Introducción a Seguridad de la Información
El marco de seguridad de HERA se basa en dos principios: Zero Trust (toda solicitud se autentica y autoriza, sin perimetro confiable) y Defensa en Profundidad (multiples capas de controles desde el perimetro hasta los datos).
El Modelo de Seguridad HERA
Sección titulada «El Modelo de Seguridad HERA» Identidad Usuario / Servicio
- IAM + Roles
- SSO corporativo
- MFA obligatorio
- Service Accounts
Endpoint Dispositivo / Workload
- Device compliance
- Políticas de red GKE
- mTLS entre servicios
- Container hardening
Red Tráfico / Perímetro
- VPC segmentada
- Cloud Armor / WAF
- Firewall rules
- Private endpoints
Monitoreo y Respuesta Continua Logging · SIEM · Alertas · Respuesta a Incidentes
Mensaje clave Nunca confiar, siempre verificar. Cada acceso se autentica, autoriza y cifra — sin importar de dónde venga.
Principios Fundamentales
Sección titulada «Principios Fundamentales»Zero Trust (Confianza Cero)
Sección titulada «Zero Trust (Confianza Cero)»HERA opera bajo el principio de “nunca confiar, siempre verificar” — sin perimetro de red confiable.
Defensa en Profundidad
Sección titulada «Defensa en Profundidad»Este principio consiste en aplicar múltiples capas de controles de seguridad. Si una capa falla, las siguientes están ahí para detener o contener la amenaza.
- Capa de Perímetro: Firewalls de GCP, Cloud Armor (WAF, protección DDoS).
- Capa de Red: Microsegmentación con VPCs y Políticas de Red de Kubernetes.
- Capa de Identidad: IAM, SSO y MFA obligatorio.
- Capa de Aplicación: Autenticación/autorización de APIs, DevSecOps en el pipeline.
- Capa de Datos: Cifrado en reposo y en tránsito.
Áreas Clave de Seguridad en HERA
Sección titulada «Áreas Clave de Seguridad en HERA»Esta sección de la documentación se desglosa en las siguientes áreas clave, cada una con sus propias políticas y guías:
- Zero Trust: Detalla la implementación práctica de nuestro modelo de confianza cero.
- Gestión de Identidades: Cubre todo lo relacionado con IAM, SSO, MFA y roles.
- Gestión de Secretos: El estándar para manejar credenciales, API keys y otros datos sensibles.
- Respuesta a Incidentes: Nuestro plan de acción para cuando ocurre un evento de seguridad.
- DevSecOps: Aunque es una sección separada, es una parte integral de nuestra estrategia de seguridad, enfocada en la integración de la seguridad en el ciclo de vida del desarrollo.
Matriz Consolidada de Controles de Seguridad
Sección titulada «Matriz Consolidada de Controles de Seguridad»Esta matriz unifica todos los controles de seguridad de HERA en una sola vista, cruzados por dominio y tier de servicio. Es la referencia canónica para saber qué es obligatorio, qué es recomendado, y dónde encontrar la documentación de cada control.
Controles por dominio
Sección titulada «Controles por dominio»Identidad y Acceso
Sección titulada «Identidad y Acceso»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| SSO con Google Workspace | Obligatorio | Obligatorio | Obligatorio | Gestión de Identidades |
| MFA para todos los usuarios | Obligatorio | Obligatorio | Obligatorio | Gestión de Identidades |
| Workload Identity (no JSON keys) | Obligatorio | Obligatorio | Obligatorio | GKE — Workload Identity |
SA default sin permisos (automount: false) | Obligatorio | Obligatorio | Recomendado | GKE — Service Accounts |
| Revisión de accesos cada 90 días | Obligatorio | Obligatorio | Recomendado | Cloud Governance |
| Principio de mínimo privilegio en IAM | Obligatorio | Obligatorio | Obligatorio | Gestión de Identidades |
Red y Comunicación
Sección titulada «Red y Comunicación»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| Network Policies (default-deny) | Obligatorio | Obligatorio | Obligatorio | GKE — Network Policies |
| mTLS entre servicios (ASM) | Obligatorio | Obligatorio | Recomendado | GKE — Service Mesh |
| Ingress con TLS (no LoadBalancer) | Obligatorio | Obligatorio | Obligatorio | GKE — Exposición de Servicios |
| Cloud Armor (WAF) en Ingress | Obligatorio | Recomendado | No requerido | GKE — Cloud Armor |
| AuthorizationPolicy por servicio (ASM) | Obligatorio | Recomendado | No requerido | GKE — Service Mesh |
Contenedores y Pods
Sección titulada «Contenedores y Pods»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
runAsNonRoot: true | Obligatorio | Obligatorio | Obligatorio | GKE — Seguridad a Nivel Pod |
readOnlyRootFilesystem: true | Obligatorio | Obligatorio | Recomendado | GKE — Seguridad a Nivel Pod |
allowPrivilegeEscalation: false | Obligatorio | Obligatorio | Obligatorio | GKE — Seguridad a Nivel Pod |
capabilities.drop: [ALL] | Obligatorio | Obligatorio | Obligatorio | GKE — Seguridad a Nivel Pod |
seccompProfile: RuntimeDefault | Obligatorio | Obligatorio | Recomendado | GKE — Seguridad a Nivel Pod |
| Pod Security Standards: Restricted | Obligatorio | Obligatorio | Baseline | GKE — Pod Security Standards |
| Golden Image como base | Obligatorio | Obligatorio | Obligatorio | Golden Images |
| Dockerfile multi-stage | Obligatorio | Obligatorio | Recomendado | Container Scanning |
Pipeline y Código
Sección titulada «Pipeline y Código»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| SAST (SonarQube) — Quality Gate | Obligatorio | Obligatorio | Obligatorio | SAST |
| SCA (Docker Scout) — vulnerabilidades | Obligatorio | Obligatorio | Obligatorio | SCA |
| Secret Detection (TruffleHog) | Obligatorio | Obligatorio | Obligatorio | Gestión de Secretos |
| Container Scanning (Hadolint) | Obligatorio | Obligatorio | Recomendado | Container Scanning |
| DAST (OWASP ZAP) | Obligatorio | Recomendado | No requerido | DAST |
| Image signing (Cosign) | Obligatorio | Recomendado | No requerido | Container Scanning |
| SBOM (Syft) | Obligatorio | Recomendado | No requerido | SCA |
Secretos
Sección titulada «Secretos»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| GCP Secret Manager (runtime) | Obligatorio | Obligatorio | Obligatorio | Gestión de Secretos |
| GitLab CI/CD Variables (pipeline) | Obligatorio | Obligatorio | Obligatorio | Gestión de Secretos |
| Rotación de API Keys cada 30 días | Obligatorio | Obligatorio | Recomendado | Gestión de Secretos |
| Cero credenciales hardcoded | Obligatorio | Obligatorio | Obligatorio | Gestión de Secretos |
Runtime y Admisión
Sección titulada «Runtime y Admisión»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| Kyverno — registry autorizado | Obligatorio | Obligatorio | Obligatorio | GKE — Kyverno |
| Kyverno — imágenes firmadas | Obligatorio | Recomendado | No requerido | GKE — Kyverno |
| Kyverno — labels obligatorias | Obligatorio | Obligatorio | Obligatorio | GKE — Kyverno |
| Kyverno — require probes | Obligatorio | Obligatorio | Recomendado | GKE — Kyverno |
| Falco — detección de amenazas runtime | Obligatorio | Recomendado | No requerido | GKE — Falco |
| Escaneo continuo de imágenes en registry | Obligatorio | Obligatorio | Recomendado | Gestión de Vulnerabilidades |
Cumplimiento y Auditoría
Sección titulada «Cumplimiento y Auditoría»| Control | Tier 1 | Tier 2 | Tier 3 | Referencia |
|---|---|---|---|---|
| Cloud Audit Logs habilitados | Obligatorio | Obligatorio | Obligatorio | Cloud Governance |
| Retención de logs 400+ días | Obligatorio | Obligatorio | Recomendado | Cloud Governance |
| Cifrado en tránsito (TLS 1.2+) | Obligatorio | Obligatorio | Obligatorio | Zero Trust |
| Cifrado en reposo (AES-256) | Obligatorio | Obligatorio | Obligatorio | Cloud Governance |
| Post-mortem de incidentes de seguridad | Obligatorio | Obligatorio | Recomendado | Respuesta a Incidentes |
Cómo leer esta matriz
Sección titulada «Cómo leer esta matriz»- Obligatorio — El control DEBE estar implementado. Su ausencia bloquea el despliegue a producción (enforcement vía Kyverno, Quality Gates, o validación manual de homologación)
- Recomendado — El control DEBERÍA estar implementado. No bloquea el despliegue, pero se revisa en las auditorías trimestrales
- No requerido — El control es opcional para ese tier. Puede implementarse si el equipo lo considera valioso
- Tier — Determinado por la clasificación de servicios y validado con el Product Owner