Configura la seguridad para interfaces de Private Service Connect

En esta página, se describe cómo los administradores de red del productor pueden administrar la seguridad en las redes de VPC que usan interfaces de Private Service Connect.

Debido a que existe una interfaz de Private Service Connect en una red de consumidor de Private Service Connect, una organización del productor no controla las reglas de firewall que se aplican directamente a la interfaz. Si una organización del productor desea asegurarse de que las cargas de trabajo del consumidor no puedan iniciar tráfico a las VMs de la red del productor o que solo las cargas de trabajo del consumidor seleccionadas puedan iniciar el tráfico, deben definir políticas de seguridad en el SO invitado de su VMs de la interfaz.

Bloquea entrada de consumidor a productor

Puedes usar iptables a fin de configurar una interfaz de Private Service Connect para bloquear el tráfico de entrada de una red del consumidor, pero permitir el tráfico de salida desde la red del productor. Esta configuración se ilustra en la figura 1.

El tráfico del consumidor está bloqueado desde la entrada a través de una interfaz de Private Service Connect, pero se permite el tráfico de salida del productor (haz clic para agrandar).

Para configurar una interfaz de Private Service Connect a fin de bloquear el tráfico de entrada de la red del consumidor, pero permitir el tráfico de salida desde la red del productor, haz lo siguiente:

  1. Asegúrate de que las reglas de firewall estén configuradas para permitir conexiones SSH de entrada a la VM de tu interfaz de Private Service Connect.

  2. Conéctate a la VM.

  3. Si el comando iptables no está disponible, instálalo.

  4. Permite que el tráfico de respuesta del consumidor entre en la interfaz de Private Service Connect:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
    

    Reemplaza OS_INTERFACE_NAME por el nombre de SO invitado para la interfaz de Private Service Connect, por ejemplo, ens5.

  5. Bloquea el tráfico iniciado por el consumidor para que no ingrese a través de la interfaz de Private Service Connect:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
    

Bloquea la creación de interfaces de Private Service Connect

Para crear interfaces de Private Service Connect, los usuarios deben tener el permiso de Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Este permiso se incluye en las siguientes funciones:

Si deseas que un usuario tenga los permisos asociados con estos roles y, al mismo tiempo, evitas que ese usuario cree interfaces de Private Service Connect, puedes crear un rol personalizado y otorgársela al usuario. Agrega los permisos necesarios al rol. Omite el permiso compute.instances.pscInterfaceCreate.

Próximos pasos