# 📌 Módulo 6: Seguridad en la Nube

## Introducción al Módulo

Bienvenido al módulo seis del curso **Fundamentos de Computación en la Nube de Google Cloud**. En este módulo, explorarás las mejores prácticas de seguridad en la nube, con un enfoque en cómo proteger datos y sistemas en entornos empresariales, como los utilizados en contabilidad y gestión financiera.

💡 **Beneficio empresarial**: Implementar medidas de seguridad robustas en la nube protege información financiera sensible, garantiza el cumplimiento normativo (como regulaciones tributarias) y reduce riesgos de auditoría.

Para más información sobre seguridad en Google Cloud, consulta la [Documentación de Google Cloud Security](https://cloud.google.com/security).

## 🚀 Objetivos del Módulo

- Explicar cómo se administra la seguridad en **Google Cloud**, incluyendo el modelo de seguridad compartida.
- Explorar las opciones de cifrado disponibles en **Google Cloud**.
- Identificar las mejores prácticas para configurar autenticación y autorización con **Identity and Access Management (IAM)**.

💡 **Contexto empresarial**: Estos objetivos te ayudarán a proteger datos contables sensibles, como balances o nóminas, y a garantizar que solo personal autorizado acceda a sistemas financieros.

## 📋 Agenda del Módulo

- **Seguridad en la nube**: Introducción a los conceptos básicos.
- **Modelo de seguridad compartida**: Responsabilidades de Google y del cliente.
- **Opciones de cifrado**: Métodos para proteger datos en tránsito y en reposo.
- **Autenticación con Identity-Aware Proxy (IAP)**: Configuración práctica.
- **Buenas prácticas con IAM**: Gestión de autorizaciones.
- **Evaluación final**: Cuestionario y repaso.

💡 **Contexto empresarial**: Esta agenda te permitirá implementar controles de seguridad similares a los de un sistema contable, asegurando la confidencialidad y el acceso autorizado a información financiera.

## 🧾 Enfoque contable para entender la seguridad en la nube

Desde una perspectiva contable, la seguridad en la nube puede compararse con la gestión de un sistema contable seguro:
- **Google Cloud** actúa como un contador externo confiable, manejando la seguridad de la infraestructura (como servidores físicos y cifrado predeterminado).
- **El cliente** es responsable de configurar políticas internas, como permisos de acceso, similar a definir quién puede modificar balances o emitir facturas.
- **IAM** es como un "Plan de Cuentas de Acceso", definiendo roles para usuarios (cajero, auditor, contador).
- **IAP** actúa como una "clave electrónica" que verifica la identidad antes de otorgar acceso a sistemas sensibles.

### Cuadro resumen
| Tema | Descripción | Analogía Contable |
|------|-------------|------------------|
| **Seguridad en la nube** | Conjunto de medidas para proteger datos y sistemas. | Proteger un software contable con claves y roles. |
| **Modelo de seguridad compartida** | Google y el cliente comparten responsabilidades. | Google es el custodio de la caja fuerte; vos decidís quién tiene llave. |
| **Cifrado** | Protege datos en tránsito y en reposo. | Cerrar con llave los libros contables. |
| **IAM** | Define quién accede a qué recursos. | Roles contables: cajero, auditor, contador general. |
| **IAP** | Restringe acceso según identidad. | Portero que verifica permisos antes de entrar. |
| **Buenas prácticas** | Uso de permisos mínimos, auditorías, separación de roles. | Control interno, firmas dobles, validación cruzada. |

💡 **Beneficio empresarial**: Estas prácticas aseguran que los datos financieros estén protegidos y cumplan con normativas, reduciendo riesgos en auditorías.

## 🔒 Seguridad en la Nube: Introducción

Google Cloud maneja servicios con más de mil millones de usuarios, haciendo de la seguridad una prioridad. Su infraestructura está diseñada con seguridad en cada nivel, desde el hardware hasta las operaciones.

### Las cinco capas de protección de Google
Google implementa cinco capas de seguridad complementarias:
1. **Infraestructura de hardware**: Diseños propios y controles físicos.
2. **Despliegue de servicios**: Cifrado entre servicios y autenticación avanzada.
3. **Servicios de almacenamiento**: Cifrado en reposo.
4. **Comunicación por internet**: Protección TLS y contra ataques DoS.
5. **Seguridad operativa**: Monitoreo y reducción de riesgos internos.

#### 1. Infraestructura de Hardware
- **Diseño y procedencia**: Google diseña sus propias placas base, equipos de red y chips de seguridad.
- **Arranque seguro**: Validación criptográfica del BIOS, cargador de arranque y sistema operativo.
- **Seguridad física**: Acceso restringido a centros de datos, con controles adicionales en instalaciones de terceros.

💡 **Contexto empresarial**: Esto es como una bóveda física que protege los libros contables, con acceso limitado a personal autorizado.

#### 2. Despliegue de Servicios
- **Cifrado entre servicios**: Todo el tráfico interno usa cifrado TLS.
- **Identidad del usuario**: Evaluación de riesgos (dispositivo, ubicación) y uso de llaves U2F.

💡 **Contexto empresarial**: Similar a requerir doble firma y verificación de identidad para acceder a sistemas contables.

#### 3. Servicios de Almacenamiento
- **Cifrado en reposo**: Uso de claves centralizadas y cifrado por hardware en discos.

💡 **Contexto empresarial**: Equivalente a guardar libros contables en una caja fuerte digital.

#### 4. Comunicación por Internet
- **Google Front End (GFE)**: Gestiona conexiones TLS y protege contra ataques DoS.
- **Protección contra DoS**: La infraestructura de Google absorbe ataques y reduce riesgos.

💡 **Contexto empresarial**: Como un sistema contable protegido contra sabotajes o accesos no autorizados.

#### 5. Seguridad Operativa
- **Detección de intrusos**: Uso de reglas y algoritmos para identificar incidentes.
- **Reducción de riesgos internos**: Monitoreo de accesos y uso de llaves U2F.
- **Prácticas de desarrollo**: Revisión de código por dos personas.

💡 **Contexto empresarial**: Similar a auditorías internas y controles de doble firma en procesos contables críticos.

### Cuadro resumen
| Capa de Seguridad | Descripción | Analogía Contable |
|-------------------|-------------|------------------|
| **Infraestructura de Hardware** | Diseño propio, chips de seguridad, control físico. | Bóveda física con libros contables. |
| **Despliegue de Servicios** | Cifrado entre servicios, autenticación avanzada. | Doble firma y verificación por dispositivo. |
| **Almacenamiento** | Cifrado en reposo con claves centralizadas. | Libros contables en caja fuerte. |
| **Comunicación por Internet** | GFE gestiona TLS y protege contra DoS. | Servidor contable con candados digitales. |
| **Seguridad Operativa** | Monitoreo, limitación de privilegios, revisiones de código. | Auditoría interna y separación de funciones. |

Para más información, consulta la [Documentación de Google Cloud Security](https://cloud.google.com/security).

## 🔐 Responsabilidades de Seguridad en la Nube

### El Modelo de Seguridad Compartida
En **Google Cloud**, la seguridad es una responsabilidad compartida entre Google y el cliente.

#### Seguridad en infraestructura local (On-Premises)
En un entorno local, el cliente es responsable de:
- Seguridad física del hardware.
- Cifrado de datos en disco.
- Integridad de la red.
- Seguridad del contenido de las aplicaciones.

#### Seguridad en Google Cloud
Google se encarga de:
- Seguridad física de los centros de datos.
- Cifrado automático de discos.
- Integridad de la red.

#### Responsabilidades del cliente
El cliente debe configurar:
- **Jerarquía de recursos**: Para organizar proyectos por áreas (ej. contabilidad, finanzas).
- **IAM**: Para definir permisos de acceso.
- **Protección de datos**: Controlar quién accede a información sensible.

💡 **Contexto empresarial**: Esto es como delegar la seguridad de los servidores a Google, pero definir quién puede acceder a los módulos contables (como facturación o nóminas).

### Cuadro resumen
| Concepto | Responsable | Ejemplo Contable |
|----------|-------------|------------------|
| **Seguridad física** | Google Cloud | Protección de servidores con datos contables. |
| **Cifrado de disco** | Google Cloud | Protección automática de balances digitales. |
| **Integridad de red** | Google Cloud | Prevención de ataques a redes contables. |
| **Protección del contenido** | Cliente | Control de acceso a reportes financieros. |
| **Gestión de acceso (IAM)** | Cliente | Definición de roles: contador vs. auditor. |
| **Jerarquía de recursos** | Cliente | Separar información por áreas: impuestos, sueldos. |

Para más información, consulta la [Documentación de Google Cloud Shared Responsibility](https://cloud.google.com/security/shared-responsibility).

## 🔒 Opciones de Cifrado de Datos en Google Cloud

### Introducción al Cifrado
**Google Cloud** ofrece múltiples opciones de cifrado para proteger datos en tránsito y en reposo, desde soluciones automáticas hasta configuraciones personalizadas.

#### 1. Cifrado Predeterminado de Google Cloud
- **Descripción**: Cifra datos automáticamente en tránsito (TLS) y en reposo (AES-256).
- **Configuración**: No requiere intervención del usuario.

💡 **Contexto empresarial**: Similar a un software contable con respaldo automático, que protege datos sin configuración adicional.

#### 2. CMEK (Claves de Cifrado Gestionadas por el Cliente)
- **Descripción**: Usa **Cloud KMS** para que el cliente gestione claves de cifrado.
- **Funciones**: Cifrado, firmado, verificación, rotación de claves.
- **Configuración**: Requiere configuración en **Cloud KMS**.

💡 **Contexto empresarial**: Como un panel de control que define quién accede a módulos contables específicos.

#### 3. CSEK (Claves de Cifrado Suministradas por el Cliente)
- **Descripción**: El cliente genera y almacena sus propias claves AES-256.
- **Responsabilidades**: Generación, almacenamiento y envío de claves.
- **Uso**: Ideal para discos persistentes en máquinas virtuales.

💡 **Contexto empresarial**: Equivalente a gestionar llaves propias para libros contables digitales.

#### 4. Cifrado del Lado del Cliente
- **Descripción**: El cliente cifra datos localmente antes de enviarlos a la nube.
- **Control**: Máximo, ya que ni los datos ni las claves salen del dispositivo.

💡 **Contexto empresarial**: Como encriptar balances financieros antes de subirlos a un servidor externo.

### Cuadro resumen
| Opción de Cifrado | Nivel de Control | Requiere Configuración | Equivalencia Contable |
|-------------------|------------------|-----------------------|-----------------------|
| **Cifrado predeterminado** | Bajo | No | Software contable con respaldo automático. |
| **CMEK** | Medio | Sí | Panel de control de accesos contables. |
| **CSEK** | Alto | Sí | Gestión propia de libros contables cifrados. |
| **Cifrado del lado del cliente** | Muy alto | Sí | Encriptar balances antes de subirlos. |

Para más información, consulta la [Documentación de Google Cloud Encryption](https://cloud.google.com/security/encryption).

## 🔐 Seguridad en la Infraestructura con IAM

### ¿Qué es IAM?
**Identity and Access Management (IAM)** permite definir políticas de acceso, especificando:
- **Quién**: Usuarios, grupos, cuentas de servicio, dominios.
- **Qué**: Acciones permitidas (roles).
- **Dónde**: Recursos (proyectos, carpetas, organizaciones).

💡 **Contexto empresarial**: Similar a definir roles en un ERP contable, como quién puede modificar nóminas o emitir facturas.

#### Componentes de una Política IAM
- **Quién**: Cuentas individuales, grupos, cuentas de servicio, dominios.
- **Qué puede hacer**: Roles (permisos predefinidos o personalizados).
- **Dónde aplica**: Herencia en la jerarquía de recursos (organización > carpeta > proyecto).

#### Políticas de Denegación
- Reglas que anulan permisos otorgados, aplicables a toda la jerarquía.

#### Cloud Identity
- Gestiona usuarios y grupos centralizadamente.
- Integra con Active Directory o LDAP.
- Permite desactivar usuarios rápidamente.

💡 **Contexto empresarial**: Como una planilla centralizada que controla accesos a sistemas contables, facilitando auditorías.

#### Tipos de Roles IAM
1. **Roles Básicos**: Owner, Editor, Viewer, Billing Administrator.
   - **Advertencia**: Muy amplios para datos sensibles.
2. **Roles Predefinidos**: Específicos por producto (ej. `instanceAdmin` para Compute Engine).
3. **Roles Personalizados**: Permisos definidos por el cliente, ideales para mínimos privilegios.

💡 **Contexto empresarial**: Roles personalizados son como crear perfiles específicos en un ERP, por ejemplo, solo para facturación.

#### Cuentas de Servicio
- Usadas por aplicaciones o máquinas virtuales.
- Autenticación mediante claves criptográficas.

💡 **Contexto empresarial**: Como un robot que genera reportes contables con permisos limitados.

### Cuadro resumen
| Elemento | Descripción | Equivalente Contable |
|----------|-------------|---------------------|
| **IAM** | Control de acceso basado en identidades. | Panel de usuarios de un ERP. |
| **Roles Básicos** | Permisos amplios: owner, editor, viewer. | Permisos generales en todo el sistema. |
| **Roles Predefinidos** | Específicos por producto. | Acceso limitado a módulos como “Sueldos”. |
| **Roles Personalizados** | Permisos configurables. | Perfil solo para facturación. |
| **Políticas de Denegación** | Anulan permisos otorgados. | Restringir acceso a balances finales. |
| **Cloud Identity** | Gestión centralizada de usuarios. | Administración de accesos por Recursos Humanos. |
| **Cuentas de Servicio** | Identidades para aplicaciones. | Usuario automático para informes. |

Para más información, consulta la [Documentación de Google Cloud IAM](https://cloud.google.com/iam/docs).

## 🔒 Identity-Aware Proxy (IAP): Seguridad sin VPN

### ¿Qué es IAP?
**Identity-Aware Proxy (IAP)** permite autenticar usuarios para aplicaciones web HTTPS sin necesidad de VPN, verificando identidades antes de otorgar acceso.

💡 **Contexto empresarial**: Como un portero que verifica credenciales antes de permitir acceso a un sistema contable remoto.

#### Ventajas de IAP
- Control de acceso a nivel de aplicación, no de red.
- Simplifica el trabajo remoto para equipos contables.

#### Autenticación y autorización
- **Autenticación**: Verifica la identidad del usuario.
- **Autorización**: Confirma que el usuario tiene permisos.

#### Límites de IAP
- No protege accesos SSH ni comunicaciones internas entre VMs.

💡 **Contexto empresarial**: IAP asegura que solo contadores autorizados accedan a aplicaciones financieras, pero no protege accesos técnicos internos.

#### Laboratorio 4: User Authentication: Identity-Aware Proxy
- **Objetivo**: Configurar una aplicación web en **App Engine** con **IAP**.
- **Actividades**:
  1. Crear una app simple en Python.
  2. Activar/desactivar **IAP**.
  3. Obtener y verificar criptográficamente la identidad del usuario.

💡 **Contexto empresarial**: Similar a configurar un sistema contable que solo permita accesos autorizados y verifique credenciales.

### Cuadro resumen
| Elemento | Descripción | Equivalente Contable |
|----------|-------------|---------------------|
| **IAP** | Control de acceso sin VPN. | Acceso remoto seguro a sistema contable. |
| **Seguridad a nivel de aplicación** | Verifica identidad antes del acceso. | Autenticación para abrir módulos contables. |
| **Protección TLS** | Asegura comunicaciones externas. | Cifrado como en un home banking. |
| **Límites de IAP** | No protege SSH ni comunicaciones internas. | No impide accesos técnicos internos. |
| **Laboratorio con App Engine** | App con IAP para controlar accesos. | App contable con accesos autorizados. |
| **Verificación criptográfica** | Valida identidad para evitar fraudes. | Prevención de accesos suplantados. |

Para más información, consulta la [Documentación de Google Cloud IAP](https://cloud.google.com/iap/docs).

## 🔐 Mejores Prácticas de Autorización con IAM

### 1. Jerarquía de Recursos y Herencia
- **Agrupación por proyectos**: Recursos con el mismo límite de confianza (ej. departamento contable).
- **Mínimo privilegio**: Otorgar solo permisos necesarios.
- **Auditoría**: Usar **Cloud Audit Logs** para rastrear cambios.

💡 **Contexto empresarial**: Como auditar accesos a sistemas contables para cumplir con normativas.

### 2. Asignación de Roles a Grupos
- **Ventajas**: Simplifica la gestión de permisos.
- **Ejemplo**: Grupo "Admin_Red" con subgrupos para lectura/escritura.

💡 **Contexto empresarial**: Similar a gestionar grupos en un ERP para contabilidad.

### 3. Buenas Prácticas para Cuentas de Servicio
- **Uso cauteloso**: Limitar el rol "Service Account User".
- **Nombres claros**: Ej. `cuenta-facturacion-automatizada`.
- **Rotación de claves**: Cambiar claves periódicamente.

💡 **Contexto empresarial**: Como actualizar credenciales de integraciones contables automáticas.

### Cuadro resumen
| Área | Práctica Recomendada | Equivalente Contable |
|------|---------------------|---------------------|
| **Jerarquía** | Agrupar recursos por proyectos. | Centros de costo por departamento. |
| **Mínimo Privilegio** | Otorgar permisos necesarios. | Restringir acceso a módulos sensibles. |
| **Auditoría** | Usar Cloud Audit Logs. | Auditorías internas de acceso. |
| **Gestión de Grupos** | Asignar roles a grupos. | Grupos de usuarios en ERP. |
| **Cuentas de Servicio** | Rotar claves, nombres descriptivos. | Actualizar credenciales de integraciones. |

Para más información, consulta la [Documentación de Google Cloud IAM Best Practices](https://cloud.google.com/iam/docs/best-practices).

## 🚀 Conclusión

Este módulo te ha introducido a las mejores prácticas de seguridad en **Google Cloud**, incluyendo el modelo de seguridad compartida, opciones de cifrado, y la gestión de accesos con **IAM** y **IAP**. Estas herramientas son esenciales para proteger datos financieros y cumplir con normativas contables.

💡 **Beneficio empresarial**: Implementar estas prácticas asegura la confidencialidad de datos contables, reduce riesgos de auditoría y permite accesos remotos seguros para equipos financieros.

Para más información, consulta la [Documentación de Google Cloud Security](https://cloud.google.com/security).