Melindungi resource dengan Kontrol Layanan VPC


Untuk melindungi resource Compute Engine lebih lanjut, Anda dapat melindunginya menggunakan Kontrol Layanan VPC.

Dengan Kontrol Layanan VPC, Anda dapat menentukan perimeter keamanan untuk resource Compute Engine Anda. Perimeter layanan membatasi ekspor dan impor resource dan data terkaitnya dalam perimeter yang ditentukan.

Saat membuat perimeter layanan, Anda memilih satu atau beberapa project untuk dilindungi oleh perimeter. Permintaan antar-project dalam perimeter yang sama tidak akan terpengaruh. Semua API yang ada akan terus berfungsi selama resource yang terlibat berada dalam perimeter layanan yang sama. Perlu diperhatikan bahwa peran dan kebijakan IAM masih berlaku dalam perimeter layanan.

Jika layanan dilindungi oleh perimeter, permintaan tidak dapat dibuat oleh layanan di dalam perimeter ke resource mana pun di luar perimeter. Tindakan ini termasuk mengekspor resource dari dalam ke luar perimeter. Permintaan resource yang dilindungi dari luar perimeter dapat diajukan jika memenuhi kriteria tertentu. Untuk mengetahui informasi selengkapnya, lihat Ringkasan dalam dokumentasi Kontrol Layanan VPC.

Jika dibuat permintaan yang melanggar perimeter layanan, permintaan akan gagal dengan error berikut:

"code": 403, "message": "Request is prohibited by organization's policy."

Manfaat keamanan

Kontrol Layanan VPC memberikan manfaat keamanan berikut:

  • Akses ke operasi Compute Engine API yang sensitif, seperti mengubah aturan firewall, dapat dibatasi untuk akses pribadi dari jaringan yang diizinkan atau ke alamat IP yang diizinkan.
  • Snapshot persistent disk dan image kustom Compute Engine dapat dibatasi berdasarkan perimeter.
  • Metadata instance Compute Engine berfungsi sebagai sistem penyimpanan terbatas. Akses ke metadata instance melalui Compute Engine API dibatasi oleh kebijakan perimeter layanan, sehingga mengurangi risiko pemindahan yang tidak sah menggunakan saluran ini.

Selain itu, Compute Engine API kini dapat diakses di IP virtual (VIP) terbatas. Hal ini menyederhanakan Cloud DNS dan konfigurasi pemilihan rute untuk klien dalam perimeter yang memerlukan akses ke API ini.

Batasan

  • Firewall hierarkis tidak terpengaruh oleh perimeter layanan.
  • Operasi peering VPC tidak menerapkan batasan perimeter layanan VPC.
  • Metode API projects.ListXpnHosts untuk VPC Bersama tidak menerapkan pembatasan perimeter layanan pada project yang ditampilkan.

Izin

Pastikan Anda memiliki peran yang tepat untuk mengelola konfigurasi Perimeter Kontrol Layanan VPC bagi organisasi Anda.

Menyiapkan perimeter layanan

Ikuti petunjuk pada artikel Membuat perimeter layanan dalam dokumentasi Kontrol Layanan VPC untuk menyiapkan perimeter layanan.

Jika menyiapkan perimeter layanan menggunakan Google Cloud CLI, tentukan compute.googleapis.com dengan flag --restricted-services untuk membatasi Compute Engine API.

Menambahkan Compute Engine sebagai layanan terbatas ke perimeter yang ada

Jika Anda sudah memiliki perimeter layanan dan ingin menambahkan Compute Engine ke perimeter layanan, ikuti petunjuk di bagian Memperbarui perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

Membuat VM dengan Kontrol Layanan VPC

Setelah menyiapkan perimeter layanan, Anda tidak perlu melakukan perubahan pada panggilan atau alat API yang ada, selama resource yang terpengaruh dalam permintaan Anda disertakan dalam perimeter layanan yang sama. Misalnya, perintah berikut membuat instance VM dengan image contoh. Dalam hal ini, perintah akan gagal jika IMAGE_PROJECT berada di luar perimeter layanan (dan tidak ada perantara perimeter layanan di antara project).

gcloud compute instances create new-instance \
    --image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
    --zone us-central1-a --machine-type n1-standard-72

Jika Anda membuat VM dari template instance, semua resource yang dirujuk dalam template instance tersebut harus berada dalam perimeter layanan yang sama tempat Anda menjalankan perintah atau terhubung menggunakan perantara perimeter layanan. Permintaan gagal jika template instance merujuk ke resource di luar perimeter layanan, meskipun template instance itu sendiri berada dalam perimeter.

Untuk contoh skenario klien Compute Engine di luar perimeter yang membuat disk Compute Engine di luar perimeter menggunakan kunci Cloud KMS di dalam perimeter, lihat Contoh permintaan API yang diizinkan oleh kombinasi aturan masuk dan keluar.

Project image publik

Google menyediakan dan mengelola sekumpulan image publik untuk instance Anda. Project ini secara implisit disertakan di semua perimeter keamanan. Anda tidak perlu melakukan tindakan tambahan apa pun untuk menggunakan image ini.

Berikut adalah daftar project yang secara otomatis disertakan dalam semua perimeter keamanan:

  • centos-cloud
  • cos-cloud
  • debian-cloud
  • fedora-cloud
  • fedora-coreos-cloud
  • rhel-cloud
  • rhel-sap-cloud
  • rocky-linux-cloud
  • opensuse-cloud
  • suse-cloud
  • suse-byos-cloud
  • suse-sap-cloud
  • ubuntu-os-cloud
  • ubuntu-os-pro-cloud
  • windows-cloud
  • windows-sql-cloud

Jika Anda menggunakan project image yang tidak tercantum dalam daftar ini dan memilih untuk tidak menyertakan project image langsung ke perimeter keamanan, sebaiknya buat salinan semua image yang akan digunakan ke dalam sebuah project terpisah terlebih dahulu, lalu sertakan project terpisah itu ke dalam perimeter keamanan Anda.

Menyalin image dengan Kontrol Layanan VPC

Anda dapat menyalin image dari satu project ke project lain jika kedua project berada dalam perimeter layanan yang sama. Dalam contoh ini, DST_PROJECT dan SRC_PROJECT harus berada dalam perimeter layanan yang sama agar permintaan dapat berfungsi.

gcloud compute images create --project DST_PROJECT IMAGE_NAME \
   --source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
    --family IMAGE_FAMILY --storage-location LOCATION

Jika Anda memilih untuk tidak menyertakan project image secara langsung ke perimeter keamanan, sebaiknya buat salinan semua gambar untuk digunakan ke dalam sebuah project terpisah terlebih dahulu, lalu sertakan project terpisah itu ke dalam perimeter keamanan Anda.

VPC Bersama dengan Kontrol Layanan VPC

Saat menggunakan VPC Bersama, pembatasan perimeter layanan akan diterapkan ke semua project yang terlibat dalam operasi tertentu. Dengan kata lain, sebaiknya pastikan project host dan project layanan berada dalam perimeter layanan yang sama saat operasi melibatkan resource yang didistribusikan antara project host dan layanan.

Peering Jaringan VPC

Peering Jaringan VPC memungkinkan jaringan VPC peering antara dua organisasi terpisah. Karena perimeter layanan terbatas untuk project dalam suatu organisasi, perimeter layanan tidak memengaruhi jaringan VPC peering.

Firewall hierarkis

Firewall hierarkis adalah firewall yang dikonfigurasi di luar project (baik di level folder maupun organisasi). Pembatasan perimeter layanan berlaku untuk sekumpulan project dalam perimeter, jadi tidak berlaku untuk firewall hierarkis.

Grup instance terkelola

Grup instance terkelola membantu Anda mengelola grup instance VM sebagai satu entity. Grup instance terkelola (MIG) menggunakan template instance untuk membuat VM, dan semua batasan terkait image atau jaringan dan subnetwork lintas project berlaku. Artinya, saat menggunakan image dari project lain, pastikan project berada dalam perimeter yang sama, atau salin image yang Anda butuhkan ke dalam project lain dan sertakan project tersebut dalam perimeter layanan. Project image publik yang dikelola Google otomatis disertakan dalam semua perimeter layanan.

Jika Anda ingin menggunakan grup instance dengan VPC bersama, pastikan project Anda berada di perimeter keamanan yang sama.

Langkah berikutnya