En esta página, se describe cómo ver y, luego, implementar recomendaciones sobre cuándo quitar el rango de direcciones IP de 0.0.0.0/0 de las redes autorizadas.
Las instancias con 0.0.0.0/0 en redes autorizadas aceptan conexiones de todas las IP de Internet. Este recomendador se llama Quitar el acceso público amplio.
Cada día, este recomendador detecta de manera proactiva las instancias que tienen rangos de direcciones IP públicas amplias y proporciona información y recomendaciones para mejorar la seguridad de tu instancia. Puedes ver estadísticas y recomendaciones detalladas sobre las instancias que tienen rangos de direcciones IP públicas habilitados y que son vulnerables a incumplimientos de seguridad mediante la consola de Google Cloud, gcloud CLI o el API del recomendador.
Antes de comenzar
Asegúrate de habilitar la API de recomendador.
Funciones y permisos requeridos
Si deseas obtener los permisos para ver estadísticas y recomendaciones y trabajar con ellas, asegúrate de tener los roles de Identity and Access Management (IAM) necesarios.
| Tasks | Funciones |
|---|---|
| Ver recomendaciones |
recommender.cloudsqlViewer o
cloudsql.admin.
|
| Aplica recomendaciones |
cloudsql.editor
o cloudsql.admin.
|
Enumera las recomendaciones
Para enumerar las recomendaciones, sigue estos pasos:
Console
Ve al Centro de recomendaciones.
Ir al Centro de recomendaciones
Para obtener más información, consulta Explora las recomendaciones.
En la tarjeta Instancias seguras de Cloud SQL, haz clic en Ver todo. Aparecerá la página Recomendaciones de seguridad. Enumera las recomendaciones junto con las instancias a las que se aplican.
gcloud
Ejecuta el comando gcloud recommender recommendations list de la siguiente manera:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Reemplaza lo siguiente:
- PROJECT_ID: ID del proyecto
- LOCATION: la región en la que se encuentran las instancias, como us-central1.
API
Llama al método recommendations.list de la siguiente manera:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Reemplaza lo siguiente:
- PROJECT_ID: ID del proyecto
- LOCATION: Es una región en la que se encuentran las instancias, como
us-central1.
Visualiza las estadísticas y las recomendaciones detalladas
Para visualizar estadísticas y recomendaciones detalladas, sigue estos pasos:
Console
En la página Recomendaciones de seguridad, haz clic en la recomendación de una instancia. Aparecerá el panel de recomendaciones, que contiene estadísticas y recomendaciones detalladas.
gcloud
Ejecuta el comando gcloud recommender insights list de la siguiente manera:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Reemplaza lo siguiente:
- PROJECT_ID: ID del proyecto
- LOCATION: una región en la que se encuentran las instancias, como
us-central1.
API
Llama al método insights.list de la siguiente manera:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Reemplaza lo siguiente:
- PROJECT_ID: ID del proyecto
- LOCATION: Es una región en la que se encuentran las instancias, como
us-central1.
Aplica la recomendación
Console
Para implementar esta recomendación, haga clic en Administrar redes autorizadas y, luego, usa una de las siguientes opciones:
- Quita las direcciones IP amplias de las redes autorizadas. Para obtener más información, consulta la sección sobre cómo autorizar con redes autorizadas.
- Usa el Proxy de autenticación de Cloud SQL y los conectores de idioma de Cloud SQL.
gcloud
Para implementar esta recomendación, usa una de las siguientes opciones:
- Quita las direcciones IP amplias de las redes autorizadas. Para obtener más información, consulta la sección sobre cómo autorizar con redes autorizadas.
- Usa el Proxy de autenticación de Cloud SQL y los conectores de idioma de Cloud SQL.
API
Para implementar esta recomendación, usa una de las siguientes opciones:
- Quita las direcciones IP amplias de las redes autorizadas. Para obtener más información, consulta la sección sobre cómo autorizar con redes autorizadas.
- Usa el Proxy de autenticación de Cloud SQL y los conectores de idioma de Cloud SQL.