Puoi configurare un perimetro di sicurezza che garantisca che le tue istanze Confidential VM possano interagire solo con altre istanze Confidential VM. Questo risultato viene ottenuto con i seguenti servizi:
È possibile stabilire un perimetro di sicurezza attorno alle istanze Confidential VM che si trovano nello stesso progetto o in progetti separati.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare un perimetro di sicurezza, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
-
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) -
Amministratore VPC condivisa Compute (
roles/compute.xpnAdmin) -
Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin) -
Utente della rete di calcolo (
roles/compute.networkUser) -
Amministratore di istanze Compute (
roles/compute.instanceAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per scoprire di più su questi ruoli, consulta la sezione Ruoli amministrativi obbligatori nella Panoramica del VPC condiviso.
Crea un perimetro Confidential VM
Per creare un perimetro di sicurezza attorno alle tue istanze Confidential VM, segui le seguenti istruzioni:
Crea una cartella nella tua organizzazione denominata
confidential-perimeter.All'interno della cartella, crea un progetto host VPC condiviso. Questo definisce il perimetro della Confidential VM.
Dopo aver creato un progetto host VPC, condividilo concedendo l'accesso al tuo team di networking.
Applicare il perimetro
Per impedire ai progetti di servizi di consentire alle istanze VM non riservate di interagire con il perimetro, applica i seguenti vincoli delle norme dell'organizzazione alla cartella confidential-perimeter come indicato.
| Vincolo | Valore | Descrizione |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Forza tutti i progetti di servizi a creare solo istanze Confidential VM. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impedisce ai progetti all'interno del perimetro di creare un altro progetto host VPC condivisa. Sostituisci FOLDER_ID con l'
ID
della cartella confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Impedisce ai progetti di servizio di eseguire il peering delle reti e delle connessioni di rete al di fuori del perimetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Forza tutte le istanze VM riservate nei progetti di servizio a utilizzare indirizzi IP interni. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Impedisce a tutte le istanze VM di definire un punto di ingresso visibile su internet. Puoi ignorare questa impostazione per progetti specifici nel perimetro che devono avere un ingresso, ad esempio la rete perimetrale. |
Per controllare il trasferimento di dati di rete all'esterno del perimetro, utilizza le regole firewall VPC.
Passaggi successivi
Puoi utilizzare i Controlli di servizio VPC per estendere il perimetro di sicurezza in modo da coprire le risorseGoogle Cloud . Per saperne di più, consulta la Panoramica dei Controlli di servizio VPC.