É possível configurar um perímetro de segurança que garante que as instâncias de VM confidenciais só possam interagir com outras instâncias de VM confidenciais. Isso é possível com os seguintes serviços:
Um perímetro de segurança pode ser estabelecido em torno de instâncias de VM confidenciais que residem no mesmo projeto ou em projetos separados.
Funções exigidas
Para receber as permissões necessárias para criar um perímetro de segurança, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:
-
Administrador da organização (
roles/resourcemanager.organizationAdmin) -
Administrador de VPC compartilhada do Compute (
roles/compute.xpnAdmin) -
Administrador de projetos do IAM (
roles/resourcemanager.projectIamAdmin) -
Usuário da rede do Compute (
roles/compute.networkUser) -
Administrador da instância do Compute (
roles/compute.instanceAdmin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Para saber mais sobre esses papéis, consulte Papéis administrativos obrigatórios na Visão geral da VPC compartilhada.
Criar um perímetro de VM confidencial
Para criar um perímetro de segurança em torno das instâncias de VM confidencial, siga estas instruções:
Crie uma pasta na organização chamada
confidential-perimeter.Dentro da pasta, crie um projeto de host de VPC compartilhada. Isso define o perímetro da VM confidencial.
Depois de criar um projeto host de VPC, compartilhe o projeto concedendo acesso à sua equipe de rede.
Aplicar o perímetro
Para impedir que projetos de serviço
permitam que instâncias de VM não confidenciais interajam com o perímetro,
aplique as seguintes restrições da política da organização
à pasta confidential-perimeter conforme indicado.
| Restrição | Valor | Descrição |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Força todos os projetos de serviço a criar apenas instâncias de VM confidenciais. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impede que projetos dentro do perímetro criem outro projeto de host de VPC compartilhada. Substitua FOLDER_ID pelo
ID
da pasta confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Impede que os projetos de serviço façam peering de redes e conexões de rede fora do perímetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Força todas as instâncias de VM confidenciais em projetos de serviço a usar IPs internos. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Impedem que todas as instâncias de VM definam um ponto de entrada visível na Internet. É possível modificar isso para projetos específicos no perímetro que precisam de entrada, por exemplo, sua rede de perímetro. |
Para controlar a transferência de dados de rede fora do perímetro, use regras de firewall da VPC.
A seguir
É possível usar o VPC Service Controls para estender o perímetro de segurança e cobrir recursosGoogle Cloud . Para saber mais, consulte Visão geral do VPC Service Controls.