Esta página descreve como ver e implementar recomendações sobre quando remover o intervalo de endereços IP de 0.0.0.0/0 das redes autorizadas.
As instâncias com 0.0.0.0/0 em redes autorizadas aceitam ligações de todos os IPs da Internet. Este recomendador chama-se Remova o acesso público amplo.
Todos os dias, este recomendador deteta proativamente instâncias que têm intervalos de endereços IP públicos amplos e fornece estatísticas e recomendações para melhorar a segurança das suas instâncias. Pode ver estatísticas e recomendações detalhadas sobre instâncias que têm intervalos de endereços IP públicos ativados e são vulneráveis a violações de segurança através da Google Cloud consola, da CLI gcloud ou da API Recommender.
Antes de começar
Certifique-se de que ativa a API Recommender.
Funções e autorizações necessárias
Para ter as autorizações para ver e trabalhar com estatísticas e recomendações, certifique-se de que tem as funções de gestão de identidade e de acesso (IAM) necessárias.
| Tasks | Funções |
|---|---|
| Ver recomendações |
recommender.cloudsqlViewer ou
cloudsql.admin.
|
| Aplique recomendações |
cloudsql.editor
ou cloudsql.admin.
|
Indique as recomendações
Para listar as recomendações, siga estes passos:
Consola
Para ver recomendações sobre a segurança da instância, siga estes passos:
Aceda à página Instâncias do Cloud SQL.
Veja a coluna Problemas na tabela de instâncias.
Em alternativa, siga estes passos:
Aceda ao Active Assist.
Para mais informações, consulte o artigo Explore as recomendações.
No cartão Todas as recomendações, clique em Segurança.
gcloud
Execute o comando gcloud recommender recommendations list da seguinte forma:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Substitua o seguinte:
- PROJECT_ID: o ID do seu projeto.
- LOCATION: uma região onde as suas instâncias estão localizadas, como us-central1.
API
Chame o método recommendations.list da seguinte forma:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Substitua o seguinte:
- PROJECT_ID: o ID do seu projeto.
- LOCATION: uma região onde as suas instâncias estão localizadas, como
us-central1.
Veja estatísticas e recomendações detalhadas
Para ver estatísticas e recomendações detalhadas, siga estes passos:
Consola
Depois de listar as recomendações, clique numa recomendação. É apresentado o painel de recomendações, que contém estatísticas e recomendações detalhadas.
gcloud
Execute o comando gcloud recommender insights list da seguinte forma:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Substitua o seguinte:
- PROJECT_ID: o ID do seu projeto.
- LOCATION : uma região onde as suas instâncias estão localizadas, como
us-central1.
API
Chame o método insights.list da seguinte forma:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Substitua o seguinte:
- PROJECT_ID: o ID do seu projeto.
- LOCATION: uma região onde as suas instâncias estão localizadas, como
us-central1.
Aplique a recomendação
Consola
Para implementar esta recomendação, clique em Gerir redes autorizadas e, em seguida, use uma das seguintes opções:
- Remova endereços IP gerais das redes autorizadas. Para mais informações, consulte o artigo Autorize com redes autorizadas.
- Use o proxy Auth do Cloud SQL e os conetores de linguagem do Cloud SQL.
gcloud
Para implementar esta recomendação, use uma das seguintes opções:
- Remova endereços IP gerais das redes autorizadas. Para mais informações, consulte o artigo Autorize com redes autorizadas.
- Use o proxy Auth do Cloud SQL e os conetores de linguagem do Cloud SQL.
API
Para implementar esta recomendação, use uma das seguintes opções:
- Remova endereços IP gerais das redes autorizadas. Para mais informações, consulte o artigo Autorize com redes autorizadas.
- Use o proxy Auth do Cloud SQL e os conetores de linguagem do Cloud SQL.
O que se segue?
- Autorize com redes autorizadas
- Proxy Auth do Cloud SQL
- Conetores de idiomas do Cloud SQL
- Google Cloud recommenders
- Blogue: maximize o ROI do Google Cloud