Configurar a segurança para interfaces do Private Service Connect
Nesta página, descrevemos como os administradores de rede do produtor podem gerenciar a segurança em redes VPC que usam interfaces do Private Service Connect.
Como há uma interface do Private Service Connect em uma rede pessoal do Private Service Connect, uma organização produtora não controla as regras de firewall que se aplicam diretamente à interface. Se uma organização de produtores quiser garantir que as cargas de trabalho de consumidores não possam iniciar o tráfego para VMs na rede do produtor ou que apenas cargas de trabalho de consumidor selecionadas possam iniciar o tráfego, eles precisarão definir políticas de segurança no SO convidado da VM da interface.
Bloquear a entrada de consumidor para produtor
É possível usar iptables
para configurar uma interface do Private Service Connect
para bloquear o tráfego de entrada de uma rede do consumidor, mas ainda permitir o tráfego de saída
da rede do produtor. Essa configuração é ilustrada na Figura 1.
Para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada da rede do consumidor, mas permitir o tráfego de saída da rede do produtor, faça o seguinte:
Verifique se as regras de firewall estão configuradas para permitir conexões SSH de entrada com a VM da interface do Private Service Connect.
Se o comando
iptables
não estiver disponível, instale-o.Permita que o tráfego de resposta do consumidor entre na interface do Private Service Connect:
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
Substitua
OS_INTERFACE_NAME
pelo nome do SO convidado da interface do Private Service Connect, por exemplo,ens5
.Bloqueie a entrada de tráfego iniciado pelo consumidor pela interface do Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Bloquear a criação da interface do Private Service Connect
Para criar interfaces do Private Service Connect, os usuários
precisam ter a permissão compute.instances.pscInterfaceCreate
do Identity and Access Management (IAM). Esta permissão está incluída nos seguintes papéis predefinidos:
- Administrador do Compute (
roles/compute.admin
) - Administrador de instâncias do Compute (v1) (
roles/compute.instanceAdmin.v1
)
Se você quiser que um usuário tenha as permissões associadas a esses
papéis e impeça que ele crie
interfaces do Private Service Connect,
crie um papel personalizado e ao usuário. Adicione as permissões necessárias ao papel. Omita a
permissão compute.instances.pscInterfaceCreate
.
A seguir
- Gerencie a sobreposição de destino em uma rede que tenha uma conexão de interface do Private Service Connect.