Configurare i Controlli di servizio VPC per il servizio di backup e DR

Questa pagina fornisce una panoramica dei Controlli di servizio VPC e di come integrarli con il servizio di backup e DR per proteggere i dati e le risorse.

Informazioni sui Controlli di servizio VPC

Controlli di servizio VPC contribuiscono a ridurre il rischio di esfiltrazione di dati dalla console di gestione del servizio di backup e RE. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse e i dati di vari servizi. Se il servizio di backup e RE è protetto da un perimetro, le risorse esterne al perimetro non possono comunicare con la console di gestione. Tuttavia, puoi consentire alle risorse esterne al perimetro di servizio di accedere alla console di gestione e all'API. Per ulteriori informazioni, vedi Consentire l'accesso a risorse protette dall'esterno di un perimetro.

Per una panoramica generale dei Controlli di servizio VPC, dei relativi vantaggi in termini di sicurezza e delle relative funzionalità nei prodotti Google Cloud CLI, consulta la Panoramica dei Controlli di servizio VPC.

Prima di iniziare

Prima di iniziare a configurare i Controlli di servizio VPC per il servizio di backup e DR, svolgi i seguenti passaggi:

  1. Nella console Google Cloud, nella pagina Selettore di progetti, seleziona Crea un progetto Google Cloud CLI.
  2. Assicurati che la fatturazione sia abilitata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata in un progetto.
  3. Segui le istruzioni nella sezione Abilitare le API e abilita l'API Access Context Manager per il tuo progetto.

Configura i livelli di accesso e i criteri di indicazione per il vault di backup

Se l'appliance di backup/recupero e il vault di backup si trovano nello stesso perimetro dei Controlli di servizio VPC, non è necessario configurare i livelli di accesso e i criteri di direzione. In caso contrario, scegli uno dei seguenti scenari di configurazione in base ai requisiti di configurazione del perimetro di sicurezza.

  • Se l'appliance di backup/ripristino e il vault di backup sono in perimetri, ma esistono in perimetri diversi:
    • Configura le eccezioni di ingresso nel perimetro in cui esistono le risorse del backup vault. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com nella regola in entrata. L'origine può essere l'indirizzo IP, la rete o il progetto in cui è presente l'appliance di backup/ripristino.
    • Configura le eccezioni in uscita nel perimetro in cui sono presenti le appliance di backup/ripristino. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com alla regola in uscita. La destinazione è il progetto in cui esiste la risorsa del vault di backup. Puoi combinarlo con l'indirizzo IP dell'appliance di backup/recupero o di qualsiasi altra proprietà.
  • Se nel perimetro sono presenti solo risorse di vault di backup: configura le eccezioni di ingresso nel perimetro in cui esistono risorse di vault di backup. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com alla regola in entrata. L'origine può essere l'indirizzo IP, la rete o il progetto in cui è presente l'appliance di backup/ripristino.
  • Se nel perimetro è presente solo un'appliance di backup/ripristino: configura le eccezioni in uscita nel perimetro in cui sono presenti le appliance di backup/ripristino. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com alla regola in uscita. La destinazione è il progetto in cui esiste la risorsa del vault di backup. Puoi combinarlo con l'indirizzo IP dell'appliance di backup/recupero o di qualsiasi altra proprietà.

Configura i livelli di accesso e i criteri di indicazione per Compute Engine

Se il progetto amministratore e il progetto del carico di lavoro si trovano nello stesso perimetro di Controlli di servizio VPC, non è necessario configurare i livelli di accesso e i criteri di indicazione. In caso contrario, scegli uno dei seguenti scenari di configurazione in base ai requisiti di configurazione del perimetro di sicurezza.

  • Se il progetto amministratore e il progetto del carico di lavoro esistono in perimetri di servizio diversi:
    • Il progetto amministratore deve aggiungere una regola di uscita per l'agente di servizio del vault di backup al progetto del workload sia per backupdr.googleapis.com che per compute.googleapis.com.
    • Il progetto del carico di lavoro deve aggiungere una regola di ingresso per consentire le chiamate dall'agente di servizio del vault di backup e una regola di uscita per l'agente di servizio del vault di backup al progetto di amministrazione sia per backupdr.googleapis.com che per compute.googleapis.com.
  • Se solo il progetto amministratore ha un perimetro di servizio: Il progetto amministratore deve aggiungere una regola di uscita per l'agente di servizio del vault di backup al progetto di carico di lavoro sia per backupdr.googleapis.com sia per compute.googleapis.com.
  • Se solo il progetto del carico di lavoro ha un perimetro di servizio: Il progetto del carico di lavoro deve aggiungere una regola di ingresso per consentire le chiamate dall'agente di servizio del vault di backup e una regola di uscita per l'agente di servizio del vault di backup al progetto di amministrazione sia per backupdr.googleapis.com sia per compute.googleapis.com.

Configurare i Controlli di servizio VPC per il servizio di backup e DR

Per configurare i Controlli di servizio VPC per il servizio di backup e DR, svolgi i seguenti passaggi:

  1. Creare un perimetro di servizio
  2. Configurare la connettività alle API e ai servizi Google

Le sezioni seguenti descrivono questi passaggi in dettaglio.

Crea un perimetro di servizio

Per creare un perimetro di servizio, segui le istruzioni riportate di seguito:

  1. Nella console Google Cloud, nella pagina di selezione del progetto, seleziona il progetto di servizio di backup e DR che vuoi proteggere con il perimetro di servizio VPC.
  2. Crea un perimetro di servizio seguendo le istruzioni descritte in Creare un perimetro di servizio.

  3. Aggiungi le seguenti API al perimetro di servizio nella sezione Servizi limitati:

    • Obbligatorio: API del servizio di backup e RE - backupdr.googleapis.com
    • (Facoltativo) API Compute Engine - compute.googleapis.com
    • (Facoltativo) API Resource Manager - cloudresourcemanager.googleapis.com
    • (Facoltativo) API Workflows - workflows.googleapis.com
    • (Facoltativo) API Cloud Key Management Service - cloudkms.googleapis.com
    • (Facoltativo) API Identity and Access Management - iam.googleapis.com
    • Facoltativo: API Cloud Logging - logging.googleapis.com
    • (Facoltativo) API Cloud Storage - storage.googleapis.com

  4. Se utilizzi un VPC condiviso, aggiungi i progetti host e di servizio nella sezione Aggiungi risorse.

Una volta configurato un perimetro, per impostazione predefinita l'accesso alla console di gestione e all'API del servizio di backup e RE è consentito solo all'interno del perimetro di sicurezza.

Se un'appliance di backup/recupero invia richieste all'API cloud all'esterno del perimetro di servizio, ad esempio per recuperare un'istanza Compute Engine in un progetto o in una rete VPC non nello stesso perimetro, potresti visualizzare una violazione di accesso di Controlli di servizio VPC. Per consentire le richieste API, devi creare regole di ingresso e uscita appropriate nel perimetro di servizio di Controlli di servizio VPC per l'account di servizio dell'appliance di backup/recupero.

Configurare la connettività con i servizi e le API di Google

In una configurazione dei Controlli di servizio VPC, per controllare il traffico di rete, configura l'accesso alle API e ai servizi Google tramite il dominio restricted.googleapis.com. Questo dominio blocca l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. Per ulteriori informazioni, consulta le opzioni di dominio.

Se non configuri le regole DNS per le API e i servizi Google, queste vengono risolte utilizzando l'opzione di dominio per i domini predefiniti.

Il servizio di Backup e DR utilizza i seguenti domini:

  • *.backupdr.cloud.google.com viene utilizzato per accedere alla console di gestione.
  • *.googleapis.com viene utilizzato per accedere ad altri servizi Google.

Configura la connettività ai seguenti endpoint restricted.googleapis.com nella sezione Record DNS.

Dominio Nome DNS Record CNAME Record A
*.googleapis.com googleapis.com. Nome DNS: *.googleapis.com.
Tipo di record di risorse: CNAME
Nome canonico: googleapis.com. 		Tipo di record di risorse: A
Indirizzi IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nome DNS: *.backupdr.cloud.google.com.
Tipo di record di risorse: CNAME
Nome canonico: backupdr.cloud.google.com. 		Tipo di record di risorse: A
Indirizzi IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nome DNS: *.backupdr.googleusercontent.com.
Tipo di record di risorse: CNAME
Nome canonico: backupdr.googleusercontent.com. 		Tipo di record di risorse: A
Indirizzi IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crea un record DNS

Per creare un record DNS:

  1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. In Tipo di zona, seleziona Privato.

  3. Nel campo Nome zona, inserisci un nome. Ad esempio, backup-dr-new-zone.

  4. Nel campo Nome DNS, inserisci un nome per la zona utilizzando un nome di dominio di tua proprietà, ad esempio backupdr.cloud.google.com.

  5. (Facoltativo) Aggiungi una descrizione.

  6. In Opzioni, seleziona Predefinito (privato).

  7. Fai clic su Crea.

  8. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

  9. Nella pagina Crea set di record, segui questi passaggi per aggiungere un set di record per il record CNAME:

    1. Nel campo Nome DNS, inserisci *.backupdr.cloud.google.com.
    2. Per il Tipo di record risorsa, seleziona CNAME.
    3. Nel campo Nome canonico, inserisci backupdr.cloud.google.com.
    4. Fai clic su Crea.

  10. Nella pagina Dettagli zona, fai clic su Aggiungi standard e segui i passaggi riportati di seguito per aggiungere un set di record con indirizzi IP:

    1. Nel campo Nome DNS, inserisci *.backupdr.cloud.google.com.
    2. Seleziona A come Tipo di record di risorse.
    3. Nel campo Indirizzi IPv4, inserisci 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.
    4. Fai clic su Crea.

Per ulteriori informazioni, consulta Configurare la connettività privata alle API e ai servizi Google.

Risoluzione dei problemi

I Controlli di servizio VPC per il servizio di backup e RE sono supportati dalla versione 11.0.5 e successive. Puoi controllare la versione dalla Guida > Informazioni della Console di gestione.

Se riscontri problemi durante la configurazione di Controlli di servizio VPC per il servizio di backup e DR, consulta la sezione sulla risoluzione dei problemi di Controlli di servizio VPC.

Limitazioni

Se hai rimosso la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, potresti non essere in grado di accedere alla console di gestione o di crearla. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Prima di montare un'immagine di backup di Compute Engine, aggiungi i progetti di servizio e di hosting allo stesso perimetro. In caso contrario, potresti non vedere le emittenti disponibili.