Configurare la sicurezza per le interfacce Private Service Connect

Questa pagina descrive in che modo gli amministratori di reti producer possono gestire la sicurezza nelle reti VPC che utilizzano le interfacce Private Service Connect.

Poiché in una rete Private Service Connect dei consumer esiste un'interfaccia Private Service Connect, un'organizzazione producer non controlla le regole firewall che si applicano direttamente all'interfaccia. Se un'organizzazione producer vuole garantire che i carichi di lavoro consumer non possano avviare il traffico verso le VM nella rete del produttore o che solo determinati carichi di lavoro consumer possano avviare il traffico, deve definire i criteri di sicurezza nel sistema operativo guest della VM della propria interfaccia.

Blocca il traffico in entrata da consumatore a produttore

Puoi utilizzare iptables per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata da una rete consumer, ma consentire comunque il traffico in uscita dalla rete del produttore. Questa configurazione è illustrata dalla Figura 1.

**Figura 1.** Il traffico consumer è bloccato in entrata attraverso un'interfaccia Private Service Connect, ma il traffico in uscita del producer è consentito.

Per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata dalla rete consumer, ma consentire il traffico in uscita dalla rete del producer, segui questi passaggi:

Assicurati che le regole firewall siano configurate in modo da consentire le connessioni SSH in entrata alla VM dell'interfaccia di Private Service Connect.
Connettiti alla VM.
Se il comando iptables non è disponibile, installalo.
Consenti al traffico di risposte dei consumer di entrare nell'interfaccia di Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Sostituisci OS_INTERFACE_NAME con il nome del sistema operativo guest per l'interfaccia di Private Service Connect, ad esempio ens5.
Impedisci al traffico avviato dai consumatori di entrare in entrata tramite l'interfaccia Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Blocca la creazione dell'interfaccia di Private Service Connect

Per creare interfacce di Private Service Connect, gli utenti devono disporre dell'autorizzazione Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Questa autorizzazione è inclusa nei seguenti ruoli:

Amministratore Compute (roles/compute.admin)
Amministratore istanze Compute (v1) (roles/compute.instanceAdmin.v1)

Se vuoi che un utente disponga delle autorizzazioni associate a questi ruoli, impedendogli al contempo di creare interfacce Private Service Connect, puoi creare un ruolo personalizzato e concederlo all'utente. Aggiungi le autorizzazioni necessarie al ruolo. Ometti l'autorizzazione compute.instances.pscInterfaceCreate.

Che cosa succede dopo?

Gestisci la sovrapposizione delle destinazioni in una rete con una connessione a un'interfaccia di Private Service Connect.