Configurare la sicurezza per i collegamenti di rete
In questa pagina viene descritto in che modo gli amministratori di rete consumer possono gestire la sicurezza nelle reti VPC che utilizzano i collegamenti di rete.
Le interfacce di Private Service Connect vengono create e gestite da un'organizzazione producer, ma si trovano in una rete VPC consumer. Per la sicurezza lato consumer, consigliamo regole firewall basate su intervalli di indirizzi IP della rete VPC consumer. Questo approccio consente al consumatore di controllare il traffico proveniente dalle interfacce di Private Service Connect senza fare affidamento sui tag di rete del producer.
L'utilizzo di tag di rete con regole firewall è supportato ma non consigliato, perché il consumer non controlla questi tag.
Limita il traffico in entrata da producer a consumatore
Considera la configurazione di esempio nella Figura 1, in cui il consumatore vuole concedere al producer l'accesso a producer-ingress-subnet e bloccarne l'accesso a restricted-subnet.
Figura 1. Le regole firewall assicurano che il traffico dalla subnet del producer possa raggiungere solo le VM in attachment-subnet e producer-ingress-subnet.
Le seguenti regole firewall consentono il traffico in entrata limitato da producer a consumatore:
Una regola di priorità bassa nega tutto il traffico in uscita dall'intervallo di indirizzi IP della subnet del collegamento di rete,
attachment-subnet.gcloud compute firewall-rules create deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=ALL \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Una regola di priorità più elevata consente il traffico in uscita dall'intervallo di indirizzi IP
attachment-subnetverso destinazioni nell'intervallo di indirizziproducer-ingress-subnet.gcloud compute firewall-rules create allow-limited-egress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=EGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="10.10.2.0/24"Una regola di autorizzazione in entrata esegue l'override della regola implicita di negazione in entrata per il traffico da
attachment-subnet.gcloud compute firewall-rules create allow-ingress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=INGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28"
Consenti il traffico in uscita da consumer a producer
Se vuoi consentire a una rete consumer di avviare il traffico verso la rete di un producer, puoi utilizzare le regole firewall in entrata.
Considera la configurazione di esempio nella Figura 2, in cui il consumer vuole consentire a subnet-1 di accedere alla rete del producer tramite la connessione Private Service Connect.
Figura 2. Una regola firewall di autorizzazione in entrata consente a subnet-1 di accedere alla rete del producer tramite una connessione Private Service Connect, mentre subnet-2 è bloccato dalla regola di negazione implicita in entrata.
La seguente regola firewall garantisce che solo subnet-1 possa accedere alla rete del producer tramite la connessione Private Service Connect:
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.10.2.0/24" \
--destination-ranges="10.0.1.48/28"
Configura la sicurezza da producer a producer
Puoi utilizzare le regole firewall VPC per la sicurezza negli scenari in cui un'applicazione producer deve accedere a un'altra applicazione producer.
Considera uno scenario in cui un consumatore utilizza due diversi servizi gestiti di terze parti ospitati in reti VPC diverse. Un servizio è un database e l'altro fornisce analisi. Il servizio di analisi deve connettersi al servizio di database per analizzare i suoi dati. Un approccio è creare una connessione diretta per i servizi. Tuttavia, se i due servizi di terze parti sono direttamente connessi, il consumatore perde il controllo e la visibilità sui propri dati.
Un approccio più sicuro prevede l'utilizzo delle interfacce Private Service Connect, degli endpoint di Private Service Connect e delle regole firewall VPC, come mostrato nella Figura 3.
Figura 3. Il traffico dall'applicazione di analisi associata all'applicazione di database passa attraverso la rete VPC consumer. Le regole firewall VPC limitano il traffico in uscita in base all'intervallo di indirizzi IP di origine.
Con questo approccio, la rete consumer si connette all'applicazione di database
tramite un endpoint in una subnet e si connette all'applicazione di analisi
tramite un collegamento di rete in una subnet diversa. Il traffico proveniente dall'applicazione di analisi può raggiungere l'applicazione di database passando attraverso l'interfaccia di Private Service Connect e il collegamento di rete, passando dalla rete consumer e passando per l'endpoint in endpoint-subnet.
Nella rete VPC consumer, una regola firewall VPC nega tutto il traffico in uscita da attachment-subnet. Un'altra regola firewall con una priorità più elevata consente il traffico in uscita da attachment-subnet e consumer-private-subnet verso l'endpoint. Di conseguenza, il traffico dall'applicazione di analisi può raggiungere la rete VPC dell'applicazione di database e deve passare attraverso l'endpoint nel consumer.
Le seguenti regole firewall creano la configurazione descritta nella Figura 4.
Una regola firewall blocca tutto il traffico in uscita da
attachment-subnet:gcloud compute firewall-rules create consumer-deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=all \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Una regola firewall consente il traffico TCP in uscita sulla porta 80 da
attachment-subneteconsumer-private-subnetverso l'endpoint:gcloud compute firewall-rules create consumer-allow-80-egress \ --network=intf-consumer-vpc \ --allow=tcp:80 \ --direction=EGRESS \ --source-ranges="10.0.1.48/28,10.10.2.0/24" \ --destination-ranges="10.0.1.66/32" \ --priority=1000