Para simplificar as pesquisas e melhorar sua experiência com a documentação, estamos dividindo a documentação da 1ª e 2ª geração em conjuntos separados.

Configurar o VPC Service Controls

O VPC Service Controls é um recurso do Google Cloud em que é possível configurar um perímetro seguro para evitar a exfiltração de dados. Neste guia, explicamos como usar o VPC Service Controls com o Cloud Functions para aumentar a segurança das suas funções.

Para limitações dessa integração, consulte a documentação do VPC Service Controls.

Configuração no nível da organização

Para usar o VPC Service Controls com o Cloud Functions, configure um perímetro de serviço no nível da organização. Ao configurar políticas da organização apropriadas, você garante que as verificações do VPC Service Controls sejam aplicadas ao usar o Cloud Functions e que os desenvolvedores só possam implantar serviços compatíveis com o VPC Service Controls. Saiba mais sobre herança e violações ao definir uma política da organização.

Configure um perímetro do VPC Service Controls

Para configurar um perímetro de serviço, é preciso ter os papéis de Visualizador da organização (roles/resourcemanager.organizationViewer) e Editor do Access Context Manager (roles/accesscontextmanager.policyEditor).

Siga o Guia de início rápido do VPC Service Controls para:

criar um perímetro de serviço;

Observação: o Cloud Functions usa o Cloud Build, o Artifact Registry, o Container Registry (descontinuado) e o Cloud Storage para criar e gerenciar seu código-fonte em um contêiner executável. Se algum desses serviços for restrito pelo perímetro de serviço, o VPC Service Controls bloqueará o build do Cloud Functions, mesmo que o Cloud Functions não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud Functions dentro de um perímetro de serviço, configure uma regra de entrada com relação à conta de serviço do Cloud Build nesse perímetro. O Cloud Build também usa o Cloud Logging, que pode passar por falhas de registro quando um perímetro VPC-SC o restringe. Isso não causará falhas nos builds, mas é recomendado conceder ao Cloud Build acesso ao perímetro de serviço com uma regra de entrada para garantir a geração apropriada de registros.
adicionar um ou mais projetos ao perímetro;

Observação: Se você estiver usando VPC compartilhada adicione o projeto host e os projetos de serviço ao mesmo perímetro.
Restrinja a API Cloud Functions (1ª geração) ou a API Cloud Functions e a API Cloud Run Admin (2ª geração).

Depois de configurar o perímetro de serviço, todas as chamadas para a API restrita são verificadas para garantir que sejam originadas de dentro do mesmo perímetro.

Opcional: ativar o acesso do perímetro para máquinas de desenvolvimento

Como as verificações do VPC Service Controls são aplicadas à API Cloud Functions, as chamadas à API Cloud Functions resultam em erro, a menos que sejam originadas do perímetro de serviço. Assim, para gerenciar funções com a API Cloud Functions, a IU do Cloud Functions no Console do Google Cloud ou a Google Cloud CLI, escolha uma das seguintes opções:

Use uma máquina dentro do perímetro do VPC Service Controls. Por exemplo, use uma VM do Compute Engine ou um computador no local conectado à rede VPC via VPN.
Conceda aos desenvolvedores de funções acesso ao perímetro. Por exemplo, crie níveis de acesso que permitam o acesso ao perímetro com base no endereço IP ou na identidade do usuário. Consulte Como conceder acesso a recursos protegidos de fora do perímetro para mais informações.

Configure políticas da organização

Para gerenciar as políticas da organização, é necessário o papel de Administrador da política da organização (roles/orgpolicy.policyAdmin).

Para estar alinhado ao VPC Service Controls e evitar a exfiltração de dados, estabeleça as seguintes políticas da organização que controlam as configurações de rede que podem ser permitidas para o Cloud Functions no perímetro de serviço.

Restrinja configurações de entrada permitidas

A política organizacional cloudfunctions.allowedIngressSettings controla as configurações de entrada que os desenvolvedores podem usar para o Cloud Functions. Configure esta política para exigir que os desenvolvedores usem o valor ALLOW_INTERNAL_ONLY:

Console

Acesse a página Configurações de entrada permitidas da política no Console do Google Cloud:

Acessar a política da organização
Clique em Gerenciar política.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione Substituir.
Em Valores da política, selecione Personalizada.
Em Tipo de política, selecione Permitir.
Em Valores personalizados, digite ALLOW_INTERNAL_ONLY.
Clique em Definir política.

gcloud

Use o comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  cloudfunctions.allowedIngressSettings ALLOW_INTERNAL_ONLY \
  --organization ORGANIZATION_ID

ORGANIZATION_ID é o ID da organização.

Assim que essa política da organização estiver em vigor, todas as funções precisarão usar o valor ALLOW_INTERNAL_ONLY nas configurações de entrada. Isso significa que as funções HTTP só podem aceitar tráfego proveniente de uma rede VPC dentro do perímetro de serviço. As implantações de função que especificam um valor diferente não funcionarão.

Exigir conector VPC

A política da organização cloudfunctions.requireVPCConnector controla se um conector de acesso VPC sem servidor é necessário para as funções. Defina a política da organização para aplicar essa restrição:

Console

Acesse a página Exigir conector VPC da política no Console do Google Cloud:

Acessar a política da organização
Clique em Gerenciar política.
Na página Editar política, selecione Personalizar.
Em Aplicação, selecione Ativada.
Clique em Definir política.

gcloud

Use o comando gcloud resource-manager org-policies enable-enforce:

gcloud resource-manager org-policies enable-enforce \
  cloudfunctions.requireVPCConnector \
  --organization ORGANIZATION_ID

ORGANIZATION_ID é o ID da organização.

Assim que essa política da organização estiver em vigor, todas as funções deverão usar um conector de acesso VPC sem servidor. As implantações de função que não especificam um conector não vão funcionar.

Restringir as configurações de saída do conector VPC permitidas

A política organizacional cloudfunctions.allowedVpcConnectorEgressSettings controla as configurações de saída que os desenvolvedores têm permissão para usar no Cloud Functions. Defina a política da organização para permitir apenas o valor ALL_TRAFFIC:

Console

Acesse a página Configurações de saída do Conector VPC permitidas da política no Console do Google Cloud:

Acessar a política da organização
Clique em Gerenciar política.
Na página Editar política, selecione Personalizar.
Em Aplicação da política, selecione Substituir.
Em Valores da política, selecione Personalizada.
Em Tipo de política, selecione Permitir.
Em Valores personalizados, digite ALL_TRAFFIC.
Clique em Definir política.

gcloud

Use o comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  cloudfunctions.allowedVpcConnectorEgressSettings ALL_TRAFFIC \
  --organization ORGANIZATION_ID

ORGANIZATION_ID é o ID da organização.

Assim que essa política da organização estiver em vigor, todas as funções deverão usar o valor ALL_TRAFFIC para as configurações de saída. Isso significa que as funções precisam rotear todo o tráfego de saída pela rede VPC. As implantações de função que especificam um valor diferente não funcionarão.

Combinado com a política da organização cloudfunctions.requireVPCConnector, isso força todo o tráfego de saída a atravessar a rede VPC em que está sujeito às regras de firewall e roteamento configuradas.

Configuração no nível do projeto

Para projetos individuais no perímetro de serviço, realize outras configurações para usar o VPC Service Controls.

Configurar redes VPC

Para acessar as APIs e os serviços do Google e, ao mesmo tempo, reduzir os riscos de exfiltração de dados, as solicitações precisam ser enviadas para o intervalo de IP virtual (VIP, na sigla em inglês) restrito, 199.36.153.4/30 (restricted.googleapis.com).

Para cada rede VPC de um projeto, siga estas etapas para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito:

Configure as regras de firewall para impedir que os dados saiam da rede VPC:

Atenção: falha na configuração correta das regras de firewall pode tornar suas funções vulneráveis à exfiltração de dados.
- Crie uma regra de saída de negação que bloqueie todo o tráfego de saída.
  
  Observação: verifique se a regra de firewall de saída de negação de todas as saídas têm prioridade após 1.000. Caso contrário, o tráfego do conector de acesso VPC sem servidor à função será bloqueado.
- Crie uma regra de saída de permissão em que seja possível rotear o tráfego para 199.36.153.4/30 na porta 443 do TCP. Confira se ele tem uma prioridade antes da regra de saída de negação criada. Isso permite a saída somente para o intervalo VIP restrito.
Configure o DNS para resolver *.googleapis.com em restricted.googleapis.com.

Configure o DNS com um mapeamento de registro A *.cloudfunctions.net no intervalo de IP 199.36.153.4/30. Faça isso com o Cloud DNS:

gcloud dns managed-zones create ZONE_NAME \
--visibility=private \
--networks=https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/VPC_NAME \
--description=none \
--dns-name=cloudfunctions.net

gcloud dns record-sets transaction start --zone=ZONE_NAME

gcloud dns record-sets transaction add --name=*.cloudfunctions.net. \
--type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
--zone=ZONE_NAME \
--ttl=300

gcloud dns record-sets transaction execute --zone=ZONE_NAME

Ative o Acesso privado do Google para a sub-rede do conector de VPC.

Observação: isso só será necessário se você especificar sua própria sub-rede ao criar o conector de VPC. Se, em vez disso, você criou o conector usando um intervalo de IP personalizado, uma sub-rede gerenciada pelo Google foi criada para você com o Acesso privado do Google ativado.

Nesta etapa, as solicitações provenientes da rede VPC:

não podem sair da rede VPC, impedindo a saída fora do perímetro de serviço;
só podem alcançar APIs e serviços do Google que verificam o VPC Service Controls, evitando a exfiltração pelas APIs do Google.

Conceder à conta de serviço do Cloud Build acesso ao perímetro do VPC Service Controls

O Cloud Functions usa o Cloud Build para criar o código-fonte em um contêiner executável. Para usar o Cloud Functions com o VPC Service Controls, você precisa configurar sua conta de serviço do Cloud Build (seja padrão ou personalizada) para ter acesso ao perímetro de serviço.

Encontrar o nome da conta de serviço

Se você estiver usando a conta de serviço padrão do Cloud Build, encontre o nome dela da seguinte maneira:

Use a página do IAM no console do Google Cloud para encontrar a conta de serviço do Cloud Build.

Abrir o IAM
Verifique se o projeto correto aparece na lista suspensa.
Pesquisar por cloudbuild.gserviceaccount.com. O endereço de e-mail no formulário PROJECT_NUMBER@cloudbuild.gserviceaccount.com é o nome da conta de serviço.

Se você tiver uma conta de serviço personalizada do Cloud Build, use esse nome.

Conceder à conta de serviço acesso ao perímetro de serviço

Depois de descobrir o nome da conta de serviço, siga o guia em Limitar o acesso por usuário ou conta de serviço para criar um nível de acesso para a conta de serviço. Consulte Como adicionar um nível de acesso a um perímetro atual para incluir o nível de acesso no perímetro de serviço.

Implante funções que sigam o VPC Service Controls

Assim que o VPC Service Controls estiver configurado para o Cloud Functions, confira se todas as funções implantadas no perímetro de serviço obedecem às políticas da organização especificadas. Isso significa que:

Todas as funções precisam usar um conector acesso VPC sem servidor. Consulte Como se conectar a uma rede VCP para mais informações.
Todas as funções precisam permitir somente o tráfego de fontes internas. Consulte Configurações de entrada para mais informações.
Todas as funções precisam rotear todo o tráfego de saída pela rede VPC. Consulte Configurações de saída para mais informações.

As implantações de funções que não atenderem a esses critérios vão falhar.

Inspecione as funções atuais para garantir a conformidade com o VPC Service Controls

Depois de configurar o VPC Service Controls, as funções novas criadas em projetos dentro do perímetro de serviço são automaticamente verificadas para fins de conformidade. No entanto, para evitar a interrupção das cargas de trabalho em andamento, as funções atuais continuam funcionando e podem não estar em conformidade com as políticas da organização.

Recomenda-se inspecionar as funções atuais e atualizar ou implantar novamente as funções, conforme necessário. Para facilitar esse processo, crie um script que use a API Cloud Functions para listar as funções e destacar as que não especificam as configurações de rede adequadas.

Como usar o VPC Service Controls com funções fora de um perímetro

As seções precedente se aplicam ao cenário em que você implanta o Cloud Functions em um perímetro de serviço do VPC Service Controls.

Se você precisar implantar uma função fora de um perímetro de serviço, mas a função exigir acesso a recursos dentro de um perímetro, use a seguinte configuração:

Conceder à conta de serviço do Cloud Build acesso ao perímetro do VPC Service Controls
Conceda à conta de serviço do ambiente de execução a função para o perímetro. Para isso, você pode: criar um nível de acesso e adicionar o nível de acesso ao perímetro de serviço; ou criar uma política de entrada no perímetro.
Conecte a função a uma rede VPC.
Encaminhe todo o tráfego de saída da função pela rede VPC. Consulte Configurações de saída para mais informações.

Depois de concluir essa configuração, a função poderá alcançar os recursos protegidos pelo perímetro.