通过从已获授权的网络移除宽泛的公共 IP 范围提高实例安全性

本页面介绍了如何查看和实施有关何时从已获授权的网络中移除 IP 地址范围 0.0.0.0/0 的建议。已获授权的网络中具有 0.0.0.0/0 的实例接受来自所有互联网 IP 的连接。此 recommender 称为移除宽泛的公共访问权限

此 Recommender 每天主动检测具有宽泛公共 IP 地址范围的实例,并提供数据分析和建议,以提高实例安全性。您可以使用 Google Cloud 控制台、gcloud CLIRecommender API 查看有关启用了公共 IP 地址范围并容易发生安全事故的实例的数据分析和详细建议。

准备工作

请确保启用 Recommender API

所需的角色和权限

如需获得查看和使用数据分析和建议的权限,请确保您具有所需的 Identity and Access Management (IAM) 角色

Tasks 角色
查看建议 recommender.cloudsqlViewercloudsql.admin
采纳建议 cloudsql.editorcloudsql.admin
如需详细了解 IAM 角色,请参阅 IAM 基本角色和预定义角色参考文档以及管理对项目、文件夹和组织的访问权限

列出建议

如需列出建议,请按以下步骤操作:

控制台

  1. 转到 Recommendation Hub

    转到 Recommendation Hub

    如需了解详情,请参阅探索建议

  2. 保护 Cloud SQL 实例卡片中,点击查看全部。此时将显示安全建议页面。它列出了建议以及这些建议适用的实例。

gcloud

运行 gcloud recommender recommendations list 命令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1。

API

调用 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

查看数据分析和详细建议

如需查看数据分析和详细建议,请按以下步骤操作:

控制台

安全建议页面上,点击某个实例的建议。此时会显示“建议”面板,其中包含数据分析和详细建议。

gcloud

运行 gcloud recommender insights list 命令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

API

调用 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

应用建议

控制台

如需实施此建议,请点击管理已获授权的网络,然后使用以下选项之一:

gcloud

如需实施此建议,请使用以下选项之一:

API

如需实施此建议,请使用以下选项之一:

后续步骤