Cloud Functions (1ª generazione) è stato rinominato in Cloud Run Functions (1ª generazione.). Passa alla documentazione delle funzioni Cloud Run.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare i Controlli di servizio VPC (1ª generazione)

Controlli di servizio VPC è una funzionalità di Google Cloud che ti consente di configurare un perimetro sicuro per proteggerti dall'esfiltrazione di dati. Questo mostra come utilizzare Controlli di servizio VPC con le funzioni Cloud Run per aggiungere per una maggiore sicurezza delle tue funzioni.

Per le limitazioni di questa integrazione, consulta la documentazione di VPC Service Controls.

Configurazione a livello di organizzazione

Per utilizzare i Controlli di servizio VPC con le funzioni Cloud Run, puoi configurare un perimetro di servizio a livello di organizzazione. Configurando i criteri dell'organizzazione appropriati, puoi assicurarti che i controlli di VPC Service Controls vengano applicati quando utilizzi le funzioni Cloud Run e che gli sviluppatori possano eseguire il deployment solo di servizi conformi a VPC Service Controls. Scopri di più sull'eredità e sulle violazioni quando imposti un criterio dell'organizzazione.

Configurare un perimetro dei Controlli di servizio VPC

Per configurare un perimetro di servizio, è necessario Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) e Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor).

Segui la guida rapida di Controlli di servizio VPC a:

Creare un perimetro di servizio.

Nota: le funzioni di Cloud Run utilizzano Cloud Build, Artifact Registry, Container Registry (deprecato) e Cloud Storage per per creare e gestire il codice sorgente in un container eseguibile. Se questi servizi sono limitati dal perimetro di servizio, i Controlli di servizio VPC bloccano Le funzioni di Cloud Run vengono create, anche se non viene aggiunto Cloud Run Functions come servizio limitato al perimetro. Per utilizzare le funzioni Cloud Run all'interno di un perimetro di servizio, configura una regola di ingresso per l'account di servizio Cloud Build nel perimetro di servizio. Cloud Build utilizza anche Cloud Logging, che potrebbe non riuscire a registrare correttamente se un perimetro VPC-SC lo limita. Ciò non causerà la presenza di non riesce, ma consigliamo di concedere a Cloud Build l'accesso al servizio con una regola in entrata per garantire il logging corretto.
Aggiungi uno o più progetti al perimetro.

Nota: se utilizzi VPC condiviso, assicurati di aggiungere il progetto host e i progetti di servizio allo stesso perimetro.
Limita l'API Cloud Functions.

Dopo aver configurato il perimetro del servizio, tutte le chiamate all'API con limitazioni vengono controllate per verificare che provengano dallo stesso perimetro.

(Facoltativo) Abilita l'accesso perimetrale per le macchine di sviluppo

Poiché i controlli di Controlli di servizio VPC vengono applicati all'API Cloud Functions, le chiamate all'API Cloud Functions non vanno a buon fine a meno che non provengano dall'interno del perimetro di servizio. Pertanto, per gestire le funzioni con l'API Cloud Functions, l'interfaccia utente delle funzioni Cloud Run nella console Google Cloud o Google Cloud CLI, scegli una delle seguenti opzioni:

Utilizza un computer all'interno del perimetro dei Controlli di servizio VPC. Ad esempio, puoi utilizzare una VM Compute Engine o una macchina on-premise connessa alla tua rete VPC tramite una VPN.
Concedi agli sviluppatori di funzioni l'accesso al perimetro. Ad esempio, puoi creare livelli di accesso che consentano l'accesso al perimetro in base all'indirizzo IP o all'identità utente. Consulta Consentire l'accesso alle risorse protette dall'esterno di un perimetro per ulteriori informazioni.

Configura i criteri dell'organizzazione

Per gestire i criteri dell'organizzazione, è necessario Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).

Per rispettare i Controlli di servizio VPC e proteggerti dall'esfiltrazione di dati, configura i seguenti criteri dell'organizzazione che controllano le restrizioni consentite impostazioni della rete relative Cloud Run funziona nel perimetro di servizio.

Limitare le impostazioni di traffico in entrata consentite

Il criterio dell'organizzazione cloudfunctions.allowedIngressSettings controlla le impostazioni di ingresso che gli sviluppatori possono utilizzare per le funzioni Cloud Run. Imposta questo criterio dell'organizzazione per imporre agli sviluppatori di utilizzare il valore ALLOW_INTERNAL_ONLY:

Console

Vai alla pagina del criterio Impostazioni di importazione consentite nella console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci ALLOW_INTERNAL_ONLY.
Fai clic su Imposta criterio.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  cloudfunctions.allowedIngressSettings ALLOW_INTERNAL_ONLY \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Dopo aver implementato questo criterio dell'organizzazione, tutte le funzioni devono utilizzare il valore ALLOW_INTERNAL_ONLY per le impostazioni di ingresso. Ciò significa che le funzioni HTTP possono accettare solo il traffico proveniente da una rete VPC all'interno del perimetro del servizio. I deployment delle funzioni che specificano un valore diverso non andranno a buon fine.

Richiedi connettore VPC

Il criterio dell'organizzazione cloudfunctions.requireVPCConnector consente di stabilire se un Connettore di accesso VPC serverless è obbligatorio per le funzioni. Configura questo criterio dell'organizzazione per applicarlo vincolo:

Console

Vai alla pagina del criterio Richiedi connettore VPC nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione forzata, seleziona On.
Fai clic su Imposta criterio.

gcloud

Utilizza il comando gcloud resource-manager org-policies enable-enforce:

gcloud resource-manager org-policies enable-enforce \
  cloudfunctions.requireVPCConnector \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Dopo aver implementato questo criterio dell'organizzazione, tutte le funzioni devono utilizzare un connettore di accesso VPC serverless. Deployment di funzioni che non e specificare che un connettore ha esito negativo.

Limitare le impostazioni di traffico in uscita del connettore VPC consentite

Il criterio dell'organizzazione cloudfunctions.allowedVpcConnectorEgressSettings controlla impostazioni di traffico in uscita utilizzabili dagli sviluppatori per le funzioni Cloud Run. Imposta questa organizzazione per consentire solo il valore ALL_TRAFFIC:

Console

Vai alla pagina dei criteri Impostazioni di traffico in uscita del Connettore VPC consentite nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci ALL_TRAFFIC.
Fai clic su Imposta criterio.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  cloudfunctions.allowedVpcConnectorEgressSettings ALL_TRAFFIC \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Dopo l'applicazione di questo criterio dell'organizzazione, tutte le funzioni devono utilizzare il valore ALL_TRAFFIC per le impostazioni di uscita. Ciò significa che le funzioni devono instradare tutto il traffico in uscita tramite la rete VPC. Funzione che specifica un valore diverso avranno esito negativo.

Se combinato con il criterio dell'organizzazione cloudfunctions.requireVPCConnector, questo obbliga tutto il traffico in uscita a attraversare la rete VPC, dove è sometido alle regole di routing e firewall configurate.

Configurazione a livello di progetto

Per i singoli progetti all'interno del perimetro di servizio, devi eseguire configurazioni aggiuntive per utilizzare i Controlli di servizio VPC.

Configura reti VPC

Per accedere alle API e ai servizi Google riducendo al contempo i rischi di esfiltrazione di dati, le richieste devono essere inviate all'intervallo IP virtuale (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com).

Per ogni rete VPC di un progetto, segui questi passaggi per bloccare il traffico in uscita, ad eccezione del traffico verso l'intervallo VIP limitato:

Configura le regole del firewall per impedire ai dati di uscire dalla rete VPC:

Attenzione: la mancata configurazione delle regole firewall può provocare funzioni vulnerabili all'esfiltrazione di dati.
- Creare una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.
  
  Nota: assicurati che la regola firewall di esclusione di tutto il traffico in uscita abbia una priorità successiva a 1000. In caso contrario, il traffico dal connettore di accesso VPC serverless alla funzione verrà bloccato.
- Crea una regola di uscita consentita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che abbia una priorità prima della regola di esclusione di uscita che hai appena creato, in modo da consentire l'uscita solo all'intervallo VIP limitato.
Configura il DNS per risolvere *.googleapis.com in restricted.googleapis.com.

Configura il DNS con un record A che mappa *.cloudfunctions.net al Intervallo IP 199.36.153.4/30. Puoi farlo con Cloud DNS:

gcloud dns managed-zones create ZONE_NAME \
--visibility=private \
--networks=https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/VPC_NAME \
--description=none \
--dns-name=cloudfunctions.net

gcloud dns record-sets transaction start --zone=ZONE_NAME

gcloud dns record-sets transaction add --name=*.cloudfunctions.net. \
--type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
--zone=ZONE_NAME \
--ttl=300

gcloud dns record-sets transaction execute --zone=ZONE_NAME

Abilitare l'accesso privato Google per la subnet del Connettore VPC.

Nota: questo passaggio è necessario solo se hai specificato la tua subnet al momento della creazione del connettore VPC. Se invece hai creato il connettore utilizzando un intervallo IP personalizzato, è stata creata per te una subnet gestita da Google con l'accesso privato Google abilitato.

A questo punto, le richieste provenienti dall'interno della rete VPC:

non sono in grado di uscire dalla rete VPC, impedendo il traffico in uscita al di fuori del perimetro del servizio.
può raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, impedire l'esfiltrazione tramite le API di Google.

Concedi all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC

Le funzioni Cloud Run utilizzano Cloud Build per creare il codice sorgente in un container eseguibile. Per utilizzare le funzioni Cloud Run con Controlli di servizio VPC, devi configurare l'account di servizio Cloud Build in modo che abbia accesso al perimetro del servizio:

Trova il nome dell'account di servizio

Utilizza la pagina IAM nella console Google Cloud per trovare l'account di servizio Cloud Build.

Apri IAM
Assicurati che nel menu a discesa del progetto sia visualizzato il progetto corretto.
Cerca cloudbuild.gserviceaccount.com. L'indirizzo email nel modulo PROJECT_NUMBER@cloudbuild.gserviceaccount.com è il il nome dell'account di servizio.

Concedi all'account di servizio l'accesso al perimetro di servizio

Una volta ottenuto il nome dell'account di servizio, segui la guida Limitare l'accesso in base all'utente o all'account di servizio per creare un livello di accesso per l'account di servizio. Poi segui Aggiunta di un livello di accesso a un perimetro esistente per aggiungere il livello di accesso al perimetro di servizio.

Esegui il deployment di funzioni conformi ai Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC per le funzioni Cloud Run, devi assicurarti che tutte le funzioni sottoposte a deployment all'interno del perimetro di servizio rispettino i criteri dell'organizzazione specificati. Ciò significa che:

Tutte le funzioni devono utilizzare un connettore di accesso VPC serverless. Per ulteriori informazioni, consulta Connessione a una rete VPC.
Tutte le funzioni devono consentire solo il traffico da origini interne. Per ulteriori informazioni, consulta Impostazioni di importazione.
Tutte le funzioni devono instradare tutto il traffico in uscita tramite la rete VPC. Per ulteriori informazioni, consulta Impostazioni di uscita.

I deployment delle funzioni che non soddisfano questi criteri avranno esito negativo.

Controlla le funzioni esistenti per garantire la conformità ai Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC, la conformità delle nuove funzioni create nei progetti all'interno del perimetro di servizio viene verificata automaticamente. Tuttavia, per evitare interruzioni dei carichi di lavoro esistenti, le funzioni esistenti continuano a funzionare e potrebbero non essere conformi ai criteri dell'organizzazione.

Ti consigliamo di eseguire il controllo delle funzioni esistenti e di aggiornarle o di ridistribuirle, se necessario. Per facilitare questo processo, puoi creare uno script che utilizza l'API Cloud Functions per elencare le funzioni ed evidenziare a quelli che non specificano le impostazioni di rete corrette.

Utilizzo di Controlli di servizio VPC con funzioni esterne a un perimetro

Le sezioni precedenti si applicano allo scenario in cui esegui il deployment delle funzioni di Cloud Run all'interno di un perimetro di servizio dei Controlli di servizio VPC.

Se devi eseguire il deployment di una funzione al di fuori di un perimetro di servizio, ma la funzione richiede l'accesso alle risorse all'interno di un perimetro, utilizza la seguente configurazione:

Concedi all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC.
Concedi all'account di servizio di runtime della funzione l'accesso al perimetro. Puoi farlo creazione di un livello di accesso e aggiungendo il livello di accesso al perimetro di servizio, o per creazione di un criterio in entrata lungo il perimetro.
Connetti la funzione a una rete VPC.
Instrada tutto il traffico in uscita dalla funzione tramite la rete VPC. Consulta Impostazioni del traffico in uscita per ulteriori informazioni.

Dopo aver completato questa configurazione, la funzione potrà raggiungere e risorse protette dal perimetro.