Controlli di servizio VPC è una funzionalità di Google Cloud
che consente di configurare un perimetro sicuro per prevenire l'esfiltrazione di dati.
Sia l'URL run.app predefinito sia i domini personalizzati sono soggetti ai Controlli di servizio VPC.
Questa guida illustra come utilizzare Controlli di servizio VPC con Cloud Run per aggiungere
ulteriore sicurezza ai tuoi servizi.
Limitazioni e avvertenze
Per Artifact Registry o Container Registry:
- Il registro in cui archivi il container deve trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC del progetto in cui stai eseguendo il deployment.
- Il codice da creare deve trovarsi nello stesso perimetro del registry in cui viene eseguito il push del container.
La funzionalità di deployment continuo non è disponibile per i progetti all'interno di un perimetro dei Controlli di servizio VPC.
Quando vengono richiamati i servizi Cloud Run, l'applicazione dei criteri dei Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Tali richieste presentano le seguenti limitazioni:
- Le regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano entità IAM non sono supportate.
- I livelli di accesso per i perimetri Controlli di servizio VPC che utilizzano entità IAM non sono supportati.
Configura la tua organizzazione per supportare i Controlli di servizio VPC
Per utilizzare Controlli di servizio VPC con Cloud Run, puoi configurare un perimetro di servizio a livello di organizzazione. Configurando criteri dell'organizzazione appropriati, puoi assicurarti che i controlli dei Controlli di servizio VPC vengano applicati quando utilizzi Cloud Run e che gli sviluppatori possano eseguire il deployment solo di servizi conformi ai Controlli di servizio VPC. Scopri di più su ereditarietà e violazioni quando si imposta un criterio dell'organizzazione.
Configurare un perimetro dei Controlli di servizio VPC
I passaggi seguenti mostrano come configurare un perimetro dei Controlli di servizio VPC.
Assicurati di disporre dei ruoli necessari per amministrare i Controlli di servizio VPC.
Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.
Se richiesto, seleziona la tua organizzazione.
Fai clic su Gestisci criteri di accesso. Seleziona un criterio di accesso o creane uno. Il criterio di accesso deve includere tutti i progetti che vuoi aggiungere al perimetro.
Fai clic su Nuovo perimetro. Digita un nome per il perimetro.
Seleziona i progetti che vuoi proteggere all'interno del perimetro.
Fai clic su Progetti.
Nella finestra Aggiungi progetti, seleziona i progetti da aggiungere.
Se utilizzi un VPC condiviso, assicurati di aggiungere il progetto host e i progetti di servizio.
Fai clic sul pulsante Aggiungi progetti.
Seleziona Cloud Run come servizio da proteggere all'interno del perimetro.
Fai clic su Servizi limitati.
Fai clic su Aggiungi servizi.
Cerca "Cloud Run". Quindi seleziona API Cloud Run Admin.
Fai clic su Aggiungi API Cloud Run Admin.
Abilita l'accesso per gli sviluppatori.
L'attivazione dei Controlli di servizio VPC per Cloud Run impedisce qualsiasi accesso dall'esterno del perimetro, compresi la visualizzazione e il deployment di servizi da macchine non all'interno del perimetro, come i laptop aziendali. Affinché gli sviluppatori e gli operatori delle applicazioni possano visualizzare ed eseguire il deployment delle risorse all'interno del perimetro, devi configurare il criterio in entrata del perimetro:
Fai clic su Criterio in entrata.
Specifica Origine, Identità, Progetto e Servizi.
Fai clic su Aggiungi regola.
Se la tua organizzazione utilizza Gestore contesto accesso, puoi anche attivare l'accesso per gli sviluppatori impostando i livelli di accesso.
Fai clic su Crea perimetro.
Dopo aver completato questi passaggi, tutte le chiamate all'API Cloud Run Admin vengono controllate per verificare che provengano dall'interno dello stesso perimetro.
Configura i criteri dell'organizzazione
Per gestire i criteri dell'organizzazione, devi disporre del ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).
Per rispettare i Controlli di servizio VPC e proteggerti dall'esfiltrazione di dati, configura i seguenti criteri dell'organizzazione che controllano le impostazioni consentite di ingresso e uscita per Cloud Run nel perimetro di servizio.
Limita impostazioni di traffico in entrata consentite
Il criterio dell'organizzazione run.allowedIngress controlla le impostazioni del traffico in entrata che gli sviluppatori sono autorizzati a utilizzare per Cloud Run. Imposta questo criterio dell'organizzazione in modo che gli sviluppatori utilizzino il valore internal se vuoi consentire solo le richieste interne o internal-and-cloud-load-balancing se vuoi consentire le richieste tramite un bilanciatore del carico delle applicazioni esterno, con i controlli dell'accesso gestiti da Cloud Load Balancing.
Per ulteriori informazioni su queste impostazioni, consulta Limitazione del traffico in entrata per Cloud Run
Console
Vai alla pagina dei criteri Impostazioni di traffico in entrata consentite (Cloud Run) nella console Google Cloud:
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione dei criteri, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci
internal. Se vuoi consentire anche il traffico di Cloud Load Balancing, fai clic su Nuovo valore del criterio e inserisciinternal-and-cloud-load-balancing.Fai clic su Salva.
gcloud
Utilizza il comando gcloud resource-manager org-policies allow:
gcloud resource-manager org-policies allow \ run.allowedIngress internal \ --organization ORGANIZATION_ID
dove ORGANIZATION_ID è l'ID organizzazione.
Se vuoi consentire anche il traffico di Cloud Load Balancing, sostituisci run.allowedIngress internal con run.allowedIngress internal-and-cloud-load-balancing.
Una volta applicato questo criterio dell'organizzazione, tutti i servizi devono utilizzare i valori consentiti per le impostazioni di traffico in entrata. Ciò significa che i servizi Cloud Run possono accettare solo traffico proveniente da una rete VPC all'interno del perimetro di servizio. I tentativi di impostare il traffico in entrata su un valore diverso verranno bloccati dal criterio dell'organizzazione.
Limita impostazioni di traffico VPC in uscita consentite
Il criterio dell'organizzazione run.allowedVPCEgress consente di controllare le impostazioni del traffico in uscita che gli sviluppatori sono autorizzati a utilizzare per Cloud Run. Imposta questo criterio dell'organizzazione in modo da consentire solo il valore all-traffic:
Console
Vai alla pagina dei criteri Impostazioni di traffico VPC in uscita consentite (Cloud Run) nella console Google Cloud:
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione dei criteri, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci
all-traffic.Fai clic su Salva.
gcloud
Utilizza il comando gcloud resource-manager org-policies allow:
gcloud resource-manager org-policies allow \ run.allowedVPCEgress all-traffic \ --organization ORGANIZATION_ID
dove ORGANIZATION_ID è l'ID organizzazione.
Comportamento dopo l'impostazione del criterio dell'organizzazione
Una volta applicato il criterio dell'organizzazione, tutte le nuove revisioni devono utilizzare il traffico VPC diretto in uscita o un connettore di accesso VPC serverless e utilizzare il valore all-traffic per le impostazioni di traffico in uscita. Questa combinazione instrada tutto il traffico in uscita da queste revisioni attraverso una rete VPC, sottoponendolo alle regole firewall della rete VPC e ad altre impostazioni. I nuovi deployment delle revisioni che specificano un valore diverso sono bloccati dal criterio dell'organizzazione.
Migrazioni dei criteri dell'organizzazione e del traffico
Per i servizi esistenti prima dell'impostazione del criterio dell'organizzazione, puoi continuare a eseguire la migrazione del traffico verso revisioni non conformi finché tutte le revisioni che gestiscono il traffico non saranno diventate conformi.
Questo comportamento ti consente di testare e implementare gradualmente nuove revisioni che rispettano il criterio. Una volta che tutte le revisioni che gestiscono il traffico saranno conformi alle norme, qualsiasi tentativo di spostare il traffico verso revisioni non conformi verrà bloccato dal criterio dell'organizzazione.
Configurazione del progetto per supportare i Controlli di servizio VPC
Per i singoli progetti all'interno del perimetro di servizio, devi eseguire una configurazione aggiuntiva per utilizzare i Controlli di servizio VPC.
Configura reti VPC
Questa sezione mostra come configurare la rete VPC in modo che le richieste inviate all'IP virtuale googleapis.com normale vengano instradate automaticamente all'intervallo IP virtuale (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com) dove viene pubblicato il servizio Cloud Run. Non è necessario apportare modifiche al codice.
Per ogni rete VPC di un progetto, segui questi passaggi per bloccare il traffico in uscita, tranne il traffico verso l'intervallo VIP limitato:
Abilita l'accesso privato Google sulle subnet che ospitano le tue risorse di rete VPC.
Configura le regole firewall per impedire ai dati di uscire dalla rete VPC:
Creare una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.
Crea una regola di traffico in uscita di autorizzazione che consenta il traffico verso
199.36.153.4/30sulla porta TCP 443. Assicurati che abbia una priorità prima della regola di negazione in uscita appena creata, che consente il traffico in uscita solo verso l'intervallo VIP limitato.
Crea un criterio di risposta di Cloud DNS.
gcloud dns response-policies create RESPONSE_POLICY \ --networks=NETWORK \ --description=DESCRIPTION
Sostituisci quanto segue:
RESPONSE_POLICY: un nome per il criterio di risposta.NETWORK: il nome della rete da associare a questo criterio. Per specificare più reti, separa i nomi di ciascuna rete con una virgola, ad esempio:network1,network2.DESCRIPTION: una descrizione del criterio di risposta, ad esempioCloud Run VPC Service Controls response policy
Aggiungi una regola al criterio di risposta per risolvere
*.googleapis.cominrestricted.googleapis.com. L'intervallo di indirizzi IP perrestricted.googleapis.comè199.36.153.4/30.gcloud dns response-policies rules create RESPONSE_POLICY_RULE \ --response-policy=RESPONSE_POLICY \ --dns-name=*.googleapis.com. \ --local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
Sostituisci quanto segue:
RESPONSE_POLICY_RULE: un nome per la regola del criterio di risposta.RESPONSE_POLICY: il nome del criterio di risposta creato nel passaggio precedente, riportato tra virgolette.
Aggiungi una regola al criterio di risposta per risolvere
*.run.appnellarestricted.googleapis.com. L'intervallo di indirizzi IP perrestricted.googleapis.comè199.36.153.4/30.gcloud dns response-policies rules create RESPONSE_POLICY_RULE \ --response-policy=RESPONSE_POLICY \ --dns-name=*.run.app. \ --local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
Sostituisci quanto segue:
RESPONSE_POLICY_RULE: un nome per la regola del criterio di risposta.RESPONSE_POLICY: il nome del criterio di risposta specificato nel passaggio precedente, tra virgolette.
A questo punto, le richieste provenienti dall'interno della rete VPC:
- Non possono lasciare la rete VPC, impedendo il traffico in uscita al di fuori del perimetro di servizio.
- Può raggiungere solo le API e i servizi Google che verificano i Controlli di servizio VPC, impedendo l'esfiltrazione tramite le API di Google.
Deployment di servizi Cloud Run conformi ai Controlli di servizio VPC
Dopo aver configurato i Controlli di servizio VPC per Cloud Run, assicurati che tutti i servizi di cui è stato eseguito il deployment all'interno del perimetro di servizio attivino i Controlli di servizio VPC. Ciò richiede quanto segue:
- Tutti i servizi devono utilizzare il traffico VPC diretto in uscita o un connettore di accesso VPC serverless. Per ulteriori informazioni, consulta Connessione a una rete VPC.
- Tutti i servizi devono consentire solo il traffico proveniente da sorgenti interne. Per maggiori informazioni, consulta la pagina relativa alle impostazioni di Ingress. L'impostazione del traffico in entrata su "all" disabilita l'applicazione dei Controlli di servizio VPC.
- Tutti i servizi devono instradare tutto il traffico in uscita attraverso la rete VPC. Vedi Impostazioni del traffico in uscita per ulteriori informazioni.
Controlla la conformità dei Controlli di servizio VPC per i servizi esistenti
Dopo aver configurato i Controlli di servizio VPC, i nuovi servizi creati nei progetti all'interno del perimetro di servizio vengono controllati automaticamente per verificare la conformità. Tuttavia, per evitare l'interruzione dei carichi di lavoro esistenti, i servizi esistenti continuano a funzionare e potrebbero non essere conformi ai criteri dell'organizzazione.
Google consiglia di verificare periodicamente i servizi per assicurarti che le impostazioni in entrata e in uscita siano conformi ai requisiti e di aggiornare o rieseguire il deployment dei servizi in base alle necessità. Ad esempio, potresti creare uno script che utilizza l'API Cloud Run Admin per elencare i tuoi servizi ed evidenziare quelli che non specificano le impostazioni di rete corrette.