從已授權的網路移除廣泛的公開 IP 範圍,提升執行個體安全性

本頁說明如何查看及實作相關建議,瞭解何時應從授權網路中移除 0.0.0.0/0 的 IP 位址範圍。授權網路中含有 0.0.0.0/0 的執行個體會接受來自所有網際網路 IP 的連線。這項建議稱為「移除廣泛的公開存取權」

這項建議工具每天都會主動偵測具有廣泛公開 IP 位址範圍的執行個體,並提供洞察資料和建議,協助您提升執行個體安全性。您可以透過 Google Cloud 控制台、gcloud CLIRecommender API,查看已啟用公用 IP 位址範圍且容易發生安全漏洞的執行個體深入分析結果和詳細建議。

事前準備

請務必啟用 Recommender API

必要角色和權限

如要取得查看及使用洞察和建議的權限,請確認您具備必要的身分與存取權管理 (IAM) 角色

Tasks 角色
查看建議 recommender.cloudsqlViewercloudsql.admin
套用建議 cloudsql.editorcloudsql.admin
如要進一步瞭解 IAM 角色,請參閱「IAM 基本和預先定義的角色參考資料」和「管理專案、資料夾和機構的存取權」。

列出建議

如要列出建議,請按照下列步驟操作:

主控台

如要列出執行個體安全性的相關建議,請按照下列步驟操作:

  1. 前往「Cloud SQL 執行個體」頁面。

    前往 Cloud SQL 執行個體

  2. 查看例項表格中的「問題」欄。

或者,請按照下列步驟操作:

  1. 前往建議中心

    前往建議中心

    詳情請參閱「探索最佳化建議」。

  2. 在「所有建議」資訊卡中,按一下「安全性」

gcloud

執行 gcloud recommender recommendations list 指令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1。

API

呼叫 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

查看洞察資料和詳細建議

如要查看洞察資料和詳細建議,請按照下列步驟操作:

主控台

列出建議後,請點選其中一項。 系統會顯示建議面板,其中包含洞察資料和詳細建議。

gcloud

執行 gcloud recommender insights list 指令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

API

呼叫 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

套用最佳化建議

主控台

如要實作這項建議,請按一下「管理授權網路」,然後使用下列其中一個選項:

gcloud

如要實作這項建議,請使用下列其中一個選項:

API

如要實作這項建議,請使用下列其中一個選項:

後續步驟