Per proteggere ulteriormente le risorse Compute Engine, puoi applicarle utilizzando Controlli di servizio VPC.
I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza per le tue risorse Compute Engine. Il perimetro di servizio limita l'esportazione dell'importazione delle risorse e dei dati associati all'interno del perimetro definito.
Quando crei un perimetro di servizio, selezioni uno o più progetti a cui protette dal perimetro. Richieste tra progetti all'interno dello stesso perimetro rimangono invariate. Tutte le API esistenti continuano a funzionare finché le risorse interessate si trovano all'interno dello stesso perimetro di servizio. Tieni presente che IAM i ruoli e i criteri vengono ancora applicati all'interno di un perimetro di servizio.
Quando un servizio è protetto da un perimetro, le richieste non possono essere effettuate servizio all'interno del perimetro a qualsiasi risorsa all'esterno del perimetro. Questo include l'esportazione delle risorse dall'interno all'esterno del perimetro. Richieste per le risorse protette dall'esterno del perimetro sono possibili se soddisfano determinati criteri. Per ulteriori informazioni, consulta la Panoramica. in Controlli di servizio VPC documentazione.
Quando viene effettuata una richiesta che viola il perimetro di servizio, la richiesta non va a buon fine con il seguente errore:
"code": 403, "message": "Request is prohibited by organization's policy."
Vantaggi per la sicurezza
I Controlli di servizio VPC offrono i seguenti vantaggi in termini di sicurezza:
- L'accesso a operazioni sensibili dell'API Compute Engine, come la modifica delle regole firewall, può essere limitato all'accesso privato dalle reti autorizzate o all'IP autorizzato indirizzi IP esterni.
- Gli snapshot disco permanente e le immagini personalizzate di Compute Engine limitato a un perimetro.
- I metadati delle istanze Compute Engine agiscono come un sistema di archiviazione limitato. Accesso ai metadati dell'istanza tramite l'API Compute Engine è limitato dal criterio del perimetro di servizio, mitigare i rischi di esfiltrazione utilizzando questo canale.
Inoltre, l'API Compute Engine è ora accessibile dalla IP virtuale (VIP) limitato. Ciò semplifica la configurazione di Cloud DNS e del routing per i client all'interno che richiedono l'accesso a questa API.
Limitazioni
- I firewall gerarchici non sono interessati dai perimetri di servizio.
- Le operazioni di peering VPC non applicano restrizioni per il perimetro di servizio VPC.
- La
projects.ListXpnHosts
Il metodo API per il VPC condiviso non applica restrizioni per i perimetro di servizio i progetti restituiti.
Autorizzazioni
Assicurati di avere ruoli appropriati per amministrare Configurazioni del perimetro dei controlli di servizio VPC per la tua organizzazione.
Configurazione di un perimetro di servizio
Segui le istruzioni alla pagina Creazione di un perimetro di servizio consulta la documentazione su Controlli di servizio VPC per configurare un perimetro di servizio.
Se configuri un perimetro di servizio utilizzando Google Cloud CLI, specifica
compute.googleapis.com
con il flag --restricted-services
per limitare il
l'API Compute Engine.
Aggiunta di Compute Engine come servizio limitato a un perimetro esistente
Se hai già un perimetro di servizio e vuoi aggiungere Compute Engine al perimetro di servizio, segui le istruzioni Aggiornare un perimetro di servizio nella documentazione su Controlli di servizio VPC.
Creazione di una VM con Controlli di servizio VPC
Dopo aver configurato un perimetro di servizio, non devi apportare modifiche
alle chiamate API o agli strumenti esistenti, a condizione che le risorse
vengono incluse nello stesso perimetro di servizio. Ad esempio,
crea un'istanza VM con un'immagine di esempio. In questo caso,
non riesce se IMAGE_PROJECT
è esterno al servizio
(e non c'è
bridge del perimetro di servizio
tra i progetti).
gcloud compute instances create new-instance \
--image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
--zone us-central1-a --machine-type n1-standard-72
Se stai creando una VM da un modello di istanza, tutte le risorse a cui viene fatto riferimento nel modello di istanza deve appartenere allo stesso perimetro di servizio in cui se esegui il comando o se la connessione avviene tramite un bridge del perimetro di servizio. La richiesta non va a buon fine se il modello di istanza fa riferimento a una risorsa esterna del perimetro di servizio, anche se il modello di istanza si trova all'interno perimetrale.
Esempio di scenario di un client Compute Engine al di fuori del perimetro di un disco Compute Engine all'esterno del perimetro, utilizzando Chiave Cloud KMS all'interno del perimetro. Consulta Esempi di richieste API consentito dalla combinazione di traffico in entrata e in uscita .
Progetti di immagini pubbliche
Google fornisce e gestisce una serie di immagini pubbliche per le tue istanze. Questi progetti sono implicitamente inclusi in tutte le perimetri. Non sono richieste ulteriori azioni per utilizzare queste immagini.
Di seguito è riportato un elenco di progetti inclusi automaticamente in tutti i perimetri di sicurezza:
centos-cloud
cos-cloud
debian-cloud
fedora-cloud
fedora-coreos-cloud
rhel-cloud
rhel-sap-cloud
rocky-linux-cloud
opensuse-cloud
suse-cloud
suse-byos-cloud
suse-sap-cloud
ubuntu-os-cloud
ubuntu-os-pro-cloud
windows-cloud
windows-sql-cloud
Se stai utilizzando un progetto immagine che non è in questo elenco e scegli di non di includere il progetto immagine direttamente nel perimetro di sicurezza, crei una copia di tutte le immagini da usare prima in un progetto separato, includi il progetto separato nel tuo perimetro di sicurezza.
Copia delle immagini con Controlli di servizio VPC
Puoi copiare le immagini da un progetto all'altro se entrambi i progetti appartengono allo stesso perimetro di servizio. In questo esempio, sia DST_PROJECT
che
SRC_PROJECT
deve appartenere allo stesso perimetro di servizio
affinché la richiesta funzioni.
gcloud compute images create --project DST_PROJECT IMAGE_NAME \
--source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
--family IMAGE_FAMILY --storage-location LOCATION
Se scegli di non includere il progetto dell'immagine direttamente nella sezione perimetro, ti consigliamo di creare una copia di tutte le immagini da utilizzare per prima cosa, poi includi il progetto separato nella perimetrale.
VPC condiviso con Controlli di servizio VPC
Quando si utilizza un VPC condiviso, le restrizioni del perimetro di servizio devono essere applicate a tutti i progetti coinvolti in una determinata operazione. In altre parole, consigliamo di verificare che l'host e i progetti di servizio si trovano all'interno dello stesso perimetro di servizio quando coinvolge risorse distribuite tra i progetti host e di servizio.
Peering di rete VPC
Il peering di rete VPC consente di eseguire il peering di reti VPC tra due organizzazioni separate. Poiché un perimetro di servizio è limitato ai progetti all'interno di un'organizzazione, i perimetri di servizio non influiscono sulle reti VPC di peering.
Firewall gerarchici
I firewall gerarchici sono firewall configurati all'esterno di un progetto (a livello di cartella o di organizzazione). Perimetro di servizio le restrizioni si applicano a un insieme di progetti all'interno di un perimetro, quindi non applicare ai firewall gerarchici.
Gruppi di istanze gestite
I gruppi di istanze gestite ti aiutano a gestire di istanze VM come una singola entità. I gruppi di istanze gestite utilizzano l'istanza modelli per creare VM e tutte le restrizioni relative a immagini si applicano le reti e le subnet tra progetti. Vale a dire che, quando utilizzi immagini altri progetti, assicurati che appartengano allo stesso perimetro oppure le immagini necessarie in un altro progetto e includilo nella perimetro di servizio. I progetti di immagini pubbliche gestiti da Google sono inclusi automaticamente in tutti i perimetri di servizio.
Se vuoi utilizzare gruppi di istanze con un VPC condiviso, assicurati che i progetti si trovano nello stesso perimetro di sicurezza.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC.
- Scopri di più sui servizi supportati da IP virtuali limitati.
- Scopri di più sulla procedura di configurazione del perimetro di servizio.