Configura la seguridad para interfaces de Private Service Connect
En esta página, se describe cómo los administradores de red del productor pueden administrar la seguridad en las redes de VPC que usan interfaces de Private Service Connect.
Debido a que existe una interfaz de Private Service Connect en una red de consumidor de Private Service Connect, una organización del productor no controla las reglas de firewall que se aplican directamente a la interfaz. Si una organización del productor desea asegurarse de que las cargas de trabajo del consumidor no puedan iniciar tráfico a las VMs de la red del productor o que solo las cargas de trabajo del consumidor seleccionadas puedan iniciar el tráfico, deben definir políticas de seguridad en el SO invitado de su VMs de la interfaz.
Bloquea entrada de consumidor a productor
Puedes usar iptables
a fin de configurar una interfaz de Private Service Connect para bloquear el tráfico de entrada de una red del consumidor, pero permitir el tráfico de salida desde la red del productor. Esta configuración se ilustra en la figura 1.
Para configurar una interfaz de Private Service Connect a fin de bloquear el tráfico de entrada de la red del consumidor, pero permitir el tráfico de salida desde la red del productor, haz lo siguiente:
Asegúrate de que las reglas de firewall estén configuradas para permitir conexiones SSH de entrada a la VM de tu interfaz de Private Service Connect.
Si el comando
iptables
no está disponible, instálalo.Permite que el tráfico de respuesta del consumidor entre en la interfaz de Private Service Connect:
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
Reemplaza
OS_INTERFACE_NAME
por el nombre de SO invitado para la interfaz de Private Service Connect, por ejemplo,ens5
.Bloquea el tráfico iniciado por el consumidor para que no ingrese a través de la interfaz de Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Bloquea la creación de interfaces de Private Service Connect
Para crear interfaces de Private Service Connect, los usuarios deben tener el permiso de Identity and Access Management (IAM) compute.instances.pscInterfaceCreate
. Este permiso se incluye en las siguientes funciones:
- Administrador de Compute (
roles/compute.admin
) - Administrador de instancias de Compute (v1) (
roles/compute.instanceAdmin.v1
)
Si deseas que un usuario tenga los permisos asociados con estos roles y, al mismo tiempo, evitas que ese usuario cree interfaces de Private Service Connect, puedes crear un rol personalizado y otorgársela al usuario. Agrega los permisos necesarios al rol. Omite el permiso compute.instances.pscInterfaceCreate
.
Próximos pasos
- Administra la superposición de destino en una red que tenga una conexión de interfaz de Private Service Connect.