Cette page explique comment afficher et mettre en œuvre des recommandations pour savoir quand supprimer la plage d'adresses IP de 0.0.0.0/0 des réseaux autorisés.
Les instances avec 0.0.0.0/0 dans les réseaux autorisés acceptent les connexions à partir de toutes les adresses IP Internet. Cet outil de recommandation est appelé Supprimer l'accès public étendu.
Chaque jour, cet outil de recommandation détecte de manière proactive les instances disposant de grandes plages d'adresses IP publiques et fournit des insights et des recommandations pour améliorer la sécurité de vos instances. Vous pouvez afficher des insights et des recommandations détaillées sur les instances pour lesquelles les plages d'adresses IP publiques sont activées et vulnérables aux failles de sécurité à l'aide de la console Google Cloud, de gcloud CLI ou de Outil de recommandation d'API
Avant de commencer
Assurez-vous d'activer l'API Recommender.
Rôles et autorisations requis
Pour obtenir les autorisations permettant d'afficher et d'utiliser les insights et les recommandations, assurez-vous de disposer des rôles IAM (Identity and Access Management) requis.
| Tâches | Rôles |
|---|---|
| Afficher les recommandations | recommender.cloudsqlViewer ou cloudsql.admin. |
| Appliquer les recommandations | cloudsql.editor ou cloudsql.admin. |
Répertorier les recommandations
Pour répertorier les recommandations, procédez comme suit :
Console
Accédez au centre de recommandations.
Accéder au hub de recommandations
Pour en savoir plus, consultez Explorer les recommandations.
Dans la fiche Instances Cloud SQL sécurisées, cliquez sur Tout afficher. La page Recommandations de sécurité s'affiche. Elle répertorie les recommandations ainsi que les instances auxquelles elles s'appliquent.
gcloud
Exécutez la commande gcloud recommender recommendations list comme suit :
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, telle que us-central1.
API
Appelez la méthode recommendations.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Afficher les insights et les recommandations détaillées
Pour afficher les insights et les recommandations détaillées, procédez comme suit :
Console
Sur la page Recommandations de sécurité, cliquez sur la recommandation pour une instance. Le panneau de recommandations s'affiche. Il contient des insights et des recommandations détaillées.
gcloud
Exécutez la commande gcloud recommender insights list comme suit :
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
API
Appelez la méthode insights.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Appliquer la recommandation
Console
Pour mettre en œuvre cette recommandation, cliquez sur Gérer les réseaux autorisés, puis utilisez l'une des options suivantes :
- Supprimez les adresses IP étendues des réseaux autorisés. Pour en savoir plus, consultez la section Autoriser avec des réseaux autorisés.
- Utilisez le proxy d'authentification Cloud SQL et les connecteurs de langage Cloud SQL.
gcloud
Pour mettre en œuvre cette recommandation, utilisez l'une des options suivantes :
- Supprimez les adresses IP étendues des réseaux autorisés. Pour en savoir plus, consultez la section Autoriser avec des réseaux autorisés.
- Utilisez le proxy d'authentification Cloud SQL et les connecteurs de langage Cloud SQL.
API
Pour mettre en œuvre cette recommandation, utilisez l'une des options suivantes :
- Supprimez les adresses IP étendues des réseaux autorisés. Pour en savoir plus, consultez la section Autoriser avec des réseaux autorisés.
- Utilisez le proxy d'authentification Cloud SQL et les connecteurs de langage Cloud SQL.
Étapes suivantes
- Outils de recommandation Google Cloud
- Blog : Optimisez votre ROI Cloud.
- Blog : Plus de possibilités à moindre coût.