Configurar a segurança para interfaces do Private Service Connect

Nesta página, descrevemos como os administradores de rede do produtor podem gerenciar a segurança em redes VPC que usam interfaces do Private Service Connect.

Como há uma interface do Private Service Connect em uma rede pessoal do Private Service Connect, uma organização produtora não controla as regras de firewall que se aplicam diretamente à interface. Se uma organização de produtores quiser garantir que as cargas de trabalho de consumidores não possam iniciar o tráfego para VMs na rede do produtor ou que apenas cargas de trabalho de consumidor selecionadas possam iniciar o tráfego, eles precisarão definir políticas de segurança no SO convidado da VM da interface.

Bloquear a entrada de consumidor para produtor

É possível usar iptables para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada de uma rede do consumidor, mas ainda permitir o tráfego de saída da rede do produtor. Essa configuração é ilustrada na Figura 1.

A entrada do tráfego do consumidor é bloqueada por uma interface do Private Service Connect, mas o o tráfego de saída é permitido (clique para ampliar).

Para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada da rede do consumidor, mas permitir o tráfego de saída da rede do produtor, faça o seguinte:

  1. Verifique se as regras de firewall estão configuradas para permitir conexões SSH de entrada com a VM da interface do Private Service Connect.

  2. Conectar-se à VM.

  3. Se o comando iptables não estiver disponível, instale-o.

  4. Permita que o tráfego de resposta do consumidor entre na interface do Private Service Connect:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
    

    Substitua OS_INTERFACE_NAME pelo nome do SO convidado da interface do Private Service Connect, por exemplo, ens5.

  5. Bloqueie a entrada de tráfego iniciado pelo consumidor pela interface do Private Service Connect:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
    

Bloquear a criação da interface do Private Service Connect

Para criar interfaces do Private Service Connect, os usuários precisam ter a permissão compute.instances.pscInterfaceCreate do Identity and Access Management (IAM). Esta permissão está incluída nos seguintes papéis predefinidos:

Se você quiser que um usuário tenha as permissões associadas a esses papéis e impeça que ele crie interfaces do Private Service Connect, crie um papel personalizado e ao usuário. Adicione as permissões necessárias ao papel. Omita a permissão compute.instances.pscInterfaceCreate.

A seguir