Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Controlli di servizio VPC

Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per proteggersi dall'esfiltrazione di dati. Sia l'URL run.app predefinito sia i domini personalizzati sono soggetti ai Controlli di servizio VPC. Questa guida mostra come utilizzare i Controlli di servizio VPC con Cloud Run per aggiungere ulteriore sicurezza ai tuoi servizi.

Limitazioni e avvertenze

Per Artifact Registry o Container Registry:
- Il registro in cui archivi il container deve trovarsi negli stessi Controlli di servizio VPC perimetro di servizio come progetto in cui stai eseguendo il deployment.
- Il codice in fase di compilazione deve trovarsi nello stesso perimetro del registry a cui viene eseguito il push del contenitore.
Il deployment continuo non è disponibile per i progetti all'interno di un Controlli di servizio VPC perimetrale.
Quando vengono invocati i servizi Cloud Run, l'applicazione delle norme dei Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Tali richieste presentano le seguenti limitazioni:
- Regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano IAM e non sono supportate.
- I livelli di accesso per i perimetri di Controlli di servizio VPC che utilizzano i principali IAM non sono supportati.

Configurare l'organizzazione per supportare i Controlli di servizio VPC

Per utilizzare Controlli di servizio VPC con Cloud Run, è possibile configurare un perimetro di servizio a livello di organizzazione. Configurando le app dell'organizzazione, puoi assicurarti che Controlli di servizio VPC vengono applicati forzatamente quando si utilizza Cloud Run e che gli sviluppatori possono di eseguire il deployment solo di servizi conformi ai Controlli di servizio VPC. Scopri di più sull'eredità e sulle violazioni quando imposti un criterio dell'organizzazione.

Configurare un perimetro dei Controlli di servizio VPC

I passaggi seguenti spiegano come configurare un perimetro dei Controlli di servizio VPC.

Assicurati di disporre dei ruoli necessari per amministrare i Controlli di servizio VPC.
Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai alla pagina Controlli di servizio VPC
Se richiesto, seleziona la tua Organizzazione.
Fai clic su Gestisci criteri di accesso. Seleziona un criterio di accesso o creane uno. Il criterio di accesso deve includere tutti i progetti che vuoi aggiungere al perimetrale.
Fai clic su Nuovo perimetro. Digita un nome per il perimetro.
Seleziona i progetti che vuoi proteggere all'interno del perimetro.
1. Fai clic su Progetti.
2. Nella finestra Aggiungi progetti, seleziona i progetti da aggiungere.
  
  Se utilizzi VPC condiviso, assicurati di aggiungere il progetto host e i progetti di servizio.
3. Fai clic sul pulsante Aggiungi progetti.
Seleziona Cloud Run come servizio che vuoi proteggere all'interno del perimetro.
1. Fai clic su Servizi con limitazioni.
2. Fai clic su Aggiungi servizi.
3. Cerca "Cloud Run". Quindi seleziona API Cloud Run Admin.
4. Fai clic su Aggiungi API Cloud Run Admin.
Abilita l'accesso per gli sviluppatori.

L'attivazione dei Controlli di servizio VPC per Cloud Run impedisce a tutti accesso dall'esterno del perimetro, inclusa la visualizzazione e il deployment dei servizi da macchine non all'interno del perimetro, come i laptop aziendali. Affinché gli sviluppatori e gli operatori delle applicazioni possano visualizzare ed eseguire il deployment delle risorse all'interno del perimetro, devi configurare il criterio di ingresso del perimetro:
1. Fai clic su Criterio in entrata.
2. Specifica Origine, Identità, Progetto e Servizi.
3. Fai clic su Aggiungi regola.
Se la tua organizzazione utilizza Gestore contesto accesso, puoi anche abilitare l'accesso per gli sviluppatori impostando i livelli di accesso.
Fai clic su Crea perimetro.

Dopo aver completato questi passaggi, tutte le chiamate all'API Cloud Run Admin è stata selezionata per verificare che provengano dallo stesso perimetro.

Configura i criteri dell'organizzazione

Per gestire i criteri dell'organizzazione, devi disporre del ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).

Per rispettare i Controlli di servizio VPC e proteggerti dall'esfiltrazione dei dati, configura i seguenti criteri dell'organizzazione che controllano le impostazioni di ingresso e uscita consentite per Cloud Run nel perimetro di servizio.

Limita impostazioni di traffico in entrata consentite

Il criterio dell'organizzazione run.allowedIngress consente di controllare impostazioni del traffico in entrata che gli sviluppatori possono usare per Cloud Run. Imposta questo criterio dell'organizzazione per imporre agli sviluppatori di utilizzare il valore internal se vuoi consentire solo richieste interne o internal-and-cloud-load-balancing se vuoi consentire le richieste tramite un bilanciatore del carico delle applicazioni esterno, con i controlli di accesso gestiti da Cloud Load Balancing.

Per ulteriori informazioni su queste impostazioni, consulta Limitare l'accesso in entrata per Cloud Run

Console

Vai alla pagina del criterio Impostazioni di traffico in entrata consentite (Cloud Run) nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci internal. Se vuoi consentire anche Per il traffico di Cloud Load Balancing, fai clic su Nuovo valore del criterio e inserisci internal-and-cloud-load-balancing.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedIngress internal \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione. Se vuoi consentire anche il traffico di Cloud Load Balancing, sostituisci run.allowedIngress internal con run.allowedIngress internal-and-cloud-load-balancing.

Una volta implementato questo criterio dell'organizzazione, tutti i servizi devono utilizzare i valori consentiti per le impostazioni di traffico in entrata. Ciò significa che i servizi Cloud Run possono accettare solo il traffico proveniente da una rete VPC all'interno del perimetro del servizio. I tentativi di impostare il traffico in entrata su un valore diverso Essere bloccato dai criteri dell'organizzazione.

Limita impostazioni di traffico VPC in uscita consentite

Il criterio dell'organizzazione run.allowedVPCEgress controlla le impostazioni di uscita che gli sviluppatori possono utilizzare per Cloud Run. Imposta questa organizzazione per consentire solo il valore all-traffic:

Console

Vai alla pagina del criterio Impostazioni di traffico VPC in uscita consentite (Cloud Run) nella Console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci all-traffic.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedVPCEgress all-traffic \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è l'ID organizzazione.

Comportamento dopo l'impostazione del criterio dell'organizzazione

Una volta implementato il criterio dell'organizzazione, tutte le nuove revisioni devono utilizzare il traffico VPC diretto in uscita o un connettore di accesso VPC serverless e devono utilizzare il valore all-traffic per le impostazioni di uscita. Questa combinazione instrada tutto il traffico in uscita da queste revisioni attraverso un VPC sottoponendo questo traffico al firewall della rete VPC regole e altre impostazioni. Deployment di nuovi revisioni che specificano un valore diverso Sono bloccati dal criterio dell'organizzazione.

Migrazioni dei criteri dell'organizzazione e del traffico

Puoi continuare per i servizi esistenti prima dell'impostazione del criterio dell'organizzazione per eseguire la migrazione del traffico verso revisioni non conformi fino a quando tutte le revisioni non saranno sono diventate conformi.

Questo comportamento ti permette di testare e implementare gradualmente nuove revisioni rispettino le norme. Quando tutte le revisioni che gestiscono il traffico sono conformi delle norme, qualsiasi tentativo di trasferire il traffico verso revisioni non conformi bloccato dal criterio dell'organizzazione.

Configura il progetto per supportare i Controlli di servizio VPC

Per i singoli progetti all'interno del perimetro di servizio, devi eseguire una configurazione aggiuntiva per utilizzare Controlli di servizio VPC.

Configura reti VPC

Questa sezione mostra come configurare la rete VPC in modo che le richieste inviate ai domini googleapis.com regolari vengano inoltrate automaticamente all'intervallo IP virtuale (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com), in cui viene eseguito il servizio Cloud Run. Non è necessario apportare modifiche al codice.

Per ogni rete VPC di un progetto, segui questi passaggi per bloccare traffico in uscita, tranne il traffico verso l'intervallo VIP limitato:

Abilita l'accesso privato Google nelle subnet che ospitano le risorse della rete VPC.
Configura le regole firewall per impedire ai dati di uscire dalla rete VPC:

Attenzione: la mancata configurazione delle regole firewall può provocare e servizi vulnerabili all'esfiltrazione di dati.
- Creare una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.
  
  Nota: assicurati che la regola firewall di esclusione di tutto il traffico in uscita abbia una priorità successiva a 1000. In caso contrario, il traffico dal traffico VPC diretto in uscita o dal connettore di accesso VPC serverless al tuo servizio viene bloccato.
- Crea una regola di traffico in uscita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che abbia una priorità prima del traffico di negazione in uscita appena creata, consente il traffico in uscita solo verso il VIP con restrizioni intervallo.
Crea un criterio di risposta di Cloud DNS.
```
gcloud dns response-policies create RESPONSE_POLICY \
--networks=NETWORK \
--description=DESCRIPTION
```
Sostituisci quanto segue:
- RESPONSE_POLICY: un nome per la tua risposta .
- NETWORK: il nome della rete da associare a questo criterio. Per specificare più reti, separa i nomi di ciascuna rete con virgole, ad esempio: network1,network2.
- DESCRIPTION: una descrizione delle norme di risposta, ad esempio Cloud Run VPC Service Controls response policy
Aggiungi una regola al criterio di risposta per risolvere *.googleapis.com in restricted.googleapis.com. L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.
```
gcloud dns response-policies rules create RESPONSE_POLICY_RULE \
--response-policy=RESPONSE_POLICY \
--dns-name="*.googleapis.com." \
--local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
```
Sostituisci quanto segue:
- RESPONSE_POLICY_RULE: un nome per la regola delle norme di risposta.
- RESPONSE_POLICY: il nome della risposta creato nel passaggio precedente, tra virgolette.
Aggiungi una regola al criterio di risposta per risolvere *.run.app al restricted.googleapis.com. L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.
```
gcloud dns response-policies rules create RESPONSE_POLICY_RULE \
--response-policy=RESPONSE_POLICY \
--dns-name="*.run.app." \
--local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
```
Sostituisci quanto segue:
- RESPONSE_POLICY_RULE: un nome per la regola delle norme di risposta.
- RESPONSE_POLICY: il nome della risposta specificato nel passaggio precedente, tra virgolette.

A questo punto, le richieste provenienti dalla rete VPC:

Non possono uscire dalla rete VPC, per impedire il traffico in uscita al di fuori del perimetro di servizio.
Può raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, impedire l'esfiltrazione tramite le API di Google.

Esegui il deployment di servizi e job Cloud Run conformi ai Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC per Cloud Run, assicurati che tutti i servizi e i job Cloud Run di cui è stato eseguito il deployment all'interno del perimetro di servizio abilitino i Controlli di servizio VPC. Ciò richiede quanto segue:

I servizi e i job Cloud Run devono utilizzare il traffico VPC diretto in uscita o un connettore di accesso VPC serverless. Consulta Connessione a una rete VPC per ulteriori informazioni.
I servizi e i job Cloud Run devono instradare tutto il traffico in uscita attraverso la rete VPC. Per ulteriori informazioni, consulta Impostazioni di uscita.
I servizi Cloud Run devono consentire il traffico solo da origini interne. Consulta Impostazioni Ingress per ulteriori informazioni. Impostazione del traffico in entrata su "all" disabilita i Controlli di servizio VPC dell'applicazione delle norme.

Controlla la conformità dei Controlli di servizio VPC per i servizi esistenti

Dopo aver configurato i Controlli di servizio VPC, i nuovi servizi creati nei progetti all'interno di viene verificata automaticamente la conformità del perimetro di servizio. Tuttavia, per evitare interruzioni dei carichi di lavoro esistenti, i servizi esistenti continuano a funzionare e potrebbero non essere conformi ai criteri dell'organizzazione.

Google consiglia di controllare periodicamente i tuoi servizi per assicurarti che il traffico in entrata e le impostazioni di traffico in uscita siano conformi ai requisiti e servizi, se necessario. Ad esempio, puoi creare uno script che utilizza l'API Cloud Run Admin per elencare i tuoi servizi ed evidenziare quelli che non specificano le impostazioni di rete appropriate.