VPC Service Controls konfigurieren

Cloud Composer 1 | Cloud Composer 2

Mit VPC Service Controls können Unternehmen einen Perimeter um Google Cloud-Ressourcen definieren, um das Risiko der Daten-Exfiltration zu minimieren.

Cloud Composer-Umgebungen können in einem Dienstperimeter bereitgestellt werden. Durch die Konfiguration Ihrer Umgebung mit VPC Service Controls können Sie sensible Daten privat halten und gleichzeitig die vollständig verwalteten Workflow-Orchestrierungsfunktionen von Cloud Composer nutzen.

Die VPC Service Controls-Unterstützung für Cloud Composer bedeutet:

  • Cloud Composer kann jetzt als sicherer Dienst innerhalb eines VPC Service Controls-Perimeters ausgewählt werden.
  • Alle von Cloud Composer verwendeten Ressourcen sind so konfiguriert, dass sie die VPC Service Controls-Architektur unterstützen und ihren Regeln folgen.

Die Bereitstellung von Cloud Composer-Umgebungen mit VPC Service Controls bietet Ihnen folgende Vorteile:

  • Geringeres Risiko der Daten-Exfiltration.
  • Schutz vor Datenweitergabe aufgrund falsch konfigurierter Zugriffskontrollen.
  • Geringeres Risiko, dass böswillige Nutzer Daten in nicht autorisierte Google Cloud-Ressourcen kopieren oder externe Angreifer über das Internet auf Google Cloud-Ressourcen zugreifen.

Dienstperimeter erstellen

Informationen zum Erstellen und Konfigurieren von Dienstperimetern finden Sie unter Dienstperimeter erstellen. Wählen Sie Cloud Composer als einen der im Perimeter gesicherten Dienste aus.

Umgebungen in einem Perimeter erstellen

Für die Bereitstellung von Cloud Composer innerhalb eines Perimeters sind zusätzliche Schritte erforderlich. Beim Erstellen einer Cloud Composer-Umgebung gilt Folgendes:

  1. Aktivieren Sie die Access Context Manager API und die Cloud Composer API für Ihr Projekt. Siehe APIs aktivieren als Referenz.

  2. Fügen Sie dem Perimeter die folgenden Dienste für den maximalen Schutz Ihrer Umgebung hinzu: Cloud SQL, Pub/Sub, Monitoring, Cloud Storage, GKE, Container Registry, Artifact Registry und Compute Engine.

  3. Verwenden Sie die Version composer-1.10.4 oder höher.

  4. Erstellen Sie eine neue Cloud Composer-Umgebung mit aktivierter privater IP-Adresse. Beachten Sie, dass diese Einstellung während der Erstellung der Umgebung konfiguriert werden muss.

Vorhandene Umgebungen mit VPC Service Controls konfigurieren

Sie können das Projekt, das Ihre Umgebung enthält, dem Perimeter in folgenden Fällen hinzufügen:

PyPI-Pakete installieren

In der Standardkonfiguration von VPC Service Controls unterstützt Cloud Composer die Installation von PyPI-Paketen aus privaten Repositories, die vom privaten IP-Adressbereich des VPC-Netzwerks aus erreichbar sind. Die empfohlene Konfiguration für diesen Prozess besteht darin, ein privates PyPI-Repository einzurichten, dieses mit geprüften Paketen zu füllen, die von Ihrer Organisation verwendet werden, und anschließend Cloud Composer so zu konfigurieren, dassPython-Abhängigkeiten aus einem privaten Repository installieren aus.

Es ist auch möglich, PyPI-Pakete aus Repositories außerhalb des privaten IP-Bereichs zu installieren. Gehen Sie so vor:

  1. Cloud NAT konfigurieren, damit Cloud Composer im privaten IP-Bereich eine Verbindung zu externen PyPI-Repositories herstellen kann
  2. Konfigurieren Sie Ihre Firewallregeln so, dass ausgehende Verbindungen vom Composer-Cluster zum Repository zugelassen werden.

Wenn Sie diese Konfiguration verwenden, müssen Sie sich mit den Risiken der Verwendung externer Repositories vertraut machen. Achten Sie darauf, dass Sie den Inhalt und die Integrität aller externen Repositories als vertrauenswürdig einstufen, da diese Verbindungen potenziell als Exfiltrationsvektor verwendet werden können.

Checkliste zur Netzwerkkonfiguration

Ihr VPC-Netzwerk muss ordnungsgemäß konfiguriert sein, um Cloud Composer-Umgebungen innerhalb eines Perimeters erstellen zu können. Folgen Sie den unten aufgeführten Konfigurationsanforderungen.

Firewallregeln

Rufen Sie in der Cloud Console den Abschnitt VPC-Netzwerk -> Firewall auf und prüfen Sie, ob die folgenden Firewallregeln konfiguriert sind.

  • Konfigurieren Sie den DNS-Dienst in Ihrer VPC, wie unter Unterstützung von VPC Service Controls für Cloud DNS beschrieben. Alternativ können Sie ausgehenden Traffic vom GKE-Knoten-IP-Bereich an einen beliebigen Ort auf Port 53 zulassen.

  • Ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich des GKE-Knotens zulassen, alle Ports.

  • Ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich von GKE-Pods zulassen, alle Ports.

  • Ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich des GKE-Masters und alle Ports zulassen.

  • Ausgehenden Traffic vom IP-Bereich des GKE-Knotens zu 199.36.153.4/30, Port 443 (restricted.googleapis.com) zulassen.

  • Eingehenden Traffic von GCP-Systemdiagnosen 130.211.0.0/22,35.191.0.0/16 zum Knoten-IP-Bereich zulassen. TCP-Ports 80 und 443

  • Lassen Sie ausgehendn Traffic vom Knoten-IP-Bereich zu GCP-Systemdiagnosen zu. TCP-Ports 80 und 443

  • Ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich des Cloud Composer-Netzwerks sowie die TCP-Ports 3306 und 3307 zulassen.

Wie Sie Regeln für Ihr VPC-Netzwerk prüfen, hinzufügen und aktualisieren, erfahren Sie unter Firewallregeln verwenden.

Verbindung zum Endpunkt restricted.googleapis.com

Konfigurieren Sie die Verbindung zum Endpunkt restricted.googleapis.com:

  • Prüfen Sie, ob eine DNS-Zuordnung von *.googleapis.com zu restricted.googleapis.com vorhanden ist.

  • Das DNS *.gcr.io sollte ähnlich wie der Endpunkt googleapis.com in 199.36.153.4/30 aufgelöst werden. Erstellen Sie dazu eine neue Zone: CNAME *.gcr.io -> gcr.io. A gcr.io. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

  • Das DNS *.pkg.dev sollte ähnlich wie der Endpunkt googleapis.com in 199.36.153.4/30 aufgelöst werden. Erstellen Sie dazu eine neue Zone: CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

  • Das DNS *.composer.cloud.google.com sollte ähnlich wie der Endpunkt googleapis.com in 199.36.153.4/30 aufgelöst werden. Erstellen Sie dazu eine neue Zone: CNAME *.composer.cloud.google.com -> composer.cloud.google.com. A composer.cloud.google.com. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Beschränkungen

  • Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPI-Modulen im privaten IP-Modus finden Sie unter Python-Abhängigkeiten installieren.