Configurar o VPC Service Controls para o serviço de backup e DR

Esta página oferece uma visão geral do VPC Service Controls e como ele pode ser integrado ao serviço de backup e DR para proteger seus dados e recursos.

Sobre o VPC Service Controls

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados do console de gerenciamento do serviço de backup e DR. É possível usar o VPC Service Controls para criar perímetros de serviço que protegem os recursos e dados de vários serviços. Se o serviço de backup e DR estiver protegido por um perímetro, os recursos de fora do perímetro não poderão se comunicar com o console de gerenciamento. No entanto, é possível permitir que recursos de fora do perímetro de serviço acessem o console de gerenciamento e a API. Para mais informações, consulte Permitir o acesso a recursos protegidos de fora de um perímetro.

Para uma visão geral geral do VPC Service Controls, seus benefícios de segurança e recursos nos produtos da Google Cloud CLI, consulte a Visão geral do VPC Service Controls.

Antes de começar

Antes de começar a configurar o VPC Service Controls para o serviço de backup e DR, faça o seguinte:

  1. No console do Google Cloud, na página Seletor de projetos, selecione Criar um projeto da Google Cloud CLI.
  2. Verifique se o faturamento está ativado para o projeto Google Cloud . Saiba como verificar se o faturamento está ativado em um projeto.
  3. Siga as instruções na seção Ativar APIs e ative a API Access Context Manager no projeto.

Configurar políticas de direção e níveis de acesso para o cofre de backup

Se o dispositivo de backup/recuperação e o cofre de backup estiverem no mesmo perímetro do VPC Service Controls, não será necessário configurar os níveis de acesso e as políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o dispositivo de backup/recuperação e o cofre de backup estiverem em perímetros, mas em perímetros diferentes:
    • Configure exceções de entrada no perímetro em que os recursos do backup vault existem. Adicione backupdr.googleapis.com e storage.googleapis.com na regra de entrada. A origem pode ser o endereço IP, a rede ou o projeto em que o dispositivo de backup/recuperação está presente.
    • Configure exceções de saída no perímetro em que os dispositivos de backup/recuperação existem. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto em que o recurso do cofre de backup está. Você pode combinar isso com o endereço IP do dispositivo de backup/recuperação ou qualquer outra propriedade.
  • Se apenas os recursos do Backup Vault estiverem no perímetro: configure exceções de entrada no perímetro em que os recursos do Backup Vault existem. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de entrada. A origem pode ser um endereço IP, uma rede ou um projeto em que o dispositivo de backup/recuperação está presente.
  • Se apenas um appliance de backup/recuperação existir no perímetro: configure exceções de saída no perímetro em que os appliances de backup/recuperação existem. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto em que o recurso do cofre de backup está. Você pode combinar isso com o endereço IP do dispositivo de backup/recuperação ou qualquer outra propriedade.

Configurar políticas de direção e níveis de acesso para o Compute Engine

Se o projeto do administrador e o projeto de carga de trabalho estiverem no mesmo perímetro do VPC Service Controls, não será necessário configurar os níveis de acesso e as políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o projeto do administrador e o projeto de carga de trabalho existirem em diferentes perímetros de serviço:
    • O projeto do administrador precisa adicionar uma regra de saída para o agente de serviço do backup vault ao projeto de carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
    • O projeto de carga de trabalho precisa adicionar uma regra de entrada para permitir chamadas do agente de serviço do backup vault e uma regra de saída para o agente de serviço do backup vault ao projeto de administrador para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto do administrador tiver um perímetro de serviço: o projeto do administrador precisa adicionar uma regra de saída para o agente de serviço do cofre de backup ao projeto de carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto de workload tiver um perímetro de serviço: o projeto de workload precisa adicionar uma regra de entrada para permitir chamadas do agente de serviço do backup vault e uma regra de saída para o agente de serviço do backup vault ao projeto de administrador para backupdr.googleapis.com e compute.googleapis.com.

Configurar o VPC Service Controls para o serviço de backup e DR

Siga estas etapas para configurar o VPC Service Controls para o serviço de backup e DR:

  1. Criar um perímetro de serviço
  2. Configurar a conectividade com as APIs e os serviços do Google

As seções a seguir descrevem essas etapas em detalhes.

Criar um perímetro de serviço

Siga estas instruções para criar um perímetro de serviço:

  1. No console do Google Cloud, na página do seletor de projetos, selecione o projeto de backup e DR do serviço que você quer proteger com o perímetro do serviço da VPC.
  2. Crie um perímetro de serviço usando as instruções descritas em Criar um perímetro de serviço.

  3. Adicione as seguintes APIs ao perímetro de serviço na seção Serviços restritos:

    • Obrigatório: API do serviço de backup e DR - backupdr.googleapis.com
    • Opcional: API Compute Engine - compute.googleapis.com
    • Opcional: API Resource Manager: cloudresourcemanager.googleapis.com
    • Opcional: API Workflows - workflows.googleapis.com
    • Opcional: API Cloud Key Management Service: cloudkms.googleapis.com
    • Opcional: API Identity and Access Management - iam.googleapis.com
    • Opcional: API Cloud Logging - logging.googleapis.com
    • Opcional: API Cloud Storage - storage.googleapis.com

  4. Se você estiver usando uma VPC compartilhada, adicione os projetos host e de serviço na seção Adicionar recursos.

Depois de configurar um perímetro, por padrão, o acesso ao console de gerenciamento do serviço de backup e DR e à API só é permitido dentro do perímetro de segurança.

Se um dispositivo de backup/recuperação fizer solicitações de API da nuvem fora do perímetro de serviço, por exemplo, para recuperar uma instância do Compute Engine em um projeto ou rede VPC que não está no mesmo perímetro, você poderá encontrar uma violação de acesso do VPC Service Controls. Para permitir solicitações de API, crie regras de entrada e saída adequadas no perímetro de serviço do VPC Service Controls para a conta de serviço do dispositivo de backup/recuperação.

Configurar a conectividade com APIs e serviços do Google

Em uma configuração do VPC Service Controls, para controlar o tráfego de rede, configure o acesso a APIs e serviços do Google pelo domínio restricted.googleapis.com. Esse domínio bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Para mais informações, consulte opções de domínio.

Se você não configurar regras de DNS para APIs e serviços do Google, elas serão resolução usando a opção de domínio para domínios padrão.

O serviço de backup e DR usa os seguintes domínios:

  • *.backupdr.cloud.google.com é usado para acessar o console de gerenciamento.
  • O *.googleapis.com é usado para acessar outros serviços do Google.

Configure a conectividade com os seguintes endpoints restricted.googleapis.com na seção Registro DNS.

Domínio Nome do DNS Registro CNAME Registro A
*.googleapis.com googleapis.com. Nome DNS: *.googleapis.com.
Tipo de registro de recurso: CNAME
Nome canônico: googleapis.com. 		Tipo de registro de recurso: A
Endereços IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nome DNS: *.backupdr.cloud.google.com.
Tipo de registro de recurso: CNAME
Nome canônico: backupdr.cloud.google.com. 		Tipo de registro de recurso: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nome DNS: *.backupdr.googleusercontent.com.
Tipo de registro de recurso: CNAME
Nome canônico: backupdr.googleusercontent.com. 		Tipo de registro de recurso: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Criar um registro DNS

Use as instruções a seguir para criar um registro DNS:

  1. No Console do Google Cloud, acesse a página Criar uma zona de DNS.

    Acesse "Criar uma zona de DNS"

  2. Em Tipo de zona, selecione Private.

  3. No campo Nome de zona, insira um nome. Por exemplo, backup-dr-new-zone.

  4. No campo Nome do DNS, insira um nome para a zona usando um nome de domínio de sua propriedade. Por exemplo: backupdr.cloud.google.com.

  5. Opcional: adicione uma descrição.

  6. Em Opções, selecione Padrão (privado).

  7. Clique em Criar.

  8. Na página Detalhes da zona, clique em Adicionar padrão.

  9. Na página Criar conjunto de registros, siga estas etapas para adicionar um conjunto de registros para o registro CNAME:

    1. No campo Nome do DNS, digite *.backupdr.cloud.google.com.
    2. Em Tipo de registro de recurso, selecione CNAME.
    3. No campo Nome canônico, insira backupdr.cloud.google.com.
    4. Clique em Criar.

  10. Na página Detalhes da zona, clique em Adicionar padrão e siga as etapas abaixo para adicionar um conjunto de registros com endereços IP:

    1. No campo Nome do DNS, digite *.backupdr.cloud.google.com.
    2. Selecione A como o Tipo de registro de recurso.
    3. No campo Endereços IPv4, insira 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.
    4. Clique em Criar.

Para mais informações, consulte Configurar a conectividade particular com APIs e serviços do Google.

Resolver problemas

O VPC Service Controls para o serviço de backup e DR é compatível com a versão 11.0.5 e mais recentes. É possível verificar a versão na página Help > About do console de gerenciamento.

Se você encontrar algum problema ao configurar o VPC Service Controls para serviços de backup e DR, consulte a seção Solução de problemas do VPC Service Controls.

Limitações

Se você tiver removido a rota padrão da Internet do projeto de produtor de serviços usando o comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, talvez não seja possível acessar ou criar o console de gerenciamento. Entre em contato com o atendimento ao cliente do Google Cloud se encontrar esse problema.

Antes de montar uma imagem de backup do Compute Engine, adicione os projetos de serviço e host ao mesmo perímetro. Caso contrário, talvez as redes disponíveis não apareçam.