Configurare la sicurezza per i dispositivi di rete collegati

Questa pagina descrive in che modo gli amministratori di reti per i consumatori possono gestire la sicurezza nelle reti VPC che utilizzano i componenti aggiuntivi di rete.

Le interfacce Private Service Connect vengono create e gestite da un'organizzazione di producer, ma si trovano in una rete VPC consumer. Per la sicurezza lato consumatore, consigliamo regole firewall basate su intervalli di indirizzi IP della rete VPC del consumatore. Questo approccio permette al consumatore di controllare il traffico proveniente da interfacce Private Service Connect senza facendo affidamento sui tag di rete del producer.

L'utilizzo dei tag di rete con regole firewall è supportato, ma sconsigliato, perché il consumatore non ha il controllo di questi tag.

Limita il traffico in entrata dal produttore al consumatore

Considera la configurazione di esempio nella figura 1, in cui il consumatore vuole per concedere al producer l'accesso a producer-ingress-subnet e bloccare di accedere a restricted-subnet.

Le seguenti regole firewall consentono l'ingresso limitato dal produttore al consumatore:

1. Una regola di bassa priorità nega tutto il traffico in uscita dall'intervallo di indirizzi IP della subnet dell'attacco alla rete, attachment-subnet.

   gcloud compute firewall-rules create deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=ALL \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regola di priorità più elevata consente il traffico in uscita dall'intervallo di indirizzi IP attachment-subnet verso le destinazioni nell'intervallo di indirizzi di producer-ingress-subnet.

   gcloud compute firewall-rules create allow-limited-egress \
       --network=consumer-vpc \
       --action=ALLOW \
       --rules=ALL \
       --direction=EGRESS \
       --priority=1000 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="10.10.2.0/24"
   

3. Una regola Consenti entrata sostituisce la regola implicita di negazione in entrata per traffico proveniente da attachment-subnet.

   gcloud compute firewall-rules create allow-ingress \
   --network=consumer-vpc \
   --action=ALLOW \
   --rules=ALL \
   --direction=INGRESS \
   --priority=1000 \
   --source-ranges="10.0.1.48/28"
   

Consenti l'uscita dal consumatore al produttore

Se vuoi consentire a una rete di consumatori di avviare il traffico verso una rete di produttori, puoi utilizzare le regole firewall in entrata.

Consideriamo la configurazione di esempio nella figura 2, in cui il consumatore vuole lasciare subnet-1 accede alla rete del producer tramite Connessione Private Service Connect.

La seguente regola firewall garantisce che solo subnet-1 possono accedere alla rete del producer Connessione Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Configurare la sicurezza tra produttori

Puoi utilizzare le regole firewall VPC per la sicurezza in scenari in cui un'applicazione producer deve accedere a un'altra applicazione producer.

Considera uno scenario in cui un consumatore utilizza due diversi modelli e servizi ospitati in diverse reti VPC. Un servizio è un database e l'altro servizio fornisce analisi. Il servizio di analisi deve connettersi al servizio di database per analizzarne i dati. Un approccio è che i servizi creino una connessione diretta. Tuttavia, se i due servizi di terze parti sono collegati direttamente, il consumatore perde il controllo e la visibilità sui propri dati.

Un approccio più sicuro consiste nell'utilizzare le interfacce di Private Service Connect, gli endpoint di Private Service Connect e le regole del firewall VPC, come mostrato nella figura 3.

In questo approccio, la rete del consumatore si connette all'applicazione di database tramite un endpoint in una subnet e si connette all'applicazione di analisi tramite un allegato di rete in un'altra subnet. Il traffico proveniente dall'applicazione di analisi può raggiungere l'applicazione di database passando per l'interfaccia e il collegamento di rete Private Service Connect, transitando per la rete del consumer ed uscendo tramite l'endpoint in endpoint-subnet.

Nella rete VPC consumer, è presente una regola firewall VPC nega tutto il traffico in uscita da attachment-subnet. Un'altra regola firewall che ha una priorità più alta consente il traffico in uscita da attachment-subnet e consumer-private-subnet verso l'endpoint. Di conseguenza, il traffico proveniente dall'applicazione di analisi può raggiungere la rete VPC dell'applicazione di database e questo traffico deve passare attraverso l'endpoint nel consumer.

Le seguenti regole firewall creano la configurazione descritta nella figura 4.

1. Una regola firewall blocca tutto il traffico in uscita da attachment-subnet:

   gcloud compute firewall-rules create consumer-deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=all \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regola firewall consente il traffico TCP in uscita sulla porta 80 da attachment-subnet e consumer-private-subnet verso l'endpoint:

   gcloud compute firewall-rules create consumer-allow-80-egress \
       --network=intf-consumer-vpc \
       --allow=tcp:80 \
       --direction=EGRESS \
       --source-ranges="10.0.1.48/28,10.10.2.0/24" \
       --destination-ranges="10.0.1.66/32" \
       --priority=1000