Instanzsicherheit durch Entfernen autorisierter Netzwerke verbessern

Auf dieser Seite wird beschrieben, wie Sie Empfehlungen zum Entfernen autorisierter Netzwerke für Instanzen aufrufen und implementieren, die gegen die vom Administrator erzwungene constraints/sql.restrictAuthorizedNetworks-Organisationsrichtlinie verstoßen. Dieser Richtlinienverstoß tritt auf, wenn autorisierte Netzwerke zum Zeitpunkt der Erzwingung der Einschränkung bereits für eine Instanz vorhanden sind. Dieser Recommender heißt Autorisierte Netzwerke entfernen.

Dieser Recommender erkennt proaktiv Instanzen, die gegen die Organisationsrichtlinie constraints/sql.restrictAuthorizedNetworks verstoßen, und bietet Statistiken und Empfehlungen zur Verbesserung der Instanzsicherheit. Mit der Google Cloud Console, der gcloud CLI oder der Recommender API können Sie Informationen und detaillierte Empfehlungen zu diesen Instanzen aufrufen.

Weitere Informationen zu Organisationsrichtlinien finden Sie unter Organisationsrichtlinien für Cloud SQL.

Hinweise

Aktivieren Sie die Recommender API.

Erforderliche Rollen und Berechtigungen

Prüfen Sie, ob Sie die erforderlichen IAM-Rollen (Identity and Access Management) haben, um die Berechtigungen zum Aufrufen und Verwenden von Informationen und Empfehlungen zu erhalten.

Aufgaben Rollen
Empfehlungen aufrufen recommender.cloudsqlViewer oder cloudsql.admin.
Empfehlungen übernehmen cloudsql.editor oder cloudsql.admin.
Weitere Informationen zu IAM-Rollen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen und unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Empfehlungen auflisten

So listen Sie die Empfehlungen auf:

Console

So listen Sie Empfehlungen zur Instanzsicherheit auf:

  1. Rufen Sie die Seite Cloud SQL-Instanzen auf.

    Cloud SQL-Instanzen aufrufen

  2. Sehen Sie sich die Spalte Probleme in der Instanztabelle an.

Oder führen Sie die folgenden Schritte aus:

  1. Rufen Sie den Recommendation Hub auf.

    Zum Recommendation Hub

    Weitere Informationen finden Sie unter Empfehlungen entdecken.

  2. Klicken Sie auf der Karte Alle Empfehlungen auf Sicherheit.

gcloud

Führen Sie den Befehl gcloud recommender recommendations list so aus:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich die Instanzen befinden, z. B. us-central1

API

Rufen Sie die Methode recommendations.list so auf:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Informationen und detaillierte Empfehlungen anzeigen

So rufen Sie Statistiken und detaillierte Empfehlungen auf:

Console

Klicken Sie nach der Auflistung der Empfehlungen auf eine Empfehlung. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.

gcloud

Führen Sie den Befehl gcloud recommender insights list so aus:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Rufen Sie die Methode insights.list so auf:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Empfehlung anwenden

Console

So implementieren Sie die Empfehlung:

  1. Klicken Sie auf Autorisierte Netzwerke verwalten.

  2. Konfigurieren Sie Ihre Clients für die Verwendung von Cloud SQL Auth Proxy und Cloud SQL Language Connectors.

  3. Entfernen Sie die autorisierten Netzwerke in Ihrer Instanz.

gcloud

So implementieren Sie die Empfehlung:

  1. Konfigurieren Sie Ihre Clients für die Verwendung von Cloud SQL Auth Proxy und Cloud SQL Language Connectors.

  2. Entfernen Sie die autorisierten Netzwerke in Ihrer Instanz.

API

So implementieren Sie die Empfehlung:

  1. Konfigurieren Sie Ihre Clients für die Verwendung von Cloud SQL Auth Proxy und Cloud SQL Language Connectors.

  2. Entfernen Sie die autorisierten Netzwerke in Ihrer Instanz.

Nächste Schritte