Stai visualizzando la documentazione di Google Cloud Functions (2ª generazione.). Passa alla 1ª generazione generazione.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per proteggersi dall'esfiltrazione di dati. Questo mostra come utilizzare Controlli di servizio VPC con Cloud Functions per aggiungere per una maggiore sicurezza delle tue funzioni.

Per i limiti di questa integrazione, consulta Documentazione sui Controlli di servizio VPC.

Configurazione a livello di organizzazione

Per utilizzare Controlli di servizio VPC con Cloud Functions, un perimetro di servizio a livello di organizzazione. Configurando le app all'interno dei criteri dell'organizzazione, puoi assicurarti che i Controlli di servizio VPC vengono applicati forzatamente quando si utilizzano Cloud Functions e che gli sviluppatori possono di eseguire il deployment solo di servizi conformi ai Controlli di servizio VPC. Scopri di più su ereditarietà e violazioni quando imposti un criterio dell'organizzazione.

Configurare un perimetro dei Controlli di servizio VPC

Per configurare un perimetro di servizio, è necessario Visualizzatore organizzazione (roles/resourcemanager.organizationViewer) e Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor).

Segui la guida rapida di Controlli di servizio VPC a:

Creare un perimetro di servizio.

Nota: Cloud Functions utilizza Cloud Build, Artifact Registry, Container Registry (deprecato) e Cloud Storage per per creare e gestire il codice sorgente in un container eseguibile. Se questi servizi sono limitati dal perimetro di servizio, i Controlli di servizio VPC bloccano Cloud Functions, anche se Cloud Functions non viene aggiunto come servizio limitato al perimetro. Per utilizzare Cloud Functions configura una regola in entrata all'interno di un perimetro di servizio per l'account di servizio Cloud Build nel tuo perimetro di servizio. Cloud Build utilizza inoltre Cloud Logging, che potrebbe non riuscire a registrare correttamente se un perimetro VPC-SC lo limita. Ciò non causerà la presenza di non riesce, ma consigliamo di concedere a Cloud Build l'accesso al servizio con una regola in entrata per garantire il logging corretto.
Aggiungi uno o più progetti al perimetro.

Nota: se utilizzi un VPC condiviso, assicurati assicurati di aggiungere il progetto host e i progetti di servizio allo stesso perimetro.
Limita l'API Cloud Functions e l'API Cloud Run Admin.

Dopo aver configurato il perimetro di servizio, tutte le chiamate all'API con restrizioni vengono controllati per garantire che le chiamate provengano dall'interno dello stesso perimetro.

(Facoltativo) Abilita l'accesso perimetrale per le macchine di sviluppo

Poiché i controlli dei Controlli di servizio VPC vengono applicati per l'API Cloud Functions, all'API Cloud Functions non riescono a meno che non provengano dall'interno perimetro di servizio. Di conseguenza, per gestire le funzioni con l'API Cloud Functions, alla UI di Cloud Functions nella console Google Cloud oppure Google Cloud CLI, scegli una delle seguenti opzioni:

Utilizza una macchina all'interno del perimetro dei Controlli di servizio VPC. Ad esempio, puoi usare una VM di Compute Engine o una macchina on-premise connessa tramite VPN.
Concedi agli sviluppatori di funzioni l'accesso al perimetro. Ad esempio, puoi creano livelli di accesso che abilitano l'accesso al perimetro in base all'indirizzo IP e l'identità utente. Consulta Consentire l'accesso alle risorse protette dall'esterno di un perimetro per ulteriori informazioni.

Configura i criteri dell'organizzazione

Per gestire i criteri dell'organizzazione, è necessario Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).

Per rispettare i Controlli di servizio VPC e proteggerti dall'esfiltrazione di dati, configura i seguenti criteri dell'organizzazione che controllano le restrizioni consentite impostazioni della rete relative a Cloud Functions nel perimetro di servizio.

Limita impostazioni di traffico in entrata consentite

Il criterio dell'organizzazione run.allowedIngress consente di controllare impostazioni del traffico in entrata che gli sviluppatori possono usare per Cloud Functions. Imposta questa organizzazione per imporre agli sviluppatori di utilizzare il valore ALLOW_INTERNAL_ONLY:

Console

Vai alla pagina del criterio Impostazioni di traffico in entrata consentite nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione dei criteri, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci ALLOW_INTERNAL_ONLY.
Fai clic su Imposta criterio.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedIngress ALLOW_INTERNAL_ONLY \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Una volta applicato questo criterio dell'organizzazione, tutte le funzioni devono utilizzare il valore ALLOW_INTERNAL_ONLY per le impostazioni di traffico in entrata. Ciò significa che le funzioni HTTP può accettare solo il traffico proveniente da una rete VPC all'interno del perimetro di servizio. I deployment delle funzioni che specificano un valore diverso avranno esito negativo.

Limita le impostazioni di traffico in uscita consentite del connettore VPC

Il criterio dell'organizzazione run.allowedVPCEgress consente di controllare impostazioni di traffico in uscita che gli sviluppatori possono usare per Cloud Functions. Imposta questa organizzazione per consentire solo il valore ALL_TRAFFIC:

Console

Vai alla pagina dei criteri Impostazioni di traffico in uscita del Connettore VPC consentite nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Gestisci criterio.
Nella pagina Modifica criterio, seleziona Personalizza.
In Applicazione dei criteri, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci ALL_TRAFFIC.
Fai clic su Imposta criterio.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedVPCEgress ALL_TRAFFIC \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Una volta applicato questo criterio dell'organizzazione, tutte le funzioni devono utilizzare il valore ALL_TRAFFIC per le relative impostazioni di traffico in uscita. Ciò significa che le funzioni devono instradare tutto il traffico in uscita attraverso la rete VPC. Funzione che specifica un valore diverso avranno esito negativo.

Insieme al criterio dell'organizzazione cloudfunctions.requireVPCConnector, obbliga tutto il traffico in uscita a attraversare la rete VPC dove si trova in base alle regole di routing e firewall configurate.

Configurazione a livello di progetto

Per i singoli progetti all'interno del perimetro di servizio, devi eseguire configurazioni aggiuntive per utilizzare i Controlli di servizio VPC.

Configura reti VPC

Per accedere alle API e ai servizi Google riducendo al contempo i rischi di esfiltrazione di dati, devono essere inviate intervallo di indirizzi IP virtuali (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com).

Per ogni rete VPC di un progetto, segui questi passaggi per bloccare traffico in uscita, tranne il traffico verso l'intervallo VIP limitato:

Configura le regole firewall per impedire ai dati di uscire dalla rete VPC:

Attenzione: la mancata configurazione delle regole firewall può provocare funzioni vulnerabili all'esfiltrazione di dati.
- Creare una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.
  
  Nota: assicurati che la regola firewall per il rifiuto di tutto il traffico in uscita abbia una priorità successiva a 1000. In caso contrario, il traffico dall'accesso VPC serverless alla funzione sarà bloccato.
- Crea una regola di traffico in uscita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che abbia una priorità prima del traffico di negazione in uscita appena creata, consente il traffico in uscita solo verso il VIP con restrizioni intervallo.
Configura il DNS per risolvere *.googleapis.com in restricted.googleapis.com.

Configura il DNS con un record A che mappa *.cloudfunctions.net al Intervallo IP 199.36.153.4/30. Puoi farlo con Cloud DNS:

gcloud dns managed-zones create ZONE_NAME \
--visibility=private \
--networks=https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/VPC_NAME \
--description=none \
--dns-name=cloudfunctions.net

gcloud dns record-sets transaction start --zone=ZONE_NAME

gcloud dns record-sets transaction add --name=*.cloudfunctions.net. \
--type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
--zone=ZONE_NAME \
--ttl=300

gcloud dns record-sets transaction execute --zone=ZONE_NAME

Abilitare l'accesso privato Google per la subnet del Connettore VPC.

Nota: questa operazione è necessaria solo se hai specificato la tua subnet quando la creazione del Connettore VPC. Se invece hai creato il connettore utilizzando un intervallo IP personalizzato, una subnet gestita è stata creata per te con l'accesso privato Google abilitato.

A questo punto, le richieste provenienti dall'interno della rete VPC:

non possono uscire dalla rete VPC, per impedire il traffico in uscita al di fuori del perimetro di servizio.
può raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, prevenire l'esfiltrazione tramite le API di Google.

Concedi all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC

Cloud Functions utilizza Cloud Build per creare il codice sorgente in un container eseguibile. Per utilizzare Cloud Functions con Controlli di servizio VPC, devi configurare il tuo account di servizio Cloud Build (predefinito o personalizzato) per avere l'accesso al perimetro di servizio.

Trova il nome dell'account di servizio

Se utilizzi l'account di servizio Cloud Build predefinito, puoi trovare i relativi nome come segue:

Utilizza la pagina IAM nella console Google Cloud per trovare Cloud Build l'account di servizio.

Apri IAM
Assicurati che nel menu a discesa del progetto sia visualizzato il progetto corretto.
Cerca cloudbuild.gserviceaccount.com. L'indirizzo email nel modulo PROJECT_NUMBER@cloudbuild.gserviceaccount.com è il il nome dell'account di servizio.

Se disponi di un account di servizio Cloud Build personalizzato, usa questo nome.

Concedi all'account di servizio l'accesso al perimetro di servizio

Una volta che hai il nome dell'account di servizio, segui la guida alla pagina Limitare l'accesso per account utente o di servizio per creare un livello di accesso per l'account di servizio. Poi segui Aggiunta di un livello di accesso a un perimetro esistente per aggiungere il livello di accesso al perimetro di servizio.

Esegui il deployment di funzioni conformi ai Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC per Cloud Functions, devi assicurarti che tutte le funzioni sottoposte a deployment all'interno del perimetro di servizio rispettino i criteri dell'organizzazione specificati. Ciò significa che:

Tutte le funzioni devono utilizzare un connettore di accesso VPC serverless. Consulta Connessione a una rete VPC per ulteriori informazioni.
Tutte le funzioni devono consentire solo il traffico proveniente da sorgenti interne. Consulta Impostazioni Ingress per ulteriori informazioni.
Tutte le funzioni devono instradare tutto il traffico in uscita attraverso rete VPC. Consulta Impostazioni del traffico in uscita per ulteriori informazioni.

I deployment delle funzioni che non soddisfano questi criteri avranno esito negativo.

Controllare le funzioni esistenti per garantire la conformità dei Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC, vengono create nuove funzioni nei progetti viene verificata automaticamente la conformità del perimetro di servizio. Tuttavia, per evitare interruzioni dei carichi di lavoro esistenti, le funzioni esistenti continuano a funzionare e potrebbero non rispettare i criteri dell'organizzazione.

Ti consigliamo di controllare le funzioni esistenti e di aggiornare o rieseguire il deployment se necessario. Per facilitare questo processo, puoi creare uno script che utilizza l'API Cloud Functions per elencare le funzioni ed evidenziare a quelli che non specificano le impostazioni di rete corrette.

Utilizzo di Controlli di servizio VPC con funzioni all'esterno di un perimetro

Le sezioni precedenti si applicano allo scenario in cui esegui il deployment di Cloud Functions all'interno di un perimetro di servizio dei Controlli di servizio VPC.

Se devi eseguire il deployment di una funzione al di fuori del perimetro di servizio, ma richiede l'accesso alle risorse all'interno di un perimetro, utilizza la seguente configurazione:

Concedi all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC.
Concedere alla funzione account di servizio di runtime che consente l'accesso al perimetro. Puoi farlo creazione di un livello di accesso e aggiungendo il livello di accesso al perimetro di servizio, o per creazione di un criterio in entrata lungo il perimetro.
Connetti la funzione a una rete VPC.
Instrada tutto il traffico in uscita dalla funzione attraverso il VPC in ogni rete. Consulta Impostazioni del traffico in uscita per ulteriori informazioni.

Dopo aver completato questa configurazione, la funzione potrà raggiungere e risorse protette dal perimetro.