Melhore a segurança da instância desativando o IP público

Esta página descreve como ver e implementar recomendações sobre a desativação do acesso por IP público para instâncias que violam a política da organização constraints/sql.restrictPublicIp aplicada pelo seu administrador. Esta política restringe a configuração do IP público nas suas instâncias. A violação de política ocorre quando já existe acesso ao IP público para uma instância no momento da aplicação da restrição. Este recomendador chama-se Desativar IP público.

Todos os dias, este recomendador deteta as instâncias que violam a política da organização constraints/sql.restrictPublicIp e fornece estatísticas e recomendações para melhorar a segurança das suas instâncias. Pode ver estatísticas e recomendações detalhadas sobre estas instâncias através da Google Cloud consola, CLI gcloud ou API Recommender.

Para mais informações sobre as políticas de organização, consulte o artigo Políticas de organização do Cloud SQL.

Antes de começar

Certifique-se de que ativa a API Recommender.

Funções e autorizações necessárias

Para ter as autorizações para ver e trabalhar com estatísticas e recomendações, certifique-se de que tem as funções de gestão de identidade e de acesso (IAM) necessárias.

Tasks Funções
Ver recomendações recommender.cloudsqlViewer ou cloudsql.admin.
Aplique recomendações cloudsql.editor ou cloudsql.admin.
Para mais informações sobre as funções de IAM, consulte a referência de funções básicas e predefinidas de IAM e faça a gestão do acesso a projetos, pastas e organizações.

Indique as recomendações

Para listar as recomendações, siga estes passos:

Consola

Para ver recomendações sobre a segurança da instância, siga estes passos:

  1. Aceda à página Instâncias do Cloud SQL.

    Aceda a Instâncias do Cloud SQL

  2. Veja a coluna Problemas na tabela de instâncias.

Em alternativa, siga estes passos:

  1. Aceda ao Active Assist.

    Aceda ao Active Assist

    Para mais informações, consulte o artigo Explore as recomendações.

  2. No cartão Todas as recomendações, clique em Segurança.

gcloud

Execute o comando gcloud recommender recommendations list da seguinte forma:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto.
  • LOCATION: uma região onde as suas instâncias estão localizadas, como us-central1.

API

Chame o método recommendations.list da seguinte forma:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto.
  • LOCATION: uma região onde as suas instâncias estão localizadas, como us-central1.

Veja estatísticas e recomendações detalhadas

Para ver estatísticas e recomendações detalhadas, siga estes passos:

Consola

Depois de listar as recomendações, clique numa recomendação. É apresentado o painel de recomendações, que contém estatísticas e recomendações detalhadas.

gcloud

Execute o comando gcloud recommender insights list da seguinte forma:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto.
  • LOCATION : uma região onde as suas instâncias estão localizadas, como us-central1.

API

Chame o método insights.list da seguinte forma:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

Substitua o seguinte:

  • PROJECT_ID: o ID do seu projeto.
  • LOCATION: uma região onde as suas instâncias estão localizadas, como us-central1.

Aplique a recomendação

Consola

Para implementar a recomendação, faça o seguinte:

  1. Clique em Gerir atribuição de IP da instância.

  2. Configure os seus clientes para estabelecerem ligação à instância através do IP privado.

  3. Desative o IP público na sua instância.

gcloud

Para implementar a recomendação, faça o seguinte:

  1. Configure os seus clientes para estabelecerem ligação à instância através do IP privado.

  2. Desative o IP público na sua instância.

API

Para implementar a recomendação, faça o seguinte:

  1. Configure os seus clientes para estabelecerem ligação à instância através do IP privado.

  2. Desative o IP público na sua instância.

O que se segue?