Eduardo Martinez Blog
Curso GCP
Reglas de Firewall y Network Tags con gcloud | Curso Google Cloud Associate Cloud Engineer

Reglas de Firewall y Network Tags: Seguridad Escalable con gcloud

Autor: Eduardo Martínez Agrelo

Una red bien diseñada no sirve de nada si dejamos las puertas abiertas. En Google Cloud, la seguridad perimetral no se gestiona en cada sistema operativo (como iptables en Linux o el Firewall de Windows), sino a nivel de la VPC. En el examen Associate Cloud Engineer, te pondrán a prueba sobre cómo permitir tráfico legítimo bloqueando todo lo demás. En este ejercicio, aprendemos a configurar estas reglas de forma inteligente.

El Concepto de Firewall "Stateful"

Una característica fundamental que debes memorizar: El Firewall de Google Cloud es Stateful (con estado).

Esto significa que si permites una conexión de entrada (Ingress), Google Cloud automáticamente permite el tráfico de respuesta (Egress) asociado a esa conexión. No necesitas crear dos reglas (una de ida y otra de vuelta). Esto simplifica enormemente la gestión de reglas.

Políticas por Defecto: Todo Bloqueado

Al crear una VPC personalizada (como hicimos en el ejercicio anterior), las reglas implícitas son:

  • Ingress (Entrada): DENY ALL (Todo bloqueado). Nadie puede iniciar una conexión hacia tus instancias.
  • Egress (Salida): ALLOW ALL (Todo permitido). Tus instancias pueden conectarse a cualquier sitio de internet.

Nuestro trabajo es abrir agujeros controlados en ese muro de "Ingress".

El Problema de las IPs y la Solución: Network Tags

En un entorno on-premise tradicional, las reglas de firewall se basaban en direcciones IP (ej. "Permitir puerto 80 a la IP 192.168.1.50"). En la nube, las IPs son efímeras; las máquinas nacen y mueren, y sus IPs cambian. Mantener reglas basadas en IP es imposible.

La solución de GCP son los Network Tags (Etiquetas de Red). Son metadatos (como pegatinas) que colocamos en las máquinas virtuales. Por ejemplo: web-server, database, backend.

La lógica de la regla cambia de "¿A qué IP?" a "¿A qué etiqueta?".

"Permite el tráfico SSH (puerto 22) desde cualquier lugar (0.0.0.0/0) PERO SOLO hacia las instancias que tengan la etiqueta web-server".

La Práctica con gcloud

En este ejercicio, utilizamos el comando:

gcloud compute firewall-rules create

Usamos el flag --target-tags para aplicar la regla quirúrgicamente. Si mañana lanzas 50 servidores nuevos y les pones la etiqueta web-server, la regla de firewall los protegerá automáticamente sin que tengas que editar nada. Esto es seguridad escalable.

Conclusión: Acceso Seguro

Al finalizar este ejercicio, habrás creado una regla que permite la administración remota (SSH) únicamente a los servidores designados. Has aprendido a gestionar la seguridad de forma abstracta y escalable, una competencia clave para cualquier arquitecto de nube.

Newsletter GCP
¿Quieres estar al día con las últimas novedades de Google Cloud Platform? ¡Suscríbete y no te pierdas nada!
Spark: Infraestructura como Código con Terraform | Curso Spark, Scala y Terraform
March 12, 2026
Aprende a desplegar clústeres de Big Data profesionalmente. Domina Terraform para crear infraestructura como código (IaC) en Google Cloud y automatiza tu entorno de Dataproc para Spark.
Spark: Ingesta (Raw to Bronze) y Formatos Columnares | Curso Spark, Scala y Terraform
March 12, 2026
Domina la ingesta de datos con Spark. Aprende a convertir JSONs pesados en formato Parquet, optimiza tu almacenamiento en un 85% y domina los esquemas estrictos con Scala.
Spark: Limpieza y Calidad (Bronze to Silver) | Curso Spark, Scala y Terraform
March 12, 2026
Domina la limpieza de datos en Spark. Aprende a usar Scala para implementar la capa Silver (Plata) de tu arquitectura Medallón, utilizando Case Classes para mayor seguridad.
Spark: Analítica Avanzada (Silver to Gold) | Curso Spark, Scala y Terraform
March 12, 2026
Domina el Análisis Avanzado con Spark. Aprende a calcular métricas de negocio con Window Functions y a extraer el Top 3 de canciones por país y día para tu capa Gold.