Configurare la sicurezza per i dispositivi di rete collegati

Questa pagina descrive in che modo gli amministratori di reti per i consumatori possono gestire la sicurezza nelle reti VPC che utilizzano i componenti aggiuntivi di rete.

Le interfacce Private Service Connect vengono create e gestite da un'organizzazione producer, ma si trovano in una rete VPC consumer. Per la sicurezza lato consumatore, consigliamo regole firewall basate su intervalli di indirizzi IP della rete VPC del consumatore. Questo approccio consente al consumer di controllare il traffico proveniente dalle interfacce Private Service Connect senza fare affidamento sui tag di rete del producer.

L'utilizzo dei tag di rete con le regole del firewall è supportato, ma non consigliato, perché il consumatore non controlla questi tag.

Limita l'ingresso dal produttore al consumatore

Considera la configurazione di esempio nella figura 1, in cui il consumatore vuole grante al produttore l'accesso a producer-ingress-subnet e bloccare l'accesso a restricted-subnet.

Le seguenti regole firewall consentono l'ingresso limitato dal produttore al consumatore:

1. Una regola di bassa priorità nega tutto il traffico in uscita dall'intervallo di indirizzi IP della subnet dell'attacco alla rete, attachment-subnet.

   gcloud compute firewall-rules create deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=ALL \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regola con priorità più elevata consente l'uscita dall'intervallo di indirizzi IP di attachment-subnet verso destinazioni nell'intervallo di indirizzi di producer-ingress-subnet.

   gcloud compute firewall-rules create allow-limited-egress \
       --network=consumer-vpc \
       --action=ALLOW \
       --rules=ALL \
       --direction=EGRESS \
       --priority=1000 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="10.10.2.0/24"
   

3. Una regola di traffico in entrata consente di ignorare la regola di traffico in entrata implicita per il traffico proveniente da attachment-subnet.

   gcloud compute firewall-rules create allow-ingress \
   --network=consumer-vpc \
   --action=ALLOW \
   --rules=ALL \
   --direction=INGRESS \
   --priority=1000 \
   --source-ranges="10.0.1.48/28"
   

Consenti l'uscita dal consumatore al produttore

Se vuoi consentire a una rete di consumatori di avviare il traffico verso una rete di produttori, puoi utilizzare le regole firewall in entrata.

Prendi in considerazione la configurazione di esempio nella figura 2, in cui il consumer vuole consentire a subnet-1 di accedere alla rete del producer tramite la connessione Private Service Connect.

La seguente regola firewall garantisce che solo subnet-1 possa accedere alla rete del produttore tramite la connessione Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Configurare la sicurezza tra produttori

Puoi utilizzare le regole firewall VPC per la sicurezza in scenari in cui un'applicazione producer deve accedere a un'altra applicazione producer.

Considera uno scenario in cui un consumatore utilizza due diversi servizi gestiti di terze parti ospitati in reti VPC diverse. Uno è un database, mentre l'altro fornisce analisi. Il servizio di analisi deve connettersi al servizio di database per analizzarne i dati. Un approccio è che i servizi creino una connessione diretta. Tuttavia, se i due servizi di terze parti sono collegati direttamente, il consumatore perde il controllo e la visibilità sui propri dati.

Un approccio più sicuro consiste nell'utilizzare le interfacce di Private Service Connect, gli endpoint di Private Service Connect e le regole del firewall VPC, come mostrato nella figura 3.

In questo approccio, la rete del consumatore si connette all'applicazione di database tramite un endpoint in una subnet e all'applicazione di analisi tramite un allegato di rete in un'altra subnet. Il traffico proveniente dall'applicazione di analisi può raggiungere l'applicazione di database passando per l'interfaccia e il collegamento di rete di Private Service Connect, transitando per la rete del consumer ed uscendo tramite l'endpoint in endpoint-subnet.

Nella rete VPC consumer, una regola firewall VPC nega tutto il traffico in uscita da attachment-subnet. Un'altra regola firewall con una priorità più alta consente il traffico in uscita da attachment-subnet e consumer-private-subnet all'endpoint. Di conseguenza, il traffico proveniente dall'applicazione di analisi può raggiungere la rete VPC dell'applicazione di database e questo traffico deve passare attraverso l'endpoint nel consumer.

Le seguenti regole firewall creano la configurazione descritta nella figura 4.

1. Una regola firewall blocca tutto il traffico in uscita da attachment-subnet:

   gcloud compute firewall-rules create consumer-deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=all \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regola firewall consente il traffico TCP in uscita sulla porta 80 da attachment-subnet e consumer-private-subnet all'endpoint:

   gcloud compute firewall-rules create consumer-allow-80-egress \
       --network=intf-consumer-vpc \
       --allow=tcp:80 \
       --direction=EGRESS \
       --source-ranges="10.0.1.48/28,10.10.2.0/24" \
       --destination-ranges="10.0.1.66/32" \
       --priority=1000