Puedes configurar un perímetro de seguridad que garantice que tus instancias de Confidential VM solo puedan interactuar con otras instancias de Confidential VM. Esto se logra con los siguientes servicios:
Se puede establecer un perímetro de seguridad en torno a instancias de Confidential VM que residen dentro del mismo proyecto o en proyectos diferentes.
Roles obligatorios
Para obtener los permisos que necesitas para crear un perímetro de seguridad, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:
-
Administrador de la organización (
roles/resourcemanager.organizationAdmin) -
Administrador de VPC compartida de Compute (
roles/compute.xpnAdmin) -
Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin) -
Usuario de la red de Compute (
roles/compute.networkUser) -
Administrador de instancias de Compute (
roles/compute.instanceAdmin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Para obtener más información sobre estas funciones, consulta Funciones administrativas requeridas en la Descripción general de la VPC compartida.
Crea un perímetro de Confidential VM
Para crear un perímetro de seguridad en torno a tus instancias de Confidential VM, completa las siguientes instrucciones:
Crea una carpeta en tu organización llamada
confidential-perimeter.Dentro de la carpeta, crea un proyecto host de VPC compartida. Esto define el perímetro de Confidential VM.
Después de crear un proyecto host de VPC, otorga a tu equipo de herramientas de redes acceso para compartir el proyecto.
Aplica el perímetro
Para evitar que los proyectos de servicio permitan que las instancias de VM que no sean Confidential interactúen con el perímetro, aplica las siguientes restricciones de las políticas de la organización a tu carpeta confidential-perimeter como se indica.
| Restricción | Valor | Descripción |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Obliga a todos los proyectos de servicio a crear solo instancias de Confidential VM. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impide que los proyectos dentro del perímetro creen otro proyecto host de VPC compartida. Reemplaza FOLDER_ID por el
ID
de tu carpeta confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Evita que los proyectos de servicio intercambien el tráfico de la red y las conexiones de red por fuera del perímetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Obliga a todas las instancias de Confidential VM en proyectos de servicio a usar IPs internas. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Evita que todas las instancias de VM definan un punto de entrada visible para Internet. Puedes anular esto para proyectos específicos en tu perímetro que deberían tener entrada, por ejemplo, tu red perimetral. |
Para controlar la transferencia de datos de red fuera del perímetro, usa las reglas de firewall de VPC.
¿Qué sigue?
Puedes usar los Controles del servicio de VPC para extender el perímetro de seguridad a fin de cubrir los recursos deGoogle Cloud . Para obtener más información, consulta Descripción general de los Controles del servicio de VPC.