VPC Service Controls com VMware Engine

Para proteger ainda mais os recursos do Google Cloud VMware Engine, use o VPC Service Controls.

O VPC Service Controls permite a definição de um perímetro de segurança para os recursos do VMware Engine. O perímetro de serviço limita a exportação e a importação de recursos e dados associados a eles dentro do perímetro definido. Um conjunto de regras básico ou avançado precisa ser adicionado às políticas de entrada e saída do perímetro de serviço da VPC para implantar conexões particulares e nuvens privadas com sucesso.

Ao ativar o VPC Service Controls em um projeto recém-criado sem uma nuvem privada ou conexões particulares, é preciso especificar os valores personalizados de identificadores de chaves e informar os números dos projetos em que você pretende estabelecer conexões particulares. Se você estiver usando a política avançada, especifique as regiões em que planeja implantar nuvens privadas.

Ao criar um perímetro de serviço, basta selecionar um ou mais projetos que serão protegidos pelo perímetro. As solicitações entre projetos dentro do mesmo perímetro não são afetadas. Todas as APIs existentes continuarão funcionando, desde que os recursos envolvidos estejam no mesmo perímetro de serviço. Observe que as políticas e os papéis do IAM ainda se aplicam em um perímetro de serviço.

Quando um serviço é protegido por um perímetro, as solicitações não podem ser feitas por dentro do perímetro a qualquer recurso fora dele. Isso inclui a exportação de recursos de dentro para fora do perímetro. Para mais informações, consulte Visão geral na documentação do VPC Service Controls.

A solução alternativa descrita neste documento alcança os benefícios de segurança ao permitir a você:

consumir o VMware Engine usando a interface/API já existente.
manter o acesso à Internet desativado em nuvens privadas do VMware Engine (após a ativação).
apenas serviços compatíveis com APIs restritas que são aceitas no VMware Engine (após a ativação).
bloquear o acesso particular à API do Google Cloud no VMware Engine desistindo da rota correspondente (após a ativação).
bloquear a criação de novas conexões particulares (após a ativação).

Como ativar o VPC Service Controls

Antes de começar

Você precisa desativar o acesso à Internet para cada nuvem privada antes de ativar o VPC Service Controls.
Analise e remova cada conexão particular que não está configurada com o mesmo perímetro do projeto em que o serviço do VMware Engine está ativado. O VMware Engine não valida conexões particulares que já existem.
Crie todas as conexões particulares necessárias antes da ativação.
Consulte Como configurar políticas de entrada e saída para o VPC Service Controls. Você definirá novas políticas ao configurar os identificadores de chaves.

Etapas de ativação

Acesse o portal do VMware Engine.
Na seção VPC-SC da conta, clique em Ativar o controle VPC-SC (ignore esta etapa se quiser criar uma nova conexão particular).
- Para criar uma nova conexão particular, edite os identificadores de chave e adicione um número de projeto na caixa de texto Peering Numbers with VPC Connectivity e selecione All Rules em todas as regras. a política básica ou avançada.
Observação: para a desativação, é necessário entrar em contato com o suporte.
Na seção VPC-SC, em Identificadores de chaves, clique em Política básica ou Política avançada.
- Política básica: a política básica oferece um conjunto completo de regras que permitem implantar o serviço VMware Engine em todas as regiões e ainda mantê-lo compatível e seguro.
- Política avançada: a política avançada oferece os níveis mais rigorosos de regras no framework da política de serviço da VPC. Ela especifica o acesso mais detalhado a métodos e serviços e oferece uma divisão de regras quando você implanta o VMware Engine em um projeto separado das VPCs a que está se conectando. A política avançada restringe a conectividade do VMware Engine a regiões em que ele já está conectado ou a regiões selecionadas nos identificadores de chaves durante a edição da política.
Observação: quando o serviço do VMware Engine lançar uma nova funcionalidade, as regras de política serão modificadas ou atualizadas com outras regras.
[Opcional] Em Identificadores de chaves, clique em Ver/Editar identificadores de chaves.

Observação: os identificadores de chaves são usados para compilar regras no perímetro de serviço da VPC. É possível personalizar esses identificadores de chaves para ajustar as políticas básicas e avançadas.
1. Adicione o número do projeto conectado a uma conexão particular ou a uma conexão que talvez seja adicionada no futuro à caixa de texto Números de projetos de peering com conectividade VPC.
2. Deixe a definição de Anexos regionais de interconexão como Qualquer (implanta nuvens privadas e conexões particulares em todas as regiões) ou selecione Lista específica (define projetos específicos).
  
  Observação: isso se aplica apenas à política avançada na política básica em que qualquer uma é usada.
3. Deixe a definição de Contas de serviço para acesso ao firewall como Qualquer identidade (use quando uma nuvem privada for implantada em uma nova região) ou selecione Lista específica para aplicar uma lista mais rigorosa de contas de serviço.
  
  Observação: isso se aplica apenas à política avançada na política básica em que qualquer identidade é usada.
4. Clique em Concluído para finalizar a configuração do projeto.
Copie a política selecionada e siga as etapas em Como atualizar as políticas de entrada e saída de um perímetro de serviço para atualizar as regras do perímetro de serviço da VPC usando a Google Cloud CLI.
1. Se você estiver usando a política básica, copie o conjunto de regras.
2. Se você estiver usando a política avançada, copie o conjunto de regras Todas as regras. As regras da VPC e do VMware Engine são exibidas para facilitar a análise do conjunto de regras.
3. O conjunto de regras é composto por uma seção de entrada e saída. Cada seção é implantada separadamente.
4. O comando gcloud access-context-manager perimeters update substitui as regras de entrada ou saída. Verifique se todas as regras atuais e as regras do VMware Engine estão incluídas nos arquivos YAML usados para atualizar o perímetro.

Limitações

O serviço do VMware Engine não pode ser configurado como restrito em uma política do VPC Service Controls e não é totalmente compatível com os requisitos do VPC Service Controls. No entanto, os controles provisórios do VMware Engine oferecem o mesmo nível de controle oferecido no VPC Service Controls.
O cliente é responsável por marcar o projeto no modo VPC Service Controls na interface do VMware Engine. O VMware Engine não pode determinar automaticamente essa seleção com base nas configurações do VPC Service Controls.
As conexões particulares só podem ser estabelecidas antes da ativação do modo VPC Service Controls no projeto do VMware Engine. Se você quiser adicionar conexões particulares depois de ativar o modo VPC Service Controls, precisará abrir um tíquete de suporte para remover o modo VPC Service Controls do projeto temporariamente.

A seguir

Saiba mais sobre o VPC Service Controls.
Saiba mais sobre os serviços compatíveis com os IPs virtuais restritos.
Leia mais sobre as etapas de configuração do perímetro de serviço.