Configurar a segurança para interfaces do Private Service Connect

Nesta página, descrevemos como os administradores de rede do produtor podem gerenciar a segurança em redes VPC que usam interfaces do Private Service Connect.

Como há uma interface do Private Service Connect em uma rede pessoal do Private Service Connect, uma organização produtora não controla as regras de firewall que se aplicam diretamente à interface. Se uma organização de produtores quiser garantir que as cargas de trabalho de consumidores não possam iniciar o tráfego para VMs na rede do produtor ou que apenas cargas de trabalho de consumidor selecionadas possam iniciar o tráfego, eles precisarão definir políticas de segurança no SO convidado da VM da interface.

Bloquear a entrada de consumidor para produtor

É possível usar iptables para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada de uma rede do consumidor, mas ainda permitir o tráfego de saída da rede do produtor. Essa configuração é ilustrada na Figura 1.

A entrada do tráfego do consumidor é bloqueada por uma interface do Private Service Connect, mas o o tráfego de saída é permitido (clique para ampliar).

Para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada da rede do consumidor, mas permitir o tráfego de saída da rede do produtor, faça o seguinte:

Verifique se as regras de firewall estão configuradas para permitir conexões SSH de entrada com a VM da interface do Private Service Connect.
Conectar-se à VM.
Se o comando iptables não estiver disponível, instale-o.
Permita que o tráfego de resposta do consumidor entre na interface do Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Substitua OS_INTERFACE_NAME pelo nome do SO convidado da interface do Private Service Connect, por exemplo, ens5.
Bloqueie a entrada de tráfego iniciado pelo consumidor pela interface do Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Bloquear a criação da interface do Private Service Connect

Para criar interfaces do Private Service Connect, os usuários precisam ter a permissão compute.instances.pscInterfaceCreate do Identity and Access Management (IAM). Esta permissão está incluída nos seguintes papéis predefinidos:

Administrador do Compute (roles/compute.admin)
Administrador de instâncias do Compute (v1) (roles/compute.instanceAdmin.v1)

Se você quiser que um usuário tenha as permissões associadas a esses papéis e impeça que ele crie interfaces do Private Service Connect, crie um papel personalizado e ao usuário. Adicione as permissões necessárias ao papel. Omita a permissão compute.instances.pscInterfaceCreate.

A seguir

Gerencie a sobreposição de destino em uma rede que tenha uma conexão de interface do Private Service Connect.