Nesta página, descrevemos como visualizar e implementar recomendações sobre quando remover o intervalo de endereços IP de 0.0.0.0/0
das redes autorizadas.
As instâncias com 0.0.0.0/0
em redes autorizadas aceitam conexões de todos os IPs da Internet. Esse recommender é chamado de Remover o acesso público amplo.
Todos os dias, esse recomendador detecta proativamente instâncias que têm amplos intervalos de endereços IP públicos e fornece insights e recomendações para melhorar a segurança da instância. Para acessar insights e recomendações detalhadas sobre instâncias com intervalos de endereços IP públicos ativados e vulneráveis a violações de segurança, use o console do Google Cloud, a CLI gcloud ou a API Recommender.
Antes de começar
Papéis e permissões necessárias
Para ter as permissões de visualizar e trabalhar com insights e recomendações, verifique se você tem os papéis do Identity and Access Management (IAM) necessários.
Tarefas | Papéis |
---|---|
Ver recomendações |
recommender.cloudsqlViewer ou
cloudsql.admin .
|
Aplicar recomendações |
cloudsql.editor
ou cloudsql.admin .
|
Listar as recomendações
Para listar as recomendações, siga estas etapas:
Console
Acesse o Hub de recomendações.
Para mais informações, consulte Como explorar as recomendações.
No card Instâncias seguras do Cloud SQL, clique em Ver tudo. A página Recomendações de segurança será exibida. Ela lista as recomendações e as instâncias a que essas recomendações se aplicam.
gcloud
Execute o comando gcloud recommender recommendations list
da seguinte maneira:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região onde as instâncias estão localizadas, como us-central1.
API
Chame o método recommendations.list
da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
Ver insights e recomendações detalhadas
Para ver insights e recomendações detalhadas, siga estas etapas:
Console
Na página Recomendações de segurança, clique na recomendação de uma instância. O painel de recomendações é exibido com insights e recomendações detalhadas.
gcloud
Execute o comando gcloud recommender insights list
da seguinte maneira:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
API
Chame o método insights.list
da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
Aplicar a recomendação
Console
Para implementar essa recomendação, clique em Gerenciar redes autorizadas e use uma das seguintes opções:
- Remova os endereços IP amplos das redes autorizadas. Para mais informações, consulte Autorizar com redes autorizadas.
- Use o proxy do Cloud SQL Auth e os conectores de linguagem do Cloud SQL.
gcloud
Para implementar essa recomendação, use uma das seguintes opções:
- Remova os endereços IP amplos das redes autorizadas. Para mais informações, consulte Autorizar com redes autorizadas.
- Use o proxy do Cloud SQL Auth e os conectores de linguagem do Cloud SQL.
API
Para implementar essa recomendação, use uma das seguintes opções:
- Remova os endereços IP amplos das redes autorizadas. Para mais informações, consulte Autorizar com redes autorizadas.
- Use o proxy do Cloud SQL Auth e os conectores de linguagem do Cloud SQL.