Configurer VPC Service Controls pour le service Backup and DR

Cette page présente VPC Service Controls et explique comment l'intégrer au service de sauvegarde et de reprise après sinistre pour sécuriser vos données et vos ressources.

À propos de VPC Service Controls

VPC Service Controls permet de limiter le risque d'exfiltration de données à partir de la console de gestion du service de sauvegarde et de reprise après sinistre. Vous pouvez utiliser VPC Service Controls pour créer des périmètres de service qui protègent les ressources et les données de divers services. Si le service de sauvegarde et de reprise après sinistre est protégé par un périmètre, les ressources situées en dehors du périmètre ne peuvent pas communiquer avec la console de gestion. Toutefois, vous pouvez autoriser les ressources situées en dehors du périmètre de service à accéder à la console de gestion et à l'API. Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Pour obtenir une présentation générale de VPC Service Controls, de ses avantages en termes de sécurité et de ses fonctionnalités dans les produits du Google Cloud CLI, consultez la page Présentation de VPC Service Controls.

Avant de commencer

Avant de commencer à configurer VPC Service Controls pour le service de sauvegarde et de reprise après sinistre, procédez comme suit:

  1. Dans la console Google Cloud, sur la page Sélecteur de projet, sélectionnez Créer un projet Google Cloud CLI.
  2. Assurez-vous que la facturation est activée pour votre projet Google Cloud . Découvrez comment vérifier si la facturation est activée sur un projet.
  3. Suivez les instructions de la section Activer les API et activez l'API Access Context Manager pour votre projet.

Configurer les niveaux d'accès et les règles de direction pour le coffre-fort de sauvegarde

Si l'appliance de sauvegarde/restauration et le coffre de sauvegarde se trouvent dans le même périmètre VPC Service Controls, vous n'avez pas besoin de configurer les niveaux d'accès ni les règles de direction. Sinon, choisissez l'un des scénarios de configuration suivants en fonction de vos exigences de configuration du périmètre de sécurité.

  • Si l'appareil de sauvegarde/récupération et le coffre de sauvegarde se trouvent dans des périmètres, mais dans des périmètres différents :
    • Configurez des exceptions d'accès dans le périmètre où se trouvent les ressources du backup vault. Ajoutez backupdr.googleapis.com et storage.googleapis.com dans la règle d'entrée. La source peut être l'adresse IP, le réseau ou le projet dans lequel se trouve l'appliance de sauvegarde/restauration.
    • Configurez des exceptions de sortie dans le périmètre où se trouvent les appareils de sauvegarde/restauration. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle de sortie. La cible est le projet dans lequel se trouve la ressource de coffre de sauvegarde. Vous pouvez combiner cette valeur avec l'adresse IP de l'appliance de sauvegarde/restauration ou toute autre propriété.
  • Si seules les ressources de coffre de sauvegarde se trouvent dans le périmètre : configurez des exceptions d'entrée dans le périmètre où se trouvent les ressources de coffre de sauvegarde. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle d'entrée. La source peut être l'adresse IP, le réseau ou le projet où se trouve l'appliance de sauvegarde/restauration.
  • Si seul un appareil de sauvegarde/restauration existe dans le périmètre : configurez des exceptions de sortie dans le périmètre où se trouvent les appareils de sauvegarde/restauration. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle de sortie. La cible est le projet dans lequel se trouve la ressource de coffre de sauvegarde. Vous pouvez combiner cette valeur avec l'adresse IP de l'appliance de sauvegarde/restauration ou toute autre propriété.

Configurer des niveaux d'accès et des stratégies de direction pour Compute Engine

Si le projet administrateur et le projet de charge de travail font partie du même périmètre VPC Service Controls, vous n'avez pas besoin de configurer les niveaux d'accès ni les règles de direction. Sinon, choisissez l'un des scénarios de configuration suivants en fonction de vos exigences de configuration du périmètre de sécurité.

  • Si le projet d'administrateur et le projet de charge de travail se trouvent dans des périmètres de service différents :
    • Le projet d'administrateur doit ajouter une règle de sortie pour l'agent de service du coffre de sauvegarde au projet de charge de travail pour backupdr.googleapis.com et compute.googleapis.com.
    • Le projet de charge de travail doit ajouter une règle d'entrée pour autoriser les appels de l'agent de service du coffre de sauvegarde et une règle de sortie pour l'agent de service du coffre de sauvegarde vers le projet d'administrateur pour backupdr.googleapis.com et compute.googleapis.com.
  • Si seul le projet administrateur dispose d'un périmètre de service : le projet administrateur doit ajouter une règle de sortie pour l'agent de service du vault de sauvegarde au projet de charge de travail pour backupdr.googleapis.com et compute.googleapis.com.
  • Si seul le projet de charge de travail dispose d'un périmètre de service : le projet de charge de travail doit ajouter une règle d'entrée pour autoriser les appels de l'agent de service du coffre de sauvegarde et une règle de sortie pour l'agent de service du coffre de sauvegarde vers le projet d'administrateur pour backupdr.googleapis.com et compute.googleapis.com.

Configurer VPC Service Controls pour le service Backup and DR

Pour configurer VPC Service Controls pour le service de sauvegarde et de reprise après sinistre, procédez comme suit:

  1. Créer un périmètre de service
  2. Configurer la connectivité aux API et services Google

Les sections suivantes décrivent ces étapes en détail.

Créer un périmètre de service

Suivez les instructions ci-dessous pour créer un périmètre de service:

  1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez le projet de service de sauvegarde et de reprise après sinistre que le périmètre de service VPC doit protéger.
  2. Créez un périmètre de service en suivant les instructions décrites dans la section Créer un périmètre de service.

  3. Ajoutez les API suivantes au périmètre de service dans la section Services restreints:

    • Obligatoire: API du service Backup and DR - backupdr.googleapis.com
    • Facultatif : API Compute Engine : compute.googleapis.com
    • Facultatif: API Resource Manager - cloudresourcemanager.googleapis.com
    • Facultatif : API Workflows : workflows.googleapis.com
    • Facultatif: API Cloud Key Management Service - cloudkms.googleapis.com
    • Facultatif : API Identity and Access Management : iam.googleapis.com
    • Facultatif : API Cloud Logging : logging.googleapis.com
    • Facultatif: API Cloud Storage - storage.googleapis.com

  4. Si vous utilisez un VPC partagé, ajoutez les projets hôte et de service dans la section Ajouter des ressources.

Une fois que vous avez configuré un périmètre, par défaut, l'accès à la console de gestion et à l'API du service de sauvegarde et de DR n'est autorisé que depuis le périmètre de sécurité.

Si un appareil de sauvegarde/restauration envoie des requêtes d'API cloud en dehors du périmètre de service, par exemple pour récupérer une instance Compute Engine dans un projet ou un réseau VPC qui ne se trouve pas dans le même périmètre, une violation d'accès VPC Service Controls peut s'afficher. Pour autoriser les requêtes API, vous devez créer des règles d'entrée et de sortie appropriées dans le périmètre de service VPC Service Controls pour le compte de service de l'appliance de sauvegarde/restauration.

Configurer la connectivité aux API et services Google

Dans une configuration VPC Service Controls, pour contrôler le trafic réseau, configurez l'accès aux API et services Google via le domaine restricted.googleapis.com. Ce domaine bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la section Options de domaine.

Si vous ne configurez pas de règles DNS pour les API et les services Google, elles sont résolues à l'aide de l'option de domaine pour les domaines par défaut.

Le service Backup and DR utilise les domaines suivants:

  • *.backupdr.cloud.google.com permet d'accéder à la console de gestion.
  • *.googleapis.com permet d'accéder à d'autres services Google.

Configurez la connectivité aux points de terminaison restricted.googleapis.com suivants dans la section Enregistrement DNS.

Domaine Nom DNS Enregistrement CNAME Enregistrement A
*.googleapis.com googleapis.com. Nom DNS: *.googleapis.com.
Type d'enregistrement de ressources: CNAME
Nom canonique: googleapis.com. 		Type d'enregistrement de ressources: A
Adresses IPv4 : 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nom DNS: *.backupdr.cloud.google.com.
Type d'enregistrement de ressources: CNAME
Nom canonique: backupdr.cloud.google.com. 		Type d'enregistrement de ressources: A
Adresses IPv4 :
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nom DNS: *.backupdr.googleusercontent.com.
Type d'enregistrement de ressources: CNAME
Nom canonique: backupdr.googleusercontent.com. 		Type d'enregistrement de ressources: A
Adresses IPv4 :
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Créer un enregistrement DNS

Suivez les instructions ci-dessous pour créer un enregistrement DNS:

  1. Dans Google Cloud Console, accédez à la page Créer une zone DNS.

    Accéder à la page "Créer une zone DNS"

  2. Dans le champ Type de zone, sélectionnez Privé.

  3. Dans le champ Nom de la zone, saisissez un nom. Exemple :backup-dr-new-zone

  4. Dans le champ Nom DNS, saisissez un nom pour la zone à l'aide d'un nom de domaine que vous possédez, par exemple backupdr.cloud.google.com.

  5. Facultatif : ajoutez une description.

  6. Dans le champ Options, sélectionnez Par défaut (privé).

  7. Cliquez sur Créer.

  8. Sur la page Détails de la zone, cliquez sur Ajouter un jeu d'enregistrements standard.

  9. Sur la page Create record set (Créer un ensemble d'enregistrements), procédez comme suit pour ajouter un ensemble d'enregistrements pour l'enregistrement CNAME:

    1. Dans le champ Nom DNS, saisissez *.backupdr.cloud.google.com.
    2. Dans Type d'enregistrement de ressource, sélectionnez CNAME.
    3. Dans le champ Nom canonique, saisissez backupdr.cloud.google.com.
    4. Cliquez sur Créer.

  10. Sur la page Détails de la zone, cliquez sur Ajouter un jeu d'enregistrements standard, puis suivez les étapes ci-dessous pour ajouter un jeu d'enregistrements avec des adresses IP:

    1. Dans le champ Nom DNS, saisissez *.backupdr.cloud.google.com.
    2. Sélectionnez A comme Type d'enregistrement de ressource.
    3. Dans le champ Adresses IPv4, saisissez 199.36.153.4, 199.36.153.5, 199.36.153.6 et 199.36.153.7.
    4. Cliquez sur Créer.

Pour en savoir plus, consultez la page Configurer une connectivité privée aux API et services Google.

Résoudre les problèmes

VPC Service Controls pour le service de sauvegarde et de reprise après sinistre est compatible avec la version 11.0.5 et les versions ultérieures. Vous pouvez vérifier la version dans la console de gestion, sous Aide > À propos.

Si vous rencontrez des problèmes lors de la configuration de VPC Service Controls pour le service de sauvegarde et de reprise après sinistre, consultez la section Dépannage de VPC Service Controls.

Limites

Si vous avez supprimé la route par défaut Internet du projet de producteur de services à l'aide de la commande gcloud: gcloud services vpc-peerings enable-vpc-service-controls, vous ne pourrez peut-être pas accéder à la console de gestion ni la créer. Si vous rencontrez ce problème, contactez l'assistance Google Cloud.

Avant de monter une image de sauvegarde Compute Engine, ajoutez les projets de service et d'hôte au même périmètre. Sinon, il est possible que les réseaux disponibles ne s'affichent pas.