Per proteggere ulteriormente le tue risorse Compute Engine, puoi proteggerle utilizzando i Controlli di servizio VPC.
Controlli di servizio VPC consentono di definire un perimetro di sicurezza per le risorse di Compute Engine. Il perimetro di servizio limita l'esportazione e l'importazione delle risorse e dei dati associati all'interno del perimetro definito.
Quando crei un perimetro di servizio, selezioni uno o più progetti che devono essere protetti dal perimetro. Le richieste tra progetti nello stesso perimetro restano invariate. Tutte le API esistenti continuano a funzionare purché le risorse coinvolte si trovino all'interno dello stesso perimetro di servizio. Tieni presente che i ruoli e i criteri IAM continuano a essere applicati all'interno di un perimetro di servizio.
Quando un servizio è protetto da un perimetro, le richieste non possono essere effettuate dal servizio all'interno del perimetro di qualsiasi risorsa all'esterno del perimetro. Ciò include l'esportazione delle risorse dall'interno all'esterno del perimetro. Le richieste di risorse protette all'esterno di un perimetro sono possibili se soddisfano determinati criteri. Per ulteriori informazioni, consulta la panoramica nella documentazione di Controlli di servizio VPC.
Quando viene effettuata una richiesta che viola il perimetro di servizio, la richiesta non riesce e genererà il seguente errore:
"code": 403, "message": "Request is prohibited by organization's policy."
Vantaggi per la sicurezza
I Controlli di servizio VPC offrono i seguenti vantaggi di sicurezza:
- L'accesso alle operazioni sensibili dell'API Compute Engine, ad esempio la modifica delle regole firewall, può essere limitato all'accesso privato dalle reti autorizzate o agli indirizzi IP inclusi nella lista consentita.
- Gli snapshot di dischi permanenti e le immagini personalizzate di Compute Engine possono essere limitati a un perimetro.
- I metadati dell'istanza di Compute Engine fungono da sistema di archiviazione limitato. L'accesso ai metadati dell'istanza tramite l'API Compute Engine è limitato dal criterio di perimetro di servizio, riducendo i rischi di esfiltrazione utilizzando questo canale.
Inoltre, l'API Compute Engine è ora accessibile tramite l'IP virtuale (VIP) limitato. Questo semplifica la configurazione di Cloud DNS e di routing per i client all'interno del perimetro che richiede l'accesso a questa API.
Limitazioni
- I Firewall firewall non sono interessati dai perimetri di servizio.
- Le operazioni di peering VPC non applicano restrizioni sui perimetri di servizio VPC.
- Il metodo
projects.ListXpnHostsdell'API per il VPC condiviso non applica restrizioni ai perimetri di servizio sui progetti restituiti.
Autorizzazioni
Assicurati di disporre dei ruoli appropriati per amministrare le configurazioni dei perimetri dei controlli di servizio VPC per la tua organizzazione.
Configurazione di un perimetro di servizio
Per configurare un perimetro di servizio, segui le istruzioni sulla creazione di un perimetro di servizio nella documentazione di Controlli di servizio VPC.
Se configuri un perimetro di servizio utilizzando Google Cloud CLI, specifica compute.googleapis.com con il flag --restricted-services per limitare l'API Compute Engine.
Aggiunta di Compute Engine come servizio limitato a un perimetro esistente
Se hai un perimetro di servizio esistente e vuoi aggiungere Compute Engine al perimetro dei servizi, segui le istruzioni su come aggiornare un perimetro di servizio nella documentazione di Controlli di servizio VPC.
Creazione di una VM con Controlli di servizio VPC
Dopo aver configurato un perimetro di servizio, non è necessario apportare modifiche agli strumenti o alle chiamate API esistenti, purché le risorse interessate nelle richieste siano incluse nello stesso perimetro di servizio. Ad esempio, il comando seguente crea un'istanza VM con un'immagine di esempio. In questo caso, il comando non riesce se IMAGE_PROJECT è al di fuori del perimetro di servizio (e non esiste un bridge del perimetro di servizio tra i progetti).
gcloud compute instances create new-instance \
--image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
--zone us-central1-a --machine-type n1-standard-72
Se crei una VM da un modello di istanza, tutte le risorse a cui viene fatto riferimento nel modello di istanza devono appartenere allo stesso perimetro di servizio in cui stai eseguendo il comando o essere connesso utilizzando un bridge del perimetro di servizio. La richiesta non riesce se il modello di istanza si riferisce a una risorsa esterna al perimetro dei servizi, anche se il modello si trova all'interno del perimetro.
Progetti di immagini pubbliche
Google fornisce e gestisce un insieme di immagini pubbliche per le tue istanze. Questi progetti sono inclusi implicitamente in tutti i perimetri di sicurezza. Non sono richieste ulteriori azioni per utilizzare queste immagini.
Di seguito è riportato un elenco di progetti inclusi automaticamente in tutti i perimetri di sicurezza:
centos-cloudcos-clouddebian-cloudfedora-cloudfedora-coreos-cloudrhel-cloudrhel-sap-cloudrocky-linux-cloudopensuse-cloudsuse-cloudsuse-byos-cloudsuse-sap-cloudubuntu-os-cloudubuntu-os-pro-cloudwindows-cloudwindows-sql-cloud
Se utilizzi un progetto di immagine non incluso in questo elenco e scegli di non includerlo direttamente nel perimetro di sicurezza, ti consigliamo di creare prima una copia di tutte le immagini da utilizzare in un progetto separato e poi di includerlo nel perimetro di sicurezza.
Copia di immagini con i Controlli di servizio VPC
Puoi copiare immagini da un progetto all'altro se entrambi i progetti appartengono allo stesso perimetro di servizio. In questo esempio, sia DST_PROJECT che SRC_PROJECT devono appartenere allo stesso perimetro di servizio affinché la richiesta funzioni.
gcloud compute images create --project DST_PROJECT IMAGE_NAME \
--source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
--family IMAGE_FAMILY --storage-location LOCATION
Se scegli di non includere il progetto di immagine direttamente nel perimetro di sicurezza, ti consigliamo di creare prima una copia di tutte le immagini da utilizzare in un progetto separato, quindi di includere il progetto separato nel perimetro di sicurezza.
VPC condiviso con Controlli di servizio VPC
Quando si utilizza un VPC condiviso, le restrizioni del perimetro di servizio si applicano a tutti i progetti coinvolti in una determinata operazione. In altre parole, devi assicurarti che il progetto host e i progetti di servizio si trovino nello stesso perimetro di servizio quando un'operazione riguarda risorse distribuite tra i progetti host e di servizio.
Peering di rete VPC
Il peering di rete VPC consente di eseguire il peering di reti VPC tra due organizzazioni separate. Poiché un perimetro di servizio è limitato ai progetti all'interno di un'organizzazione, i perimetri di servizio non influiscono sulle reti VPC di peering.
I firewall gerarchici
I firewall gerarchici sono configurati all'esterno di un progetto (a livello di cartella o di organizzazione). Le restrizioni relative ai perimetri di servizio si applicano a un insieme di progetti all'interno di un perimetro, quindi non si applicano ai firewall gerarchici.
gruppi di istanze gestite
I gruppi di istanze gestite ti consentono di gestire un gruppo di istanze VM come una singola entità. I gruppi di istanze gestite utilizzano gruppi di istanze per creare VM; vengono applicate tutte le restrizioni relative alle immagini o alle reti e alle subnet tra progetti. In altre parole, quando usi le immagini di altri progetti, assicurati che appartengano allo stesso perimetro o copia le immagini che ti servono in un altro progetto e includilo nel perimetro di servizio. I progetti di immagini pubbliche gestite da Google vengono inclusi automaticamente in tutti i perimetri di servizio.
Se vuoi utilizzare gruppi di istanze con VPC condiviso, assicurati che i progetti siano nello stesso perimetro di sicurezza.
Passaggi successivi
- Scopri di più sui controlli di servizio VPC.
- Scopri di più sui servizi supportati dagli IP virtuali con restrizioni.
- Scopri di più sui passaggi di configurazione del perimetro di servizio.