Tutorial ini menunjukkan cara melindungi Compute Engine menggunakan perimeter layanan dan memecahkan masalah pelanggaran ingress untuk mengizinkan akses yang diotorisasi ke Compute Engine.
Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di sekitar resource layanan yang dikelola Google untuk mengontrol komunikasi ke dan di antara layanan tersebut. Anda dapat membuat perimeter zero-trust di sekitar resource sensitif, yang membatasi akses ke alamat IP, pengguna, dan perangkat yang diotorisasi. Kemampuan ini memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah.
Tutorial ini ditujukan untuk Google Cloud administrator organisasi yang ingin mempelajari konsep dasar Kontrol Layanan VPC.
Tujuan
- Memahami dasar-dasar Kontrol Layanan VPC.
- Membuat perimeter layanan.
- Melindungi project menggunakan Kontrol Layanan VPC.
- Memecahkan masalah pelanggaran ingress Kontrol Layanan VPC.
Biaya
Dalam dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.
Sebelum memulai
Anda harus memiliki Google Cloud resource organisasi. Jika belum memiliki akun Google Workspace atau Cloud Identity, Anda harus mendapatkannya, yang akan otomatis membuat resource organisasi untuk Anda.
Buat folder,
Exercise
, di tingkat organisasi.Buat dua project,
My-Project-1
danMy-Project-2
, di folderExercise
dalam organisasi yang sama.Pastikan Anda memiliki izin dan peran berikut di tingkat organisasi:
Izin dan peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC.
Izin dan peran yang diperlukan untuk mengelola Compute Engine.
Membuat perimeter layanan
Buat perimeter layanan yang melindungi Compute Engine API di project My-Project-2
:
Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.
Pastikan Anda berada dalam cakupan organisasi.
Klik Kelola kebijakan.
Buat kebijakan akses baru yang dicakupkan ke folder
Exercise
.Buat perimeter baru dengan detail berikut:
Judul:
MyFirstPerimeter
Jenis perimeter: Reguler
Mode penerapan: Diterapkan
Resource yang akan dilindungi: project
My-Project-2
Layanan yang dibatasi: Compute Engine API
Memverifikasi perimeter
Di bagian ini, Anda dapat membuat permintaan akses ke resource dalam project untuk mengonfirmasi apakah perimeter melindungi resource yang dimaksud.
Akses project
My-Project-1
dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman Instance VM.Anda seharusnya dapat mengakses karena
My-Project-1
tidak dilindungi oleh perimeter yang Anda buat sebelumnya.Akses project
My-Project-2
dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman Instance VM.Anda akan melihat bahwa Kontrol Layanan VPC menolak permintaan Anda untuk mengakses Compute Engine karena perimeter
MyFirstPerimeter
melindungiMy-Project-2
dan Compute Engine API.
Memecahkan masalah pelanggaran
Log audit Kontrol Layanan VPC
menyertakan detail tentang permintaan ke resource yang dilindungi dan alasan
Kontrol Layanan VPC menolak permintaan tersebut. Anda memerlukan informasi ini untuk mengidentifikasi dan
memecahkan masalah pelanggaran dalam project My-Project-2
.
Lihat log audit
Temukan ID unik pelanggaran Kontrol Layanan VPC di log audit project
My-Project-2
:-
Di konsol Google Cloud, buka halaman Logs Explorer:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
Pilih project
My-Project-2
.Untuk menampilkan semua log audit, masukkan kueri berikut ke kolom editor kueri:
resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
Klik Run query.
Kueri ini menampilkan semua log audit Kontrol Layanan VPC. Untuk menemukan detail pelanggaran akses Compute Engine API di project
My-Project-2
, periksa log error terakhir.Untuk mengetahui informasi selengkapnya, lihat Melihat log.
-
Di panel Hasil kueri, klik Kontrol Layanan VPC di samping penolakan yang ingin Anda pecahkan masalahnya, lalu klik Pecahkan masalah penolakan.
Halaman Pemecah masalah Kontrol Layanan VPC akan terbuka. Halaman ini menampilkan alasan pelanggaran dan informasi lainnya seperti apakah pelanggaran tersebut merupakan pelanggaran masuk atau keluar.
Dalam tutorial ini, cari informasi berikut:
"principalEmail": "USER@DOMAIN" "callerIp": "PUBLIC_IP_ADDRESS" "serviceName": "compute.googleapis.com" "servicePerimeterName": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter "ingressViolations": [ { "targetResource": "projects/PROJECT_NUMBER", "servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter" } ], "violationReason": "NO_MATCHING_ACCESS_LEVEL", "resourceNames": "PROJECT_ID"
Alasan pelanggarannya adalah
"NO_MATCHING_ACCESS_LEVEL"
. Pelanggaran"NO_MATCHING_ACCESS_LEVEL"
terjadi jika alamat IP, jenis perangkat, atau identitas pengguna tidak cocok dengan aturan masuk atau tingkat akses yang terkait dengan perimeter. Jika alamat IP pemanggil tidak ada atau muncul sebagai alamat IP internal dalam log, pelanggaran ini dapat disebabkan oleh layanan Google Cloud yang tidak didukung oleh Kontrol Layanan VPC.
Untuk memperbaiki penolakan ini di project My-Project-2
, Anda memiliki dua opsi:
Buat tingkat akses yang mengizinkan akses ke alamat IP sistem Anda ke project di dalam perimeter.
Buat aturan masuk yang mengizinkan akses ke klien API dari luar perimeter ke resource dalam perimeter.
Bagian berikut mengilustrasikan cara memecahkan masalah penolakan ini dengan membuat tingkat akses.
Membuat tingkat akses
Di konsol Google Cloud, buka halaman Access Context Manager di cakupan folder
Exercise
.Buat tingkat akses dengan detail berikut:
Untuk Create conditions in, pilih Basic mode.
Untuk Jika kondisi terpenuhi, tampilkan, pilih Benar.
Pilih atribut Subnetwork IP, tentukan alamat IP publik sistem Anda.
Pilih atribut Lokasi geografis, tentukan lokasi geografis Anda.
Tingkat akses ini hanya mengizinkan akses jika alamat IP dan lokasi geografis cocok.
Buka halaman VPC Service Controls di cakupan organisasi.
Pilih kebijakan akses yang Anda buat sebelumnya dalam tutorial ini.
Tambahkan tingkat akses yang Anda buat di cakupan folder
Exercise
ke perimeterMyFirstPerimeter
.
Menguji akses
Setelah menambahkan tingkat akses, pastikan Anda dapat mengakses Compute Engine
di project My-Project-2
dan membuat instance VM.
Di konsol Google Cloud, buka halaman Instance VM.
Setelah sekitar satu menit, Compute Engine akan membuat instance VM dan tindakan ini akan memverifikasi bahwa Anda memiliki akses penuh ke Compute Engine yang dilindungi di dalam perimeter.
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.
Menghapus project
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Menghapus resource satu per satu
Menghapus instance VM
- In the Google Cloud console, go to the VM instances page.
- Select the checkbox for the instance that you want to delete.
- To delete the instance, click More actions, click Delete, and then follow the instructions.
Menghapus resource Kontrol Layanan VPC
Hapus tingkat akses yang Anda buat di cakupan folder
Exercise
.