# 🛡️ Securing Virtual Machines using Chrome Enterprise Premium

En este laboratorio, aprenderás a utilizar **Chrome Enterprise Premium** junto con **Identity-Aware Proxy (IAP)** para habilitar un acceso administrativo seguro a máquinas virtuales (VMs) que no cuentan con una dirección IP externa y, por lo tanto, no permiten acceso directo desde Internet. Este enfoque es ideal para empresas que buscan proteger datos sensibles, como información contable, mientras mantienen un acceso controlado y seguro a sus recursos en la nube.

💡 **Beneficio empresarial**: Usar **IAP** con **Chrome Enterprise Premium** garantiza que solo usuarios y dispositivos autorizados puedan acceder a sistemas críticos, como servidores que almacenan datos financieros, reduciendo riesgos de seguridad y cumpliendo con normativas como el RGPD o auditorías internas.

Para más información sobre Identity-Aware Proxy, consulta la [Documentación oficial de Google Cloud IAP](https://cloud.google.com/iap/docs).

## ¿Qué aprenderás?
- Activar el reenvío TCP de **IAP** en tu proyecto de Google Cloud.
- Probar la conectividad a instancias Linux y Windows sin IP externa.
- Configurar reglas de firewall necesarias para permitir conexiones seguras.
- Asignar permisos para usar el reenvío TCP por **IAP**.
- Demostrar el uso de túneles seguros utilizando conexiones **SSH** y **RDP**.

📊 **Analogía contable**: Configurar **IAP** es como instalar una bóveda segura para los libros contables de una empresa, donde solo los auditores autorizados pueden acceder a través de un canal cifrado, sin exponer los datos al público.

## 🚀 Tarea 1: Habilitar el Reenvío TCP de IAP

En esta tarea, activarás la API de **Identity-Aware Proxy (IAP)** para habilitar el reenvío TCP, que permite conexiones seguras a máquinas virtuales sin IP pública.

### Pasos en Google Cloud Console:
1. Abre el **Menú de Navegación** > **APIs y Servicios** > **Biblioteca**.
2. Busca **IAP**.
3. Selecciona **Cloud Identity-Aware Proxy API**.
4. Haz clic en **Habilitar**.

**Explicación**:
- **IAP** actúa como una capa de seguridad que autentica a los usuarios antes de permitirles acceder a recursos, como VMs, sin necesidad de exponerlos a Internet.

💡 **Contexto empresarial**: En un entorno contable, **IAP** es como un guardia de seguridad que verifica la identidad de un auditor antes de permitirle acceder a registros financieros sensibles, garantizando que solo las personas autorizadas puedan interactuar con los datos.

Para más detalles, consulta la [Documentación de Google Cloud IAP](https://cloud.google.com/iap/docs).

## 🚀 Tarea 2: Crear Instancias Linux y Windows

En esta tarea, crearás tres instancias de máquinas virtuales: dos sin IP externa (`linux-iap` y `windows-iap`) y una con IP externa (`windows-connectivity`) para probar conexiones seguras.

### Paso 1: Crear instancia Linux (linux-iap)

1. Ve a **Menú** > **Compute Engine** > **Instancias**.
2. Haz clic en **Crear instancia**.
3. Configura:
   - **Nombre**: `linux-iap`
   - **Zona**: Selecciona una zona (por ejemplo, `us-central1-a`).
   - En **Redes**, edita **Interfaz de red**.
   - Cambia **Dirección IP externa** a **Ninguna**.
4. Haz clic en **Crear**.

**Explicación**:
- Al eliminar la IP externa, la VM queda aislada de Internet, lo que mejora la seguridad.

💡 **Contexto empresarial**: Esta configuración es como una caja fuerte que contiene registros financieros, accesible solo desde una red interna segura, evitando accesos no autorizados desde el exterior.

### Paso 2: Crear instancia Windows (windows-iap)

1. Ve a **Crear instancia**.
2. Configura:
   - **Nombre**: `windows-iap`
   - **Sistema Operativo**: **Windows Server 2016 Datacenter**.
   - En **Red**, elimina la **Dirección IP externa**.
3. Haz clic en **Crear**.

**Explicación**:
- Similar a `linux-iap`, esta VM no tiene IP externa, lo que la protege de accesos directos desde Internet.

### Paso 3: Crear VM para conectividad (windows-connectivity)

1. Ve a **Crear instancia**.
2. Configura:
   - **Nombre**: `windows-connectivity`
   - **Sistema**: Usa la imagen personalizada `iap-desktop-v001` desde **Qwiklabs Resources**.
   - En **Seguridad**, habilita **Acceso completo a todas las APIs de Cloud**.
   - Mantén la **IP externa** activa.
3. Haz clic en **Crear**.

**Explicación**:
- Esta VM actúa como un punto de acceso seguro desde el cual conectarás a las otras VMs sin IP externa.

💡 **Contexto empresarial**: La VM `windows-connectivity` es como una oficina central desde la cual los auditores pueden acceder de forma segura a los registros financieros almacenados en otras sucursales (VMs sin IP externa).

### Resumen de instancias:

| **VM**                | **Propósito**                     | **SO**                     | **¿IP externa?** |
|-----------------------|-----------------------------------|----------------------------|------------------|
| `linux-iap`           | Pruebas sin acceso externo        | Linux                     | ❌               |
| `windows-iap`         | Pruebas sin acceso externo        | Windows Server            | ❌               |
| `windows-connectivity`| Prueba de conexión                | Windows (custom)          | ✅               |

Para más información sobre la creación de VMs, consulta la [Documentación de Google Cloud Compute Engine](https://cloud.google.com/compute/docs).

## 🚀 Tarea 3: Probar Conectividad

En esta tarea, verificarás que las VMs `linux-iap` y `windows-iap` no son accesibles directamente debido a la falta de una IP externa.

### Pasos:
1. Para `linux-iap`:
   - Ve a **Compute Engine** > **Instancias**.
   - Haz clic en **SSH** junto a `linux-iap`.
   - **Resultado esperado**: Verás un error de conexión, ya que no hay IP externa.
2. Para `windows-iap`:
   - Haz clic en **RDP** junto a `windows-iap`.
   - **Resultado esperado**: Verás un error de acceso.

**Explicación**:
- Sin una IP externa, Google Cloud bloquea el acceso directo a estas VMs, lo que mejora la seguridad al evitar conexiones no autorizadas desde Internet.

💡 **Contexto empresarial**: Este aislamiento es como mantener los registros financieros en una bóveda sin acceso público, asegurando que solo los canales internos autorizados puedan acceder a ellos.

## 🚀 Tarea 4: Configurar Reglas de Firewall

En esta tarea, crearás una regla de firewall para permitir conexiones seguras a través de **IAP** para los protocolos **SSH** (puerto 22) y **RDP** (puerto 3389).

### Pasos:
1. Ve a **Menú** > **VPC Network** > **Firewall** > **Crear regla**.
2. Configura la regla:
   - **Nombre**: `allow-ingress-from-iap`
   - **Dirección del tráfico**: **Ingreso**
   - **Objetivo**: **Todas las instancias de la red**
   - **Filtro de origen**: **Rango IPv4**
   - **Rango IPv4**: `35.235.240.0/20` (rango de IP de IAP)
   - **Protocolos y puertos**: `TCP: 22, 3389`
3. Haz clic en **Crear**.

**Explicación**:
- Esta regla permite el tráfico desde el rango de IPs de **IAP** hacia los puertos **SSH** (para Linux) y **RDP** (para Windows), asegurando conexiones seguras.

💡 **Contexto empresarial**: Esta regla es como autorizar a un grupo específico de auditores a acceder a los registros financieros a través de un canal seguro, sin exponer los datos a terceros.

Para más información, consulta la [Documentación de Google Cloud Firewall](https://cloud.google.com/vpc/docs/firewalls).

## 🚀 Tarea 5: Asignar permisos para usar IAP TCP Forwarding

En esta tarea, asignarás permisos para permitir que la VM `windows-connectivity` y tu cuenta de usuario utilicen **IAP** para conectarse a las VMs.

### Pasos:
1. Ve a **Menú** > **Seguridad** > **Identity-Aware Proxy**.
2. Cambia a la pestaña **SSH and TCP Resources**.
3. Selecciona las instancias `linux-iap` y `windows-iap`.
4. Haz clic en **Agregar principal**.
5. Agrega la cuenta de servicio de la VM `windows-connectivity`:
   - **Formato**: `project_number-compute@developer.gserviceaccount.com`
   - **Rol**: **Cloud IAP > IAP-Secured Tunnel User**
6. Agrega tu cuenta de estudiante:
   - Copia el correo desde el panel del laboratorio.
   - **Rol**: **Cloud IAP > IAP-Secured Tunnel User**
7. Haz clic en **Guardar**.

**Explicación**:
- Estos permisos permiten que tanto la VM `windows-connectivity` como tu cuenta de usuario accedan a las VMs a través de túneles seguros de **IAP**.

💡 **Contexto empresarial**: Asignar estos permisos es como otorgar acceso exclusivo a un grupo reducido de contadores para revisar los libros financieros, garantizando que solo ellos puedan acceder a través de un canal seguro.

Para más detalles, consulta la [Documentación de Google Cloud IAM](https://cloud.google.com/iam/docs).

## 🚀 Tarea 6: Usar IAP Desktop para Conectarse a Instancias Windows y Linux

En esta tarea, utilizarás **IAP Desktop**, una herramienta gráfica, para conectarte a las VMs sin IP externa desde la VM `windows-connectivity`.

📊 **Analogía contable**: **IAP Desktop** es como una oficina central que permite a los auditores acceder de forma segura a registros financieros almacenados en bóvedas remotas, sin necesidad de exponerlas al público.

### Paso 1: Conectarse a windows-connectivity usando RDP

1. Ve a **Compute Engine** > **VM Instances**.
2. Busca la instancia `windows-connectivity`.
3. Haz clic en la flecha hacia abajo y selecciona **Descargar archivo RDP**.
4. Abre el archivo RDP con el programa **Conexión a Escritorio Remoto** de Windows.
5. Ingresa las credenciales:
   - **Usuario**: `student`
   - **Contraseña**: `Learn123!`

**Explicación**:
- Este paso te conecta a la VM `windows-connectivity`, que actúa como un punto de acceso seguro.

### Paso 2: Abrir la aplicación IAP Desktop

1. En el escritorio de `windows-connectivity`, busca el ícono de **IAP Desktop** y haz doble clic para abrirlo.
2. Haz clic en **Iniciar sesión con Google**.
3. Usa las credenciales temporales proporcionadas en el panel del laboratorio.
4. Haz clic en **Continuar** y luego en **Permitir** para vincular la aplicación a tu cuenta de Google Cloud.

**Explicación**:
- **IAP Desktop** autentica tu cuenta para gestionar conexiones seguras a las VMs.

### Paso 3: Agregar el Proyecto del Laboratorio

1. En **IAP Desktop**, selecciona el proyecto asociado al laboratorio.
2. Esto permitirá que la aplicación vea las instancias VM disponibles (`linux-iap` y `windows-iap`).

**Explicación**:
- Seleccionar el proyecto asegura que **IAP Desktop** pueda identificar las VMs a las que tienes acceso.

### Paso 4: Conectarse a windows-iap

1. En **IAP Desktop**, haz doble clic en la instancia `windows-iap`.
2. Si es la primera vez, selecciona **Generar nuevas credenciales**.
3. Acepta el mensaje emergente de **Generar credenciales de inicio de sesión**.
4. Una vez generadas, deberías acceder al escritorio remoto de `windows-iap`.

**Explicación**:
- **IAP Desktop** utiliza un túnel seguro para conectar con la VM sin IP externa, proporcionando una experiencia gráfica similar a un escritorio remoto estándar.

💡 **Contexto empresarial**: Esta conexión es como acceder a un sistema contable remoto sin exponerlo a Internet, garantizando la confidencialidad de los datos financieros.

## 🚀 Tarea 7: Demostrar Túneles Usando SSH y RDP

En esta tarea, demostrarás cómo acceder a VMs sin IP externa utilizando túneles cifrados con **IAP** para conexiones **SSH** (Linux) y **RDP** (Windows).

📊 **Analogía contable**: Los túneles de **IAP** son como un canal cifrado para enviar documentos financieros confidenciales dentro de la empresa, sin exponerlos al público.

### Paso 1: Conectarse a windows-connectivity con RDP

1. Ve a **Compute Engine** > **VM Instances**.
2. En `windows-connectivity`, haz clic en la flecha hacia abajo y selecciona **Establecer contraseña de Windows**.
3. Copia y guarda la contraseña generada.
4. Descarga el archivo RDP y ábrelo con **Conexión a Escritorio Remoto**.
5. Ingresa la contraseña copiada.

**Explicación**:
- Este paso asegura que tengas acceso a `windows-connectivity`, desde donde iniciarás los túneles.

### Paso 2: Abrir Google Cloud SDK Shell

1. En el escritorio de `windows-connectivity`, abre la aplicación **Google Cloud SDK Shell** (ícono de terminal).

**Explicación**:
- **Google Cloud SDK Shell** proporciona una interfaz de línea de comandos para ejecutar comandos `gcloud`.

### Paso 3: Conectarse a linux-iap vía SSH

Ejecuta el siguiente comando en **Google Cloud SDK Shell**:

In [None]:
gcloud compute ssp linux-iap

**Explicación del comando**:
- `gcloud`: Herramienta de línea de comandos de Google Cloud.
- `compute`: Gestiona recursos de **Compute Engine**.
- `ssh`: Inicia una conexión **SSH** a una VM.
- `linux-iap`: Nombre de la VM de destino.

**Nota**: Como `linux-iap` no tiene IP externa, el comando usará un túnel **IAP**. Verás un mensaje como:
```
No external IP address found, attempting to use IAP tunneling.
```
1. Selecciona la zona correcta (por ejemplo, `us-central1-a`).
2. Acepta la alerta de seguridad de **PuTTY**.

💡 **Contexto empresarial**: Esta conexión es como acceder de forma segura a un servidor que almacena registros contables, sin exponerlo a riesgos externos.

### Paso 4: Ajustar configuración de túneles en PuTTY

1. En la ventana de **PuTTY**:
   - Haz clic en la esquina superior izquierda > **Change Settings**.
   - En **Tunnel**, activa **Local ports accept connections from other hosts**.
2. Cierra la sesión de **PuTTY** y haz clic en **Apply**.

**Explicación**:
- Este ajuste permite que el túnel **IAP** acepte conexiones desde otros hosts locales, facilitando la comunicación segura.

### Paso 5: Crear un túnel para windows-iap

Ejecuta el siguiente comando en **Google Cloud SDK Shell**:

In [None]:
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone=us-west1-a

**Explicación del comando**:
- `gcloud compute`: Gestiona recursos de **Compute Engine**.
- `start-iap-tunnel`: Inicia un túnel seguro con **IAP**.
- `windows-iap`: Nombre de la VM de destino.
- `3389`: Puerto estándar para **RDP**.
- `--local-host-port=localhost:0`: Asigna un puerto local aleatorio para el túnel.
- `--zone=us-west1-a`: Especifica la zona de la VM.

**Nota**: Cuando veas un mensaje como `Listening on port [XXXX]`, copia el número de puerto para usarlo en el siguiente paso.

### Paso 6: Finalizar la conexión RDP vía túnel

1. Ve a **Compute Engine** > **VM Instances**.
2. En `windows-iap`, haz clic en **Establecer contraseña** y copia la contraseña generada.
3. Abre la aplicación **Conexión a Escritorio Remoto** de Windows.
4. En el campo **Equipo**, escribe: `localhost:[número de puerto del túnel]`.
5. Ingresa la contraseña copiada y conéctate.
6. Si se te pregunta, haz clic en **Sí**.

**Explicación**:
- Este paso establece una conexión **RDP** a `windows-iap` a través del túnel **IAP**, permitiendo acceso seguro sin IP externa.

💡 **Contexto empresarial**: Esta conexión es como revisar los balances financieros de una sucursal remota a través de un canal cifrado, garantizando seguridad y trazabilidad.

🎉 ¡Ahora estás conectado a una VM sin IP externa gracias a **IAP**!

## 🚀 Resumen de conceptos

El siguiente cuadro resume los conceptos clave y herramientas utilizadas en este laboratorio:

| **Elemento**              | **Descripción**                                                                 | **Analogía Contable**                              |
|---------------------------|--------------------------------------------------------------------------------|----------------------------------------------------|
| **IAP Desktop**           | Herramienta gráfica para conectarse a VMs sin IP pública                        | Oficina central para acceder a sucursales internas |
| **SSH / RDP**             | Protocolos para conectarse a sistemas remotos (Linux / Windows)                 | Técnicas para revisar libros contables a distancia |
| **Túnel IAP**             | Ruta cifrada que permite acceso seguro sin exponer recursos a Internet          | Entrega de documentación por canales internos      |
| `gcloud compute ssh`      | Comando para acceder a una VM Linux vía terminal                               | Ingreso remoto a archivos contables protegidos    |
| `gcloud start-iap-tunnel` | Crea un túnel seguro hacia un puerto específico (como RDP)                      | Puente cifrado para revisar balances remotos       |

💡 **Conclusión empresarial**: **Chrome Enterprise Premium** con **IAP** proporciona una solución robusta para proteger sistemas críticos, como los que almacenan datos contables, al permitir acceso seguro sin exponer recursos a Internet. Esto mejora la seguridad, reduce riesgos y facilita el cumplimiento de normativas, mientras optimiza costos al eliminar la necesidad de IPs públicas.

Para más información, consulta la [Documentación de Google Cloud IAP](https://cloud.google.com/iap/docs).