canal cifrado, sin exponer los datos al p√∫blico.

## üöÄ Tarea 1: Habilitar el Reenv√≠o TCP de IAP

En esta tarea, activar√°s la API de **Identity-Aware Proxy (IAP)** para habilitar el reenv√≠o TCP, que permite conexiones seguras a m√°quinas virtuales sin IP p√∫blica.

### Pasos en Google Cloud Console:
1. Abre el **Men√∫ de Navegaci√≥n** > **APIs y Servicios** > **Biblioteca**.
2. Busca **IAP**.
3. Selecciona **Cloud Identity-Aware Proxy API**.
4. Haz clic en **Habilitar**.

**Explicaci√≥n**:
- **IAP** act√∫a como una capa de seguridad que autentica a los usuarios antes de permitirles acceder a recursos, como VMs, sin necesidad de exponerlos a Internet.

üí° **Contexto empresarial**: En un entorno contable, **IAP** es como un guardia de seguridad que verifica la identidad de un auditor antes de permitirle acceder a registros financieros sensibles, garantizando que solo las personas autorizadas puedan interactuar con los datos.

Para m√°s detalles, consulta la [Documentaci√≥n de Google Cloud IAP](https://cloud.google.com/iap/docs).

## üöÄ Tarea 2: Crear Instancias Linux y Windows

En esta tarea, crear√°s tres instancias de m√°quinas virtuales: dos sin IP externa (`linux-iap` y `windows-iap`) y una con IP externa (`windows-connectivity`) para probar conexiones seguras.

### Paso 1: Crear instancia Linux (linux-iap)

1. Ve a **Men√∫** > **Compute Engine** > **Instancias**.
2. Haz clic en **Crear instancia**.
3. Configura:
   - **Nombre**: `linux-iap`
   - **Zona**: Selecciona una zona (por ejemplo, `us-central1-a`).
   - En **Redes**, edita **Interfaz de red**.
   - Cambia **Direcci√≥n IP externa** a **Ninguna**.
4. Haz clic en **Crear**.

**Explicaci√≥n**:
- Al eliminar la IP externa, la VM queda aislada de Internet, lo que mejora la seguridad.

üí° **Contexto empresarial**: Esta configuraci√≥n es como una caja fuerte que contiene registros financieros, accesible solo desde una red interna segura, evitando accesos no autorizados desde el exterior.

### Paso 2: Crear instancia Windows (windows-iap)

1. Ve a **Crear instancia**.
2. Configura:
   - **Nombre**: `windows-iap`
   - **Sistema Operativo**: **Windows Server 2016 Datacenter**.
   - En **Red**, elimina la **Direcci√≥n IP externa**.
3. Haz clic en **Crear**.

**Explicaci√≥n**:
- Similar a `linux-iap`, esta VM no tiene IP externa, lo que la protege de accesos directos desde Internet.

### Paso 3: Crear VM para conectividad (windows-connectivity)

1. Ve a **Crear instancia**.
2. Configura:
   - **Nombre**: `windows-connectivity`
   - **Sistema**: Usa la imagen personalizada `iap-desktop-v001` desde **Qwiklabs Resources**.
   - En **Seguridad**, habilita **Acceso completo a todas las APIs de Cloud**.
   - Mant√©n la **IP externa** activa.
3. Haz clic en **Crear**.

**Explicaci√≥n**:
- Esta VM act√∫a como un punto de acceso seguro desde el cual conectar√°s a las otras VMs sin IP externa.

üí° **Contexto empresarial**: La VM `windows-connectivity` es como una oficina central desde la cual los auditores pueden acceder de forma segura a los registros financieros almacenados en otras sucursales (VMs sin IP externa).

### Resumen de instancias:

| **VM**                | **Prop√≥sito**                     | **SO**                     | **¬øIP externa?** |
|-----------------------|-----------------------------------|----------------------------|------------------|
| `linux-iap`           | Pruebas sin acceso externo        | Linux                     | ‚ùå               |
| `windows-iap`         | Pruebas sin acceso externo        | Windows Server            | ‚ùå               |
| `windows-connectivity`| Prueba de conexi√≥n                | Windows (custom)          | ‚úÖ               |

Para m√°s informaci√≥n sobre la creaci√≥n de VMs, consulta la [Documentaci√≥n de Google Cloud Compute Engine](https://cloud.google.com/compute/docs).

## üöÄ Tarea 3: Probar Conectividad

En esta tarea, verificar√°s que las VMs `linux-iap` y `windows-iap` no son accesibles directamente debido a la falta de una IP externa.

### Pasos:
1. Para `linux-iap`:
   - Ve a **Compute Engine** > **Instancias**.
   - Haz clic en **SSH** junto a `linux-iap`.
   - **Resultado esperado**: Ver√°s un error de conexi√≥n, ya que no hay IP externa.
2. Para `windows-iap`:
   - Haz clic en **RDP** junto a `windows-iap`.
   - **Resultado esperado**: Ver√°s un error de acceso.

**Explicaci√≥n**:
- Sin una IP externa, Google Cloud bloquea el acceso directo a estas VMs, lo que mejora la seguridad al evitar conexiones no autorizadas desde Internet.

üí° **Contexto empresarial**: Este aislamiento es como mantener los registros financieros en una b√≥veda sin acceso p√∫blico, asegurando que solo los canales internos autorizados puedan acceder a ellos.

## üöÄ Tarea 4: Configurar Reglas de Firewall

En esta tarea, crear√°s una regla de firewall para permitir conexiones seguras a trav√©s de **IAP** para los protocolos **SSH** (puerto 22) y **RDP** (puerto 3389).

### Pasos:
1. Ve a **Men√∫** > **VPC Network** > **Firewall** > **Crear regla**.
2. Configura la regla:
   - **Nombre**: `allow-ingress-from-iap`
   - **Direcci√≥n del tr√°fico**: **Ingreso**
   - **Objetivo**: **Todas las instancias de la red**
   - **Filtro de origen**: **Rango IPv4**
   - **Rango IPv4**: `35.235.240.0/20` (rango de IP de IAP)
   - **Protocolos y puertos**: `TCP: 22, 3389`
3. Haz clic en **Crear**.

**Explicaci√≥n**:
- Esta regla permite el tr√°fico desde el rango de IPs de **IAP** hacia los puertos **SSH** (para Linux) y **RDP** (para Windows), asegurando conexiones seguras.

üí° **Contexto empresarial**: Esta regla es como autorizar a un grupo espec√≠fico de auditores a acceder a los registros financieros a trav√©s de un canal seguro, sin exponer los datos a terceros.

Para m√°s informaci√≥n, consulta la [Documentaci√≥n de Google Cloud Firewall](https://cloud.google.com/vpc/docs/firewalls).

## üöÄ Tarea 5: Asignar permisos para usar IAP TCP Forwarding

En esta tarea, asignar√°s permisos para permitir que la VM `windows-connectivity` y tu cuenta de usuario utilicen **IAP** para conectarse a las VMs.

### Pasos:
1. Ve a **Men√∫** > **Seguridad** > **Identity-Aware Proxy**.
2. Cambia a la pesta√±a **SSH and TCP Resources**.
3. Selecciona las instancias `linux-iap` y `windows-iap`.
4. Haz clic en **Agregar principal**.
5. Agrega la cuenta de servicio de la VM `windows-connectivity`:
   - **Formato**: `project_number-compute@developer.gserviceaccount.com`
   - **Rol**: **Cloud IAP > IAP-Secured Tunnel User**
6. Agrega tu cuenta de estudiante:
   - Copia el correo desde el panel del laboratorio.
   - **Rol**: **Cloud IAP > IAP-Secured Tunnel User**
7. Haz clic en **Guardar**.

**Explicaci√≥n**:
- Estos permisos permiten que tanto la VM `windows-connectivity` como tu cuenta de usuario accedan a las VMs a trav√©s de t√∫neles seguros de **IAP**.

üí° **Contexto empresarial**: Asignar estos permisos es como otorgar acceso exclusivo a un grupo reducido de contadores para revisar los libros financieros, garantizando que solo ellos puedan acceder a trav√©s de un canal seguro.

Para m√°s detalles, consulta la [Documentaci√≥n de Google Cloud IAM](https://cloud.google.com/iam/docs).

## üöÄ Tarea 6: Usar IAP Desktop para Conectarse a Instancias Windows y Linux

En esta tarea, utilizar√°s **IAP Desktop**, una herramienta gr√°fica, para conectarte a las VMs sin IP externa desde la VM `windows-connectivity`.

üìä **Analog√≠a contable**: **IAP Desktop** es como una oficina central que permite a los auditores acceder de forma segura a registros financieros almacenados en b√≥vedas remotas, sin necesidad de exponerlas al p√∫blico.

### Paso 1: Conectarse a windows-connectivity usando RDP

1. Ve a **Compute Engine** > **VM Instances**.
2. Busca la instancia `windows-connectivity`.
3. Haz clic en la flecha hacia abajo y selecciona **Descargar archivo RDP**.
4. Abre el archivo RDP con el programa **Conexi√≥n a Escritorio Remoto** de Windows.
5. Ingresa las credenciales:
   - **Usuario**: `student`
   - **Contrase√±a**: `Learn123!`

**Explicaci√≥n**:
- Este paso te conecta a la VM `windows-connectivity`, que act√∫a como un punto de acceso seguro.

### Paso 2: Abrir la aplicaci√≥n IAP Desktop

1. En el escritorio de `windows-connectivity`, busca el √≠cono de **IAP Desktop** y haz doble clic para abrirlo.
2. Haz clic en **Iniciar sesi√≥n con Google**.
3. Usa las credenciales temporales proporcionadas en el panel del laboratorio.
4. Haz clic en **Continuar** y luego en **Permitir** para vincular la aplicaci√≥n a tu cuenta de Google Cloud.

**Explicaci√≥n**:
- **IAP Desktop** autentica tu cuenta para gestionar conexiones seguras a las VMs.

### Paso 3: Agregar el Proyecto del Laboratorio

1. En **IAP Desktop**, selecciona el proyecto asociado al laboratorio.
2. Esto permitir√° que la aplicaci√≥n vea las instancias VM disponibles (`linux-iap` y `windows-iap`).

**Explicaci√≥n**:
- Seleccionar el proyecto asegura que **IAP Desktop** pueda identificar las VMs a las que tienes acceso.

### Paso 4: Conectarse a windows-iap

1. En **IAP Desktop**, haz doble clic en la instancia `windows-iap`.
2. Si es la primera vez, selecciona **Generar nuevas credenciales**.
3. Acepta el mensaje emergente de **Generar credenciales de inicio de sesi√≥n**.
4. Una vez generadas, deber√≠as acceder al escritorio remoto de `windows-iap`.

**Explicaci√≥n**:
- **IAP Desktop** utiliza un t√∫nel seguro para conectar con la VM sin IP externa, proporcionando una experiencia gr√°fica similar a un escritorio remoto est√°ndar.

üí° **Contexto empresarial**: Esta conexi√≥n es como acceder a un sistema contable remoto sin exponerlo a Internet, garantizando la confidencialidad de los datos financieros.

## üöÄ Tarea 7: Demostrar T√∫neles Usando SSH y RDP

En esta tarea, demostrar√°s c√≥mo acceder a VMs sin IP externa utilizando t√∫neles cifrados con **IAP** para conexiones **SSH** (Linux) y **RDP** (Windows).

üìä **Analog√≠a contable**: Los t√∫neles de **IAP** son como un canal cifrado para enviar documentos financieros confidenciales dentro de la empresa, sin exponerlos al p√∫blico.

### Paso 1: Conectarse a windows-connectivity con RDP

1. Ve a **Compute Engine** > **VM Instances**.
2. En `windows-connectivity`, haz clic en la flecha hacia abajo y selecciona **Establecer contrase√±a de Windows**.
3. Copia y guarda la contrase√±a generada.
4. Descarga el archivo RDP y √°brelo con **Conexi√≥n a Escritorio Remoto**.
5. Ingresa la contrase√±a copiada.

**Explicaci√≥n**:
- Este paso asegura que tengas acceso a `windows-connectivity`, desde donde iniciar√°s los t√∫neles.

### Paso 2: Abrir Google Cloud SDK Shell

1. En el escritorio de `windows-connectivity`, abre la aplicaci√≥n **Google Cloud SDK Shell** (√≠cono de terminal).

**Explicaci√≥n**:
- **Google Cloud SDK Shell** proporciona una interfaz de l√≠nea de comandos para ejecutar comandos `gcloud`.

### Paso 3: Conectarse a linux-iap v√≠a SSH

Ejecuta el siguiente comando en **Google Cloud SDK Shell**:

In [None]:
gcloud compute ssp linux-iap

**Explicaci√≥n del comando**:
- `gcloud`: Herramienta de l√≠nea de comandos de Google Cloud.
- `compute`: Gestiona recursos de **Compute Engine**.
- `ssh`: Inicia una conexi√≥n **SSH** a una VM.
- `linux-iap`: Nombre de la VM de destino.

**Nota**: Como `linux-iap` no tiene IP externa, el comando usar√° un t√∫nel **IAP**. Ver√°s un mensaje como:
```
No external IP address found, attempting to use IAP tunneling.
```
1. Selecciona la zona correcta (por ejemplo, `us-central1-a`).
2. Acepta la alerta de seguridad de **PuTTY**.

üí° **Contexto empresarial**: Esta conexi√≥n es como acceder de forma segura a un servidor que almacena registros contables, sin exponerlo a riesgos externos.

### Paso 4: Ajustar configuraci√≥n de t√∫neles en PuTTY

1. En la ventana de **PuTTY**:
   - Haz clic en la esquina superior izquierda > **Change Settings**.
   - En **Tunnel**, activa **Local ports accept connections from other hosts**.
2. Cierra la sesi√≥n de **PuTTY** y haz clic en **Apply**.

**Explicaci√≥n**:
- Este ajuste permite que el t√∫nel **IAP** acepte conexiones desde otros hosts locales, facilitando la comunicaci√≥n segura.

### Paso 5: Crear un t√∫nel para windows-iap

Ejecuta el siguiente comando en **Google Cloud SDK Shell**:

In [None]:
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone=us-west1-a

**Explicaci√≥n del comando**:
- `gcloud compute`: Gestiona recursos de **Compute Engine**.
- `start-iap-tunnel`: Inicia un t√∫nel seguro con **IAP**.
- `windows-iap`: Nombre de la VM de destino.
- `3389`: Puerto est√°ndar para **RDP**.
- `--local-host-port=localhost:0`: Asigna un puerto local aleatorio para el t√∫nel.
- `--zone=us-west1-a`: Especifica la zona de la VM.

**Nota**: Cuando veas un mensaje como `Listening on port [XXXX]`, copia el n√∫mero de puerto para usarlo en el siguiente paso.

### Paso 6: Finalizar la conexi√≥n RDP v√≠a t√∫nel

1. Ve a **Compute Engine** > **VM Instances**.
2. En `windows-iap`, haz clic en **Establecer contrase√±a** y copia la contrase√±a generada.
3. Abre la aplicaci√≥n **Conexi√≥n a Escritorio Remoto** de Windows.
4. En el campo **Equipo**, escribe: `localhost:[n√∫mero de puerto del t√∫nel]`.
5. Ingresa la contrase√±a copiada y con√©ctate.
6. Si se te pregunta, haz clic en **S√≠**.

**Explicaci√≥n**:
- Este paso establece una conexi√≥n **RDP** a `windows-iap` a trav√©s del t√∫nel **IAP**, permitiendo acceso seguro sin IP externa.

üí° **Contexto empresarial**: Esta conexi√≥n es como revisar los balances financieros de una sucursal remota a trav√©s de un canal cifrado, garantizando seguridad y trazabilidad.

üéâ ¬°Ahora est√°s conectado a una VM sin IP externa gracias a **IAP**!

## üöÄ Resumen de conceptos

El siguiente cuadro resume los conceptos clave y herramientas utilizadas en este laboratorio:

| **Elemento**              | **Descripci√≥n**                                                                 | **Analog√≠a Contable**                              |
|---------------------------|--------------------------------------------------------------------------------|----------------------------------------------------|
| **IAP Desktop**           | Herramienta gr√°fica para conectarse a VMs sin IP p√∫blica                        | Oficina central para acceder a sucursales internas |
| **SSH / RDP**             | Protocolos para conectarse a sistemas remotos (Linux / Windows)                 | T√©cnicas para revisar libros contables a distancia |
| **T√∫nel IAP**             | Ruta cifrada que permite acceso seguro sin exponer recursos a Internet          | Entrega de documentaci√≥n por canales internos      |
| `gcloud compute ssh`      | Comando para acceder a una VM Linux v√≠a terminal                               | Ingreso remoto a archivos contables protegidos    |
| `gcloud start-iap-tunnel` | Crea un t√∫nel seguro hacia un puerto espec√≠fico (como RDP)                      | Puente cifrado para revisar balances remotos       |

üí° **Conclusi√≥n empresarial**: **Chrome Enterprise Premium** con **IAP** proporciona una soluci√≥n robusta para proteger sistemas cr√≠ticos, como los que almacenan datos contables, al permitir acceso seguro sin exponer recursos a Internet. Esto mejora la seguridad, reduce riesgos y facilita el cumplimiento de normativas, mientras optimiza costos al eliminar la necesidad de IPs p√∫blicas.

Para m√°s informaci√≥n, consulta la [Documentaci√≥n de Google Cloud IAP](https://cloud.google.com/iap/docs).