Utilizzo di Controlli di servizio VPC

Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per proteggersi dall'esfiltrazione di dati. Sia l'URL run.app predefinito sia i domini personalizzati sono soggetti ai Controlli di servizio VPC. Questa guida mostra come utilizzare i Controlli di servizio VPC con Cloud Run per aumentare la sicurezza dei tuoi servizi.

Limitazioni e avvertenze

Per Artifact Registry o Container Registry:
- Il registro in cui archivi il tuo container deve trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC del progetto in cui stai eseguendo il deployment.
- Il codice in fase di creazione deve trovarsi nello stesso perimetro del registro in cui viene eseguito il push del container.
La funzionalità di deployment continuo non è disponibile per i progetti all'interno di un perimetro Controlli di servizio VPC.
Quando vengono richiamati i servizi Cloud Run, l'applicazione dei criteri di Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Queste richieste presentano le seguenti limitazioni:
- Le regole dei criteri in entrata di Controlli di servizio VPC che utilizzano i requisiti IAM non sono supportate.
- I livelli di accesso per i perimetri Controlli di servizio VPC che utilizzano i principi IAM non sono supportati.

Configurazione dell'organizzazione per supportare i Controlli di servizio VPC

Per utilizzare Controlli di servizio VPC con Cloud Run, puoi configurare un perimetro di servizio a livello di organizzazione. Configurando i criteri dell'organizzazione appropriati, puoi assicurarti che vengano applicati i controlli di servizio VPC quando utilizzi Cloud Run e che gli sviluppatori possano eseguire il deployment solo di servizi conformi ai Controlli di servizio VPC. Scopri di più sull'ereditarietà e sulle violazioni quando imposti un criterio dell'organizzazione.

Configurazione di un perimetro dei Controlli di servizio VPC

I passaggi seguenti mostrano come configurare un perimetro dei Controlli di servizio VPC.

Assicurati di disporre dei ruoli richiesti per amministrare i Controlli di servizio VPC.
Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai alla pagina Controlli di servizio VPC
Se ti viene richiesto, seleziona l'organizzazione.
Fai clic su Nuovo perimetro. Digita un nome per il perimetro.
Seleziona i progetti che vuoi proteggere all'interno del perimetro.
1. Fai clic su Progetti.
2. Nella finestra Aggiungi progetti, seleziona i progetti che vuoi aggiungere.
  
  Se utilizzi un VPC condiviso, assicurati di aggiungere il progetto host e i progetti di servizio.
3. Fai clic sul pulsante Aggiungi progetti.
Seleziona Cloud Run come servizio che vuoi proteggere all'interno del perimetro.
1. Fai clic su Servizi limitati.
2. Fai clic su Aggiungi servizi.
3. Cerca "Cloud Run". Quindi seleziona API Cloud Run.
4. Fai clic su Aggiungi API Cloud Run.
Abilita l'accesso per gli sviluppatori.

L'attivazione di Controlli di servizio VPC per Cloud Run impedisce tutti gli accessi dall'esterno del perimetro, inclusi la visualizzazione e il deployment di servizi da macchine non contenute nel perimetro, come i laptop aziendali. Per consentire a sviluppatori e operatori di applicazioni di visualizzare ed eseguire il deployment delle risorse all'interno del perimetro, devi configurare il criterio in entrata perimetrale:
1. Fai clic su Criterio in entrata.
2. Specifica l'origine, l'identità, il progetto e i servizi.
3. Fai clic su Aggiungi regola.
Se la tua organizzazione utilizza Gestore contesto accesso, puoi anche abilitare l'accesso per gli sviluppatori impostando i livelli di accesso.
Fai clic su Crea perimetro.

Una volta completati questi passaggi, tutte le chiamate all'API Cloud Run Admin verranno verificate per garantire che abbiano origine nello stesso perimetro.

Configurare i criteri dell'organizzazione

Per gestire i criteri dell'organizzazione, devi avere il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin).

Per rispettare i Controlli di servizio VPC e proteggere dall'esfiltrazione di dati, configura i seguenti criteri dell'organizzazione che controllano le impostazioni consentite di ingress e in uscita per Cloud Run nel perimetro di servizio.

Limitazione delle impostazioni di traffico in entrata consentite

Il criterio dell'organizzazione run.allowedIngress controlla le impostazioni in entrata che gli sviluppatori possono utilizzare per Cloud Run. Imposta questo criterio dell'organizzazione per richiedere agli sviluppatori di utilizzare il valore internal se vuoi consentire solo le richieste interne o internal-and-cloud-load-balancing se vuoi consentire le richieste tramite un bilanciatore del carico HTTP(S) esterno, con i controlli dell'accesso gestiti da Cloud Load Balancing.

Per ulteriori informazioni su queste impostazioni, consulta la pagina Limitare il traffico in entrata per Cloud Run

Console

Vai alla pagina dei criteri Impostazioni traffico in entrata consentite (Cloud Run) nella console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci internal. Se vuoi consentire anche il traffico di Cloud Load Balancing, fai clic su Nuovo valore criterio e inserisci internal-and-cloud-load-balancing.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedIngress internal \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è il tuo ID organizzazione. Se vuoi consentire anche il traffico di Cloud Load Balancing, sostituisci run.allowedIngress internal con run.allowedIngress internal-and-cloud-load-balancing.

Dopo l'implementazione di questo criterio dell'organizzazione, tutti i servizi devono utilizzare i valori consentiti per le impostazioni in entrata. Ciò significa che i servizi Cloud Run possono accettare solo il traffico proveniente da una rete VPC all'interno del perimetro di servizio. I tentativi di impostare il valore in entrata su un valore diverso verranno bloccati dal criterio dell'organizzazione.

Limitazione delle impostazioni di traffico in uscita del connettore VPC consentito

Il criterio dell'organizzazione run.allowedVPCEgress controlla le impostazioni per i dati in uscita che gli sviluppatori possono utilizzare per Cloud Run. Imposta questo criterio dell'organizzazione in modo da consentire solo il valore all-traffic:

Console

Vai alla pagina dei criteri Impostazioni di traffico VPC in uscita consentite (Cloud Run) nella console Google Cloud:

Vai al criterio dell'organizzazione
Fai clic su Modifica.
Nella pagina Modifica, seleziona Personalizza.
In Applicazione criterio, seleziona Sostituisci.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
In Valori personalizzati, inserisci all-traffic.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud resource-manager org-policies allow:

gcloud resource-manager org-policies allow \
  run.allowedVPCEgress all-traffic \
  --organization ORGANIZATION_ID

dove ORGANIZATION_ID è il tuo ID organizzazione.

Comportamento dopo l'impostazione del criterio dell'organizzazione

Dopo aver configurato il criterio dell'organizzazione, tutte le nuove revisioni devono utilizzare un connettore VPC e il valore all-traffic per le impostazioni in uscita. Questa combinazione di impostazioni instrada tutto il traffico in uscita da queste revisioni tramite una rete VPC, sottoponendo questo traffico alle regole firewall della rete VPC e ad altre impostazioni. I nuovi deployment di revisione che specificano un valore diverso verranno bloccati dal criterio dell'organizzazione.

Migrazioni dei criteri dell'organizzazione e del traffico

Per i servizi esistenti prima della configurazione del criterio dell'organizzazione, puoi continuare a eseguire la migrazione del traffico a revisioni non conformi fino a quando tutto il traffico di revisione non sarà conforme.

Questo comportamento ti consente di testare e implementare gradualmente nuove revisioni che rispettino le norme. Quando tutte le revisioni di pubblicazione del traffico sono conformi al criterio, qualsiasi tentativo di spostare il traffico su revisioni non conformi verrà bloccato dal criterio dell'organizzazione.

Configurazione del progetto per supportare i Controlli di servizio VPC

Per singoli progetti all'interno del perimetro di servizio, devi eseguire una configurazione aggiuntiva per utilizzare i Controlli di servizio VPC.

Configurazione di reti VPC

Questa sezione mostra come configurare la rete VPC in modo che le richieste inviate al normale IP virtuale googleapis.com vengano instradate automaticamente all'intervallo IP virtuale (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com) in cui viene pubblicato il servizio Cloud Run. Tieni presente che non sono necessarie modifiche al codice.

Per bloccare ogni traffico VPC in un progetto, segui questi passaggi, ad eccezione del traffico nell'intervallo VIP limitato:

Configura le regole firewall per impedire ai dati di uscire dalla rete VPC:

Attenzione: la configurazione non corretta delle regole firewall potrebbe rendere i tuoi servizi vulnerabili all'esfiltrazione dei dati.
- Crea una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.
  
  Nota: assicurati che la regola firewall per negare tutto il traffico in uscita abbia una priorità dopo il valore 1000. In caso contrario, il traffico dal connettore di accesso VPC serverless al servizio sarà bloccato.
- Crea una regola di autorizzazione in uscita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che abbia una priorità prima della regola di negazione del traffico in uscita appena creata, per consentire solo il traffico in uscita verso l'intervallo VIP con restrizioni.
Crea un criterio di risposta di Cloud DNS.
```
gcloud dns response-policies create RESPONSE_POLICY \
--networks=NETWORK \
--description=DESCRIPTION
```
Sostituisci quanto segue:
- RESPONSE_POLICY: un nome per il criterio di risposta.
- NETWORK: il nome della rete da associare a questo criterio. Per specificare più reti, separa i nomi di ogni rete con virgole, ad esempio network1,network2.
- DESCRIPTION: una descrizione del criterio di risposta, ad esempio Cloud Run VPC Service Controls response policy
Aggiungi una regola al criterio di risposta per risolvere *.googleapis.com in restricted.googleapis.com. L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.
```
gcloud dns response-policies rules create RESPONSE_POLICY_RULE \
--response-policy=RESPONSE_POLICY \
--dns-name=*.googleapis.com. \
--local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
```
Sostituisci quanto segue:
- RESPONSE_POLICY_RULE: un nome per la regola del criterio di risposta.
- RESPONSE_POLICY: il nome del criterio di risposta creato nel passaggio precedente, tra virgolette.
Aggiungi una regola al criterio di risposta per risolvere *.run.app in restricted.googleapis.com. L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.
```
gcloud dns response-policies rules create RESPONSE_POLICY_RULE \
--response-policy=RESPONSE_POLICY \
--dns-name=*.run.app. \
--local-data=name="restricted.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
```
Sostituisci quanto segue:
- RESPONSE_POLICY_RULE: un nome per la regola del criterio di risposta.
- RESPONSE_POLICY: il nome del criterio di risposta specificato nel passaggio precedente, tra virgolette.

A questo punto, le richieste provenienti dall'interno della rete VPC:

non possono lasciare la rete VPC impedendo il traffico in uscita al di fuori del perimetro di servizio.
può raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, prevenendo l'esfiltrazione tramite le API di Google.

Deployment di servizi Cloud Run compatibili con Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC per Cloud Run, assicurati che tutti i servizi di cui è stato eseguito il deployment all'interno del perimetro di servizio abilitino i Controlli di servizio VPC. Ciò significa che:

Tutti i servizi devono utilizzare un connettore di accesso VPC serverless. Per ulteriori informazioni, consulta la pagina Connessione a una rete VPC.
Tutti i servizi devono consentire solo il traffico da sorgenti interne. Per ulteriori informazioni, consulta Impostazioni di Ingress. Se imposti "in entrata" su "tutti", l'applicazione dei Controlli di servizio VPC viene disabilitata.
Tutti i servizi devono instradare tutto il traffico in uscita attraverso la rete VPC. Per ulteriori informazioni, consulta Impostazioni del traffico in uscita.

Controllo dei servizi esistenti per la conformità dei Controlli di servizio VPC

Dopo aver configurato i Controlli di servizio VPC, i nuovi servizi creati nei progetti all'interno del perimetro di servizio vengono controllati automaticamente per verificarne la conformità. Tuttavia, per evitare l'interruzione dei carichi di lavoro esistenti, i servizi esistenti continuano a funzionare e potrebbero non essere conformi ai criteri dell'organizzazione.

Google consiglia di controllare periodicamente i servizi per verificare che le impostazioni in entrata e in uscita siano conformi ai requisiti e aggiornare o eseguire nuovamente il deployment dei servizi in base alle esigenze. Ad esempio, puoi creare uno script che utilizzi l'API Cloud Run Admin per elencare i servizi ed evidenziare quelli che non specificano le impostazioni di rete corrette.