Mengonfigurasi keamanan untuk lampiran jaringan

Halaman ini menjelaskan cara administrator jaringan konsumen dalam mengelola keamanan di jaringan VPC yang menggunakan lampiran jaringan.

Antarmuka Private Service Connect dibuat dan dikelola oleh organisasi produsen, tetapi mereka berada di jaringan VPC konsumen. Untuk keamanan sisi konsumen, kami merekomendasikan aturan firewall yang didasarkan pada rentang alamat IP dari jaringan VPC konsumen. Pendekatan ini memungkinkan konsumen mengontrol traffic yang berasal dari antarmuka Private Service Connect tanpa mengandalkan tag jaringan produsen.

Penggunaan tag jaringan dengan aturan firewall didukung, tetapi tidak direkomendasikan, karena konsumen tidak mengontrol tag tersebut.

Membatasi traffic masuk produsen ke konsumen

Pertimbangkan contoh konfigurasi pada gambar 1, saat konsumen ingin memberikan akses produsen ke producer-ingress-subnet dan memblokir produsen agar tidak mengakses restricted-subnet.

Gambar 1. Aturan firewall memastikan bahwa traffic dari subnet produsen hanya dapat menjangkau VM di attachment-subnet dan producer-ingress-subnet.

Aturan firewall berikut mengizinkan traffic masuk produsen-ke-konsumen secara terbatas:

  1. Aturan prioritas rendah menolak semua traffic keluar dari rentang alamat IP subnet lampiran jaringan, attachment-subnet.

    gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="0.0.0.0/0"

  2. Aturan prioritas yang lebih tinggi memungkinkan traffic keluar dari rentang alamat IP attachment-subnet ke tujuan dalam rentang alamat IP producer-ingress-subnet.

    gcloud compute firewall-rules create allow-limited-egress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="10.10.2.0/24"

  3. Aturan izin masuk menggantikan aturan tolak masuk yang tersirat untuk traffic dari attachment-subnet.

    gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.0.1.48/28"

Mengizinkan traffic keluar konsumen ke produsen

Jika ingin mengizinkan jaringan konsumen memulai traffic ke jaringan produsen, Anda dapat menggunakan aturan firewall masuk.

Pertimbangkan contoh konfigurasi pada gambar 2, saat konsumen ingin mengizinkan subnet-1 mengakses jaringan produsen melalui koneksi Private Service Connect.

Gambar 2. Aturan firewall izin masuk memungkinkan subnet-1 mengakses jaringan produsen melalui koneksi Private Service Connect, sedangkan subnet-2 diblokir oleh aturan tolak masuk yang tersirat.

Aturan firewall berikut memastikan bahwa hanya subnet-1 yang dapat mengakses jaringan produsen melalui koneksi Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Mengonfigurasi keamanan produsen ke produsen

Anda dapat menggunakan aturan firewall VPC untuk keamanan dalam skenario ketika aplikasi produsen perlu mengakses aplikasi produser lain.

Pertimbangkan sebuah skenario saat konsumen menggunakan dua layanan terkelola pihak ketiga yang berbeda yang dihosting di jaringan VPC yang berbeda. Satu layanan adalah database, dan layanan lainnya menyediakan analisis. Layanan analisis harus terhubung ke layanan database agar dapat menganalisis datanya. Salah satu pendekatannya adalah agar layanan membuat koneksi langsung. Namun, jika kedua layanan pihak ketiga tersebut terhubung langsung, konsumen akan kehilangan kontrol dan visibilitas atas datanya.

Pendekatan yang lebih aman adalah menggunakan antarmuka Private Service Connect, endpoint Private Service Connect, dan aturan firewall VPC, seperti yang ditunjukkan pada gambar 3.

Gambar 3. Traffic dari aplikasi analisis yang terikat untuk aplikasi database akan melewati jaringan VPC konsumen. Aturan firewall VPC membatasi traffic keluar berdasarkan rentang alamat IP sumber.

Dalam pendekatan ini, jaringan konsumen terhubung ke aplikasi database melalui endpoint dalam satu subnet dan terhubung ke aplikasi analisis melalui lampiran jaringan di subnet yang berbeda. Traffic dari aplikasi analisis dapat menjangkau aplikasi database dengan melewati antarmuka Private Service Connect dan lampiran jaringan, dengan transit jaringan konsumen, dan keluar melalui endpoint di endpoint-subnet.

Di jaringan VPC konsumen, aturan firewall VPC menolak semua traffic keluar dari attachment-subnet. Aturan firewall lain yang memiliki prioritas lebih tinggi mengizinkan traffic keluar dari attachment-subnet dan consumer-private-subnet ke endpoint. Akibatnya, traffic dari aplikasi analisis dapat menjangkau jaringan VPC aplikasi database, dan traffic ini harus mengalir melalui endpoint di konsumen.

Aturan firewall berikut membuat konfigurasi yang dijelaskan dalam gambar 4.

  1. Aturan firewall memblokir semua traffic keluar dari attachment-subnet:

    gcloud compute firewall-rules create consumer-deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=all \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="10.0.1.48/28" \
    --destination-ranges="0.0.0.0/0"

  2. Aturan firewall mengizinkan traffic TCP keluar di port 80 dari attachment-subnet dan consumer-private-subnet ke endpoint:

    gcloud compute firewall-rules create consumer-allow-80-egress \
    --network=intf-consumer-vpc \
    --allow=tcp:80 \
    --direction=EGRESS \
    --source-ranges="10.0.1.48/28,10.10.2.0/24" \
    --destination-ranges="10.0.1.66/32" \
    --priority=1000