承認済みネットワークから広範なパブリック IP 範囲を削除してインスタンスのセキュリティを強化する

このページでは、IP アドレス範囲 0.0.0.0/0 をいつ承認済みネットワークから削除するかについての推奨事項を表示して実装する方法を説明します。承認済みネットワーク内の、0.0.0.0/0 を持つインスタンスは、すべてのインターネット IP からの接続を受け入れます。この Recommender は、広範な公開アクセスの削除と呼ばれます。

この Recommender は、広範なパブリック IP アドレス範囲を持つインスタンスを毎日プロアクティブに検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。パブリック IP アドレス範囲が有効化されているためにセキュリティ侵害に対して脆弱なインスタンスに関する分析情報と詳細な推奨事項は、 Google Cloud コンソール、gcloud CLI、または Recommender API で確認できます。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧取得する

推奨事項を一覧取得する手順は次のとおりです。

コンソール

インスタンスのセキュリティに関する推奨事項を一覧表示する手順は次のとおりです。

  1. Cloud SQL の [インスタンス] ページに移動します。

    Cloud SQL の [インスタンス] に移動

  2. インスタンスのテーブルで [問題] 列を表示します。

または、次の方法を行います。

  1. [おすすめハブ] に移動します。

    おすすめハブに移動

    詳細については、推奨事項の確認をご覧ください。

  2. [すべての推奨事項] カードで [セキュリティ] をクリックします。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

推奨事項を表示したら、推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

この推奨事項を実装するには、[承認済みネットワークの管理] をクリックして、次のいずれかのオプションを使用します。

gcloud

この推奨事項を実装するには、次のいずれかのオプションを使用します。

API

この推奨事項を実装するには、次のいずれかのオプションを使用します。

次のステップ