VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst konfigurieren

Auf dieser Seite finden Sie eine Übersicht über VPC Service Controls und wie Sie sie in den Sicherungs- und Notfallwiederherstellungsdienst einbinden können, um Ihre Daten und Ressourcen zu schützen.

VPC Service Controls

Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration aus der Verwaltungskonsole des Sicherungs- und Notfallwiederherstellungsdienstes verringern. Mit VPC Service Controls können Sie Dienstperimeter erstellen, die die Ressourcen und Daten verschiedener Dienste schützen. Wenn der Sicherungs- und Notfallwiederherstellungsdienst durch einen Perimeter geschützt ist, können Ressourcen von außerhalb des Perimeters nicht mit der Verwaltungskonsole kommunizieren. Sie können jedoch Ressourcen außerhalb des Dienstperimeters erlauben, auf die Verwaltungskonsole und die API zuzugreifen. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Eine allgemeine Übersicht über VPC Service Controls, ihre Sicherheitsvorteile und ihre Funktionen in Google Cloud-Befehlszeilentools finden Sie unter VPC Service Controls.

Hinweise

Bevor Sie mit der Konfiguration von VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst beginnen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie in der Google Cloud Console auf der Seite Projektauswahl die Option Google Cloud CLI-Projekt erstellen aus.
  2. Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist
  3. Folgen Sie der Anleitung im Abschnitt APIs aktivieren und aktivieren Sie die Access Context Manager API für Ihr Projekt.

Zugriffsebenen und Richtlinien für die Datenübertragung für das Sicherungs-Vault konfigurieren

Wenn sich die Sicherungs-/Wiederherstellungs-Appliance und das Sicherungs-Vault im selben VPC Service Controls-Perimeter befinden, müssen Sie keine Zugriffsebenen und Richtlinien für die Übertragung konfigurieren. Andernfalls wählen Sie je nach Ihren Anforderungen an die Konfiguration des Sicherheitsperimeters eines der folgenden Konfigurationsszenarien aus.

  • Wenn sich die Sicherungs-/Wiederherstellungs-Appliance und das Sicherungs-Vault in Perimetern befinden, aber in verschiedenen Perimetern:
    • Konfigurieren Sie Ingress-Ausnahmen im Perimeter, in dem sich Backup Vault-Ressourcen befinden. Fügen Sie sowohl backupdr.googleapis.com als auch storage.googleapis.com in die Ingress-Regel ein. Die Quelle kann die IP-Adresse, das Netzwerk oder das Projekt sein, in dem sich die Sicherungs-/Wiederherstellungs-Appliance befindet.
    • Konfigurieren Sie Ausgehende Ausnahmen im Perimeter, in dem sich Sicherungs-/Wiederherstellungs-Appliances befinden. Fügen Sie der Regel für ausgehenden Traffic sowohl backupdr.googleapis.com als auch storage.googleapis.com hinzu. Das Ziel ist das Projekt, in dem sich die Backup Vault-Ressource befindet. Sie können das mit der IP-Adresse der Sicherungs-/Wiederherstellungs-Appliance oder einer anderen Property kombinieren.
  • Wenn sich nur Backup Vault-Ressourcen im Perimeter befinden: Konfigurieren Sie Ingress-Ausnahmen im Perimeter, in dem sich Backup Vault-Ressourcen befinden. Fügen Sie der Ingress-Regel sowohl backupdr.googleapis.com als auch storage.googleapis.com hinzu. Die Quelle kann eine IP-Adresse, ein Netzwerk oder ein Projekt sein, in dem sich die Sicherungs-/Wiederherstellungs-Appliance befindet.
  • Wenn sich im Perimeter nur eine Sicherungs-/Wiederherstellungs-Appliance befindet: Konfigurieren Sie Ausgehende Ausnahmen im Perimeter, in dem sich Sicherungs-/Wiederherstellungs-Appliances befinden. Fügen Sie der Regel für ausgehenden Traffic sowohl backupdr.googleapis.com als auch storage.googleapis.com hinzu. Das Ziel ist das Projekt, in dem sich die Backup Vault-Ressource befindet. Sie können das mit der IP-Adresse der Sicherungs-/Wiederherstellungs-Appliance oder einer anderen Property kombinieren.

Zugriffsebenen und Richtlinien für die Aufrufrichtung für die Compute Engine konfigurieren

Wenn sich das Administratorprojekt und das Arbeitslastprojekt im selben VPC Service Controls-Perimeter befinden, müssen Sie keine Zugriffsebenen und Richtlinien für die Richtung konfigurieren. Andernfalls wählen Sie je nach Ihren Anforderungen an die Konfiguration des Sicherheitsperimeters eines der folgenden Konfigurationsszenarien aus.

  • Wenn sich sowohl das Administratorprojekt als auch das Arbeitslastprojekt in verschiedenen Dienstperimetern befinden:
    • Im Administratorprojekt muss dem Arbeitslastprojekt sowohl für backupdr.googleapis.com als auch für compute.googleapis.com eine Ausgehende-Regel für den Backup Vault-Dienst-Agent hinzugefügt werden.
    • Dem Arbeitslastprojekt muss eine Regel für eingehenden Traffic hinzugefügt werden, um Aufrufe vom Backup Vault-Dienst-Agent zuzulassen, sowie eine Regel für ausgehenden Traffic für den Backup Vault-Dienst-Agent zum Administratorprojekt sowohl für backupdr.googleapis.com als auch für compute.googleapis.com.
  • Nur das Administratorprojekt hat einen Dienstperimeter: Im Administratorprojekt muss dem Arbeitslastprojekt sowohl für backupdr.googleapis.com als auch für compute.googleapis.com eine Ausstiegsregel für den Dienstagenten des Sicherungsspeichers hinzugefügt werden.
  • Nur das Arbeitslastprojekt hat einen Dienstperimeter: Im Arbeitslastprojekt müssen eine Eingangsregel hinzugefügt werden, um Aufrufe vom Backup Vault-Dienst-Agenten zuzulassen, und eine Ausgangsregel für den Backup Vault-Dienst-Agenten zum Administratorprojekt, und zwar sowohl für backupdr.googleapis.com als auch für compute.googleapis.com.

VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst konfigurieren

So konfigurieren Sie VPC Service Controls für Sicherungs- und Notfallwiederherstellungsdienste:

  1. Dienstperimeter erstellen
  2. Konnektivität zu Google APIs und Google-Diensten konfigurieren

Diese Schritte werden in den folgenden Abschnitten ausführlich beschrieben.

Dienstperimeter erstellen

So erstellen Sie einen Dienstperimeter:

  1. Wählen Sie in der Google Cloud Console auf der Seite „Projektauswahl“ das Projekt für den Sicherungs- und Notfallwiederherstellungsdienst aus, den der VPC-Dienstperimeter schützen soll.
  2. Erstellen Sie einen Dienstperimeter. Folgen Sie dazu der Anleitung unter Dienstperimeter erstellen.

  3. Fügen Sie dem Dienstperimeter im Abschnitt Eingeschränkte Dienste die folgenden APIs hinzu:

    • Erforderlich: Backup- und Notfallwiederherstellungs-API – backupdr.googleapis.com
    • Optional: Compute Engine API – compute.googleapis.com
    • Optional: Resource Manager API – cloudresourcemanager.googleapis.com
    • Optional: Workflows API – workflows.googleapis.com
    • Optional: Cloud Key Management Service API – cloudkms.googleapis.com
    • Optional: Identity and Access Management API – iam.googleapis.com
    • Optional: Cloud Logging API – logging.googleapis.com
    • Optional: Cloud Storage API – storage.googleapis.com

  4. Wenn Sie eine freigegebene VPC verwenden, fügen Sie die Host- und Dienstprojekte im Bereich Ressourcen hinzufügen hinzu.

Nachdem Sie einen Perimeter eingerichtet haben, ist der Zugriff auf die Verwaltungskonsole und die API des Sicherungs- und Notfallwiederherstellungsdiensts standardmäßig nur innerhalb des Sicherheitsperimeters zulässig.

Wenn eine Sicherungs-/Wiederherstellungs-Appliance Cloud API-Anfragen an die Außenseite des Dienstperimeters sendet, z. B. um eine Compute Engine-Instanz in einem Projekt oder VPC-Netzwerk wiederherzustellen, das sich nicht im selben Perimeter befindet, wird möglicherweise eine VPC Service Controls-Zugriffsverletzung angezeigt. Wenn Sie API-Anfragen zulassen möchten, müssen Sie im VPC Service Controls-Dienstperimeter für das Dienstkonto der Sicherungs-/Wiederherstellungs-Appliance entsprechende Regeln für ein- und ausgehenden Traffic erstellen.

Konnektivität zu Google APIs und Google-Diensten konfigurieren

Konfigurieren Sie in einer VPC Service Controls-Konfiguration den Zugriff auf Google APIs und ‑Dienste über die restricted.googleapis.com-Domain, um den Netzwerkverkehr zu steuern. Diese Domain blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Weitere Informationen finden Sie unter Domainoptionen.

Wenn Sie keine DNS-Regeln für Google APIs und ‑Dienste konfigurieren, werden sie mit der Domainoption für Standarddomains aufgelöst.

Der Sicherungs- und Notfallwiederherstellungsdienst verwendet die folgenden Domains:

  • *.backupdr.cloud.google.com wird für den Zugriff auf die Verwaltungskonsole verwendet.
  • *.googleapis.com wird verwendet, um auf andere Google-Dienste zuzugreifen.

Konfigurieren Sie die Verbindung zu den folgenden restricted.googleapis.com-Endpunkten im Abschnitt DNS-Eintrag.

Domain DNS-Name CNAME-Eintrag A-Eintrag
*.googleapis.com googleapis.com. DNS-Name: *.googleapis.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: googleapis.com. 		Ressourceneintragstyp: A
IPv4-Adressen: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. DNS-Name: *.backupdr.cloud.google.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: backupdr.cloud.google.com. 		Ressourceneintragstyp: A
IPv4-Adressen:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com DNS-Name: *.backupdr.googleusercontent.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: backupdr.googleusercontent.com. 		Ressourceneintragstyp: A
IPv4-Adressen:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

DNS-Eintrag erstellen

So erstellen Sie einen DNS-Eintrag:

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Zur Seite „DNS-Zone erstellen“

  2. Wählen Sie als Zonentyp die Option Privat aus.

  3. Geben Sie im Feld Zonenname einen Namen ein. Beispiel: backup-dr-new-zone.

  4. Geben Sie im Feld DNS-Name einen Namen für die Zone ein und verwenden Sie dabei einen eigenen Domainnamen, z. B. backupdr.cloud.google.com.

  5. Optional: Fügen Sie eine Beschreibung hinzu.

  6. Wählen Sie unter Optionen die Option Standard (privat) aus.

  7. Klicken Sie auf Erstellen.

  8. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen.

  9. Führen Sie auf der Seite Create record set (Eintrag erstellen) die folgenden Schritte aus, um einen Eintragssatz für den CNAME-Eintrag hinzuzufügen:

    1. Geben Sie im Feld DNS-Name *.backupdr.cloud.google.com ein.
    2. Wählen Sie als Ressourceneintragstyp die Option CNAME aus.
    3. Geben Sie im Feld Kanonischer Name backupdr.cloud.google.com ein.
    4. Klicken Sie auf Erstellen.

  10. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen und führen Sie die folgenden Schritte aus, um einen Datensatz mit IP-Adressen hinzuzufügen:

    1. Geben Sie im Feld DNS-Name *.backupdr.cloud.google.com ein.
    2. Wählen Sie A als Ressourceneintragstyp aus.
    3. Geben Sie in das Feld IPv4-Adressen die folgenden Adressen ein: 199.36.153.4, 199.36.153.5, 199.36.153.6 und 199.36.153.7.
    4. Klicken Sie auf Erstellen.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Fehlerbehebung

VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst werden ab Version 11.0.5 unterstützt. Sie finden die Version in der Admin-Konsole unter Hilfe > Info.

Wenn beim Konfigurieren von VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst Probleme auftreten, lesen Sie den Abschnitt Fehlerbehebung für VPC Service Controls.

Beschränkungen

Wenn Sie die Standard-Internetroute mit dem Befehl gcloud gcloud services vpc-peerings enable-vpc-service-controls aus dem Projekt des Dienstanbieters entfernt haben, können Sie möglicherweise nicht auf die Verwaltungskonsole zugreifen oder sie erstellen. Wenden Sie sich an den Google Cloud Customer Care, wenn dieses Problem auftritt.

Bevor Sie ein Compute Engine-Sicherungsimage bereitstellen, fügen Sie die Dienst- und Hostprojekte demselben Perimeter hinzu. Andernfalls werden die verfügbaren Netzwerke möglicherweise nicht angezeigt.