Migliora la sicurezza delle istanze rimuovendo le reti autorizzate

In questa pagina viene descritto come visualizzare e implementare i suggerimenti sulla rimozione delle reti autorizzate per le istanze che violano i criteri dell'organizzazione constraints/sql.restrictAuthorizedNetworks applicati dall'amministratore. Questa violazione dei criteri si verifica quando esistono già reti autorizzate per un'istanza al momento dell'applicazione del vincolo. Il recommender si chiama Rimuovi reti autorizzate.

Ogni giorno, questo motore per suggerimenti rileva in modo proattivo le istanze che violano il criterio dell'organizzazione constraints/sql.restrictAuthorizedNetworks e fornisce insight e suggerimenti per migliorare la sicurezza delle istanze. Puoi visualizzare insight e suggerimenti dettagliati su queste istanze utilizzando la console Google Cloud, gcloud CLI o l'API Recommender.

Per ulteriori informazioni sui criteri dell'organizzazione, vedi Criteri dell'organizzazione di Cloud SQL.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Autorizzazioni e ruoli richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare insight e suggerimenti, assicurati di disporre dei ruoli IAM (Identity and Access Management) richiesti.

Attività Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer oppure cloudsql.admin.
Applica consigli cloudsql.editor o cloudsql.admin.
Per maggiori informazioni sui ruoli IAM, consulta Riferimento per i ruoli IAM di base e predefiniti e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i suggerimenti

Per elencare i consigli:

Console

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per ulteriori informazioni, vedi Esplorare i consigli.

  2. Nella scheda Proteggere le istanze Cloud SQL, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i suggerimenti e le istanze a cui si applicano.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Visualizza approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Nella pagina Suggerimenti per la sicurezza, fai clic sul suggerimento per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION : una regione in cui si trovano le tue istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Applica il consiglio

Console

Per implementare il suggerimento:

  1. Fai clic su Gestisci reti autorizzate.

  2. Configura i tuoi client per l'utilizzo del proxy di autenticazione Cloud SQL e dei connettori di linguaggio Cloud SQL.

  3. Rimuovi le reti autorizzate nella tua istanza.

gcloud

Per implementare il suggerimento:

  1. Configura i tuoi client per l'utilizzo del proxy di autenticazione Cloud SQL e dei connettori di linguaggio Cloud SQL.

  2. Rimuovi le reti autorizzate nella tua istanza.

API

Per implementare il suggerimento:

  1. Configura i tuoi client per l'utilizzo del proxy di autenticazione Cloud SQL e dei connettori di linguaggio Cloud SQL.

  2. Rimuovi le reti autorizzate nella tua istanza.

Passaggi successivi