Mengonfigurasi keamanan untuk antarmuka Private Service Connect

Halaman ini menjelaskan cara administrator jaringan produsen mengelola keamanan jaringan VPC yang menggunakan antarmuka Private Service Connect.

Karena antarmuka Private Service Connect berada dalam jaringan Private Service Connect, organisasi produsen tidak mengontrol aturan firewall yang diterapkan secara langsung ke antarmuka. Apabila organisasi produsen ingin memastikan bahwa workload konsumen tidak dapat memulai traffic ke VM dalam jaringan produsen, atau hanya workload konsumen tertentu yang dapat memulai traffic, mereka harus menentukan kebijakan keamanan di OS tamu pada antarmuka VM mereka.

Memblokir traffic masuk konsumen ke produsen

Anda dapat menggunakan iptables untuk mengonfigurasi antarmuka Private Service Connect guna memblokir traffic masuk dari jaringan konsumen, tetapi tetap mengizinkan traffic keluar dari jaringan produsen. Konfigurasi ini diilustrasikan oleh gambar 1.

Traffic konsumen diblokir agar tidak dapat masuk melalui antarmuka Private Service Connect, tetapi traffic keluar produsen diizinkan (klik untuk memperbesar).

Untuk mengonfigurasi antarmuka Private Service Connect agar memblokir traffic masuk dari jaringan konsumen tetapi mengizinkan traffic keluar dari jaringan produsen, lakukan hal berikut:

  1. Pastikan aturan firewall dikonfigurasi untuk mengizinkan koneksi SSH masuk ke VM antarmuka Private Service Connect.

  2. Menghubungkan ke VM.

  3. Lakukan penginstalan apabila perintah iptables tidak tersedia.

  4. Izinkan traffic balasan konsumen untuk masuk ke dalam antarmuka Private Service Connect:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
    

    Ganti OS_INTERFACE_NAME dengan nama OS tamu untuk antarmuka Private Service Connect, sebagai contoh, ens5.

  5. Blokir traffic yang dimulai konsumen agar tidak masuk melalui antarmuka Private Service Connect:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
    

Memblokir pembuatan antarmuka Private Service Connect

Untuk membuat antarmuka Private Service Connect, pengguna harus memiliki izin Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Izin ini termasuk dalam peran berikut:

Apabila ingin pengguna memiliki izin yang terkait dengan peran ini sekaligus mencegah pengguna untuk membuat antarmuka Private Service Connect, Anda dapat Membuat peran khusus dan memberikannya kepada pengguna. Tambahkan izin yang diperlukan untuk peran tersebut. Hapus izin compute.instances.pscInterfaceCreate.

Apa langkah selanjutnya?