Pode configurar um perímetro de segurança que garante que as suas instâncias de VMs confidenciais só podem interagir com outras instâncias de VMs confidenciais. Isto é conseguido com os seguintes serviços:
Pode estabelecer um perímetro de segurança em torno de instâncias de VMs confidenciais que residem no mesmo projeto ou em projetos separados.
Funções necessárias
Para receber as autorizações de que precisa para criar um perímetro de segurança, peça ao seu administrador que lhe conceda as seguintes funções do IAM na organização:
-
Administrador da organização (
roles/resourcemanager.organizationAdmin) -
Administrador da VPC partilhada do Compute (
roles/compute.xpnAdmin) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Utilizador da rede de computação (
roles/compute.networkUser) -
Administrador de instância de computação (
roles/compute.instanceAdmin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Para saber mais acerca destas funções, consulte o artigo Funções administrativas obrigatórias na vista geral da VPC partilhada.
Crie um perímetro de Confidential VM
Para criar um perímetro de segurança em torno das suas instâncias de VM confidenciais, conclua as seguintes instruções:
Crie uma pasta na sua organização denominada
confidential-perimeter.Na pasta, crie um projeto anfitrião da VPC partilhada. Isto define o perímetro da Confidential VM.
Depois de criar um projeto anfitrião da VPC, partilhe o projeto concedendo acesso à sua equipa de rede.
Aplique o perímetro
Para impedir que os
projetos de serviço
permitam que instâncias de VMs não confidenciais interajam com o perímetro,
aplique as seguintes restrições da política da organização
à sua pasta confidential-perimeter, conforme indicado.
| Restrição | Valor | Descrição |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Força todos os projetos de serviço a criar apenas instâncias de VMs confidenciais. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impede que os projetos dentro do perímetro criem outro projeto anfitrião da VPC partilhada. Substitua FOLDER_ID pelo
ID
da sua pasta confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Impede que os projetos de serviço façam intercâmbio de rede e ligações de rede fora do perímetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Força todas as instâncias de VMs confidenciais em projetos de serviço a usar IPs internos. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Impede que todas as instâncias de VM definam um ponto de entrada visível na Internet. Pode substituir esta opção para projetos específicos no seu perímetro que devem ter entrada, por exemplo, a sua rede de perímetro. |
Para controlar a transferência de dados de rede fora do perímetro, use as regras de firewall da VPC.
O que se segue?
Pode usar os VPC Service Controls para estender o perímetro de segurança de modo a abranger os Google Cloud recursos. Para saber mais, consulte a vista geral dos VPC Service Controls.