Sicherheit für Netzwerkanhänge konfigurieren
Auf dieser Seite wird beschrieben, wie Administratoren von Kundennetzwerken die Sicherheit in VPC-Netzwerken verwalten können, die Netzwerkanhänge verwenden.
Private Service Connect-Schnittstellen werden von einer Erstellerorganisation erstellt und verwaltet, befinden sich aber in einem Nutzer-VPC-Netzwerk. Für die Sicherheit auf Nutzerseite empfehlen wir Firewallregeln, die auf IP-Adressbereichen aus dem Nutzer-VPC-Netzwerk basieren. So können Nutzer den Traffic von Private Service Connect-Schnittstellen steuern, ohne die Netzwerk-Tags des Erstellers zu verwenden.
Die Verwendung von Netzwerktags mit Firewallregeln wird unterstützt, aber nicht empfohlen, da der Nutzer diese Tags nicht steuert.
Ersteller-zu-Nutzer-Ingress beschränken
Betrachten Sie die Beispielkonfiguration in Abbildung 1, bei der der Nutzer dem Ersteller Zugriff auf producer-ingress-subnet gewähren und den Zugriff des Erstellers auf restricted-subnet blockieren möchte.
Abbildung 1. Firewallregeln sorgen dafür, dass der Traffic vom Ersteller-Subnetz nur VMs in den Subnetzen attachment-subnet und producer-ingress-subnet erreichen kann.
Die folgenden Firewallregeln lassen eingeschränkten Ersteller-zu-Nutzer-Ingress zu:
Eine Regel mit niedriger Priorität lehnt den gesamten ausgehenden Traffic aus dem IP-Adressbereich des Subnetzes des Netzwerkanhangs,
attachment-subnet, ab.gcloud compute firewall-rules create deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=ALL \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Eine Regel mit höherer Priorität lässt ausgehenden Traffic vom IP-Adressbereich von
attachment-subnetzu Zielen im Adressbereichproducer-ingress-subnetzu.gcloud compute firewall-rules create allow-limited-egress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=EGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="10.10.2.0/24"Eine Regel zum Zulassen von eingehendem Traffic überschreibt die implizierte Regel zum Ablehnen von eingehendem Traffic für Traffic von
attachment-subnet.gcloud compute firewall-rules create allow-ingress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=INGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28"
Ausgehenden Traffic von Nutzer zu Ersteller zulassen
Wenn Sie zulassen möchten, dass ein Nutzernetzwerk Traffic zu einem Erstellernetzwerk initiiert, können Sie Firewallregeln für eingehenden Traffic verwenden.
Betrachten Sie die Beispielkonfiguration in Abbildung 2. Hier will der Nutzer subnet-1 über die Private Service Connect-Verbindung auf das Netzwerk des Erstellers zugreifen lassen.
Abbildung 2. Mit einer Firewallregel für eingehenden Traffic kann subnet-1 über eine Private Service Connect-Verbindung auf das Netzwerk des Erstellers zugreifen, während subnet-2 durch die implizierte Regel zum Ablehnen von eingehendem Traffic blockiert wird (zum Vergrößern klicken). )
Folgende Firewallregel stellt sicher, dass nur subnet-1 über die Private Service Connect-Verbindung auf das Netzwerk des Erstellers zugreifen kann:
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.10.2.0/24" \
--destination-ranges="10.0.1.48/28"
Konfiguration der Ersteller-zu-Ersteller-Sicherheit
Sie können VPC-Firewallregeln zur Sicherung in Szenarien verwenden, bei denen eine Erstelleranwendung auf eine andere Erstelleranwendung zugreifen muss.
Angenommen, ein Nutzer verwendet zwei verschiedene verwaltete Dienste von Drittanbietern, die in verschiedenen VPC-Netzwerken gehostet werden. Ein Dienst ist eine Datenbank, der andere stellt Analysen bereit. Der Analysedienst muss eine Verbindung zum Datenbankdienst herstellen, um dessen Daten zu analysieren. Ein entsprechender Ansatz besteht darin, dass die Dienste eine direkte Verbindung aufbauen. Sind die beiden Drittanbieterdienste jedoch direkt verbunden, verliert der Nutzer Kontrolle und Sichtbarkeit, was seine Daten angeht.
Eine sicherere Methode besteht darin, Private Service Connect-Schnittstellen, Private Service Connect-Endpunkte und VPC-Firewallregeln zu verwenden, wie in Abbildung 3 dargestellt.
Abbildung 3. Traffic von der Analyseanwendung, der an die Datenbankanwendung gerichtet ist, wird durch das VPC-Netzwerk des Nutzers geleitet. Mit VPC-Firewallregeln wird der ausgehende Traffic basierend auf dem Quell-IP-Adressbereich eingeschränkt (zum Vergrößern klicken).
Bei diesem Ansatz stellt das Nutzernetzwerk über einen Endpunkt in einem Subnetz eine Verbindung zur Datenbankanwendung und über einen Netzwerkanhang in einem anderen Subnetz eine Verbindung zur Analyseanwendung her. Traffic von der Analyseanwendung kann die Datenbankanwendung erreichen. Dazu wird er über die Private Service Connect-Schnittstelle und den Netzwerkanhang geleitet, durchläuft das Nutzernetzwerk und tritt über den Endpunkt in endpoint-subnet aus.
Im Nutzer-VPC-Netzwerk lehnt eine VPC-Firewallregel den gesamten ausgehenden Traffic von attachment-subnet ab. Eine weitere Firewallregel mit höherer Priorität erlaubt ausgehenden Traffic von attachment-subnet und consumer-private-subnet zum Endpunkt. Daher kann der Traffic von der Analyseanwendung das VPC-Netzwerk der Datenbankanwendung erreichen und muss über den Endpunkt im Nutzer fließen.
Folgende Firewallregeln erstellen die in Abbildung 4 beschriebene Konfiguration.
Eine Firewallregel blockiert den gesamten ausgehenden Traffic von
attachment-subnet:gcloud compute firewall-rules create consumer-deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=all \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Eine Firewallregel erlaubt ausgehenden TCP-Traffic auf Port 80 von
attachment-subnetundconsumer-private-subnetan den Endpunkt:gcloud compute firewall-rules create consumer-allow-80-egress \ --network=intf-consumer-vpc \ --allow=tcp:80 \ --direction=EGRESS \ --source-ranges="10.0.1.48/28,10.10.2.0/24" \ --destination-ranges="10.0.1.66/32" \ --priority=1000