Migliora la sicurezza dell'istanza rimuovendo ampi intervalli di IP pubblici dalle reti autorizzate

Questa pagina descrive come visualizzare e implementare i consigli su quando rimuovere l'intervallo di indirizzi IP di 0.0.0.0/0 dalle reti autorizzate. Le istanze con 0.0.0.0/0 nelle reti autorizzate accettano connessioni da tutti gli IP internet. Questo consigliere si chiama Rimuovi accesso pubblico ampio.

Ogni giorno, questo motore per suggerimenti rileva proattivamente le istanze che hanno ampi intervalli di indirizzi IP pubblici e fornisce approfondimenti e consigli per migliorare della sicurezza dell'istanza. Puoi visualizzare approfondimenti e consigli dettagliati sulle istanze in cui sono abilitati gli intervalli di indirizzi IP pubblici e che sono vulnerabili a violazioni della sicurezza utilizzando la console Google Cloud, gcloud CLI o l'API Recommender.

.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari.

Tasks Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer o cloudsql.admin.
Applicare i consigli cloudsql.editor o cloudsql.admin.
Per ulteriori informazioni sui ruoli IAM, consulta Riferimento per i ruoli IAM di base e predefiniti e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i consigli

Per elencare i consigli:

Console

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per ulteriori informazioni, consulta la sezione Esplorazione dei suggerimenti.

  2. Nella scheda Istanze Cloud SQL sicure, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i consigli insieme alle istanze a cui si applicano.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Visualizza approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Nella pagina Consigli per la sicurezza, fai clic sul consiglio per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

Applica il consiglio

Console

Per implementare questo consiglio, fai clic su Gestisci reti autorizzate e poi utilizza una delle seguenti opzioni:

gcloud

Per implementare questo suggerimento, utilizza una delle seguenti opzioni:

API

Per implementare questo suggerimento, utilizza una delle seguenti opzioni:

Passaggi successivi