Auf dieser Seite wird beschrieben, wie Sie Empfehlungen zum Entfernen des IP-Adressbereichs von 0.0.0.0/0
aus autorisierten Netzwerken aufrufen und implementieren.
Instanzen mit 0.0.0.0/0
in autorisierten Netzwerken akzeptieren Verbindungen von allen Internet-IP-Adressen. Dieser Recommender heißt Umfassenden öffentlichen Zugriff entfernen.
Jeden Tag erkennt dieser Recommender proaktiv Instanzen mit breiten öffentlichen IP-Adressbereichen und liefert Statistiken und Empfehlungen zur Verbesserung der Sicherheit Ihrer Instanzen. Über die Google Cloud Console, gcloud CLI oder die Recommender API können Sie Statistiken und detaillierte Empfehlungen zu Instanzen einsehen, die öffentliche IP-Adressbereiche aktiviert haben und anfällig für Sicherheitsverletzungen sind.
Hinweise
Aktivieren Sie die Recommender API.
Erforderliche Rollen und Berechtigungen
Prüfen Sie, ob Sie die erforderlichen IAM-Rollen (Identity and Access Management) haben, um die Berechtigungen zum Aufrufen und Verwenden von Informationen und Empfehlungen zu erhalten.
Aufgaben | Rollen |
---|---|
Empfehlungen ansehen |
recommender.cloudsqlViewer oder
cloudsql.admin .
|
Empfehlungen übernehmen |
cloudsql.editor
oder cloudsql.admin .
|
Empfehlungen auflisten
So listen Sie die Empfehlungen auf:
Console
Rufen Sie den Recommendation Hub auf.
Weitere Informationen finden Sie unter Empfehlungen entdecken.
Klicken Sie auf der Karte Cloud SQL-Instanzen sichern auf Alle ansehen. Die Seite Sicherheitsempfehlungen wird angezeigt. Es werden die Empfehlungen aufgelistet sowie die Instanzen, für die diese Empfehlungen gelten.
gcloud
Führen Sie den Befehl gcloud recommender recommendations list
so aus:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich die Instanzen befinden, z. B. us-central1
API
Rufen Sie die Methode recommendations.list
so auf:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
Informationen und detaillierte Empfehlungen anzeigen
So rufen Sie Statistiken und detaillierte Empfehlungen auf:
Console
Klicken Sie auf der Seite Sicherheitsempfehlungen auf die Empfehlung für eine Instanz. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.
gcloud
Führen Sie den Befehl gcloud recommender insights list
so aus:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
API
Rufen Sie die Methode insights.list
so auf:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
Empfehlung anwenden
Console
Klicken Sie zum Implementieren dieser Empfehlung auf Autorisierte Netzwerke verwalten und verwenden Sie dann eine der folgenden Optionen:
- Entfernen Sie allgemeine IP-Adressen aus autorisierten Netzwerken. Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.
- Verwenden Sie Cloud SQL Auth Proxy und Cloud SQL Language Connectors.
gcloud
Verwenden Sie eine der folgenden Optionen, um diese Empfehlung zu implementieren:
- Entfernen Sie allgemeine IP-Adressen aus autorisierten Netzwerken. Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.
- Verwenden Sie Cloud SQL Auth Proxy und Cloud SQL Language Connectors.
API
Verwenden Sie eine der folgenden Optionen, um diese Empfehlung zu implementieren:
- Entfernen Sie allgemeine IP-Adressen aus autorisierten Netzwerken. Weitere Informationen finden Sie unter Mit autorisierten Netzwerken autorisieren.
- Verwenden Sie Cloud SQL Auth Proxy und Cloud SQL Language Connectors.
Nächste Schritte
- Google Cloud-Recommender
- Blog: Maximieren Sie Ihren Cloud-ROI
- Blog: So erreichen Sie mehr mit weniger