Sicherheit für Private Service Connect-Schnittstellen konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren des Netzwerk des Erstellers die Sicherheit in VPC-Netzwerken verwalten können, die Private Service Connect-Schnittstellen verwenden.

Da eine Private Service Connect-Schnittstelle im Private Service Connect-Netzwerk eines Nutzers existiert, steuern Erstellerorganisation keine Firewallregeln, die direkt auf die Schnittstelle angewendet werden. Wenn Erstellerorganisationen sicher sein möchte, dass Nutzerarbeitslasten keinen Traffic zu VMs im Netzwerk des Erstellers initiieren können, oder dass nur ausgewählte Nutzerarbeitslasten Traffic initiieren können, müssen sie Sicherheitsrichtlinien im Gastbetriebssystem der VM ihrer Schnittstelle definieren.

Eingehenden Traffic von Nutzer zu Ersteller blockieren

Sie können mit iptables eine Private Service Connect-Schnittstelle konfigurieren, um eingehenden Traffic von einem Nutzernetzwerk zu blockieren, aber weiterhin ausgehenden Traffic vom Netzwerk des Erstellers zuzulassen. Diese Konfiguration wird in Abbildung 1 dargestellt:

Nutzer-Traffic darf nicht über eine Private Service Connect-Schnittstelle eingehen, aber ausgehender Traffic vom Ersteller ist zulässig (zum Vergrößern klicken).

So konfigurieren Sie eine Private Service Connect-Schnittstelle, um eingehenden Traffic vom Nutzernetzwerk zu blockieren, aber ausgehenden Traffic vom Netzwerk des Erstellers zuzulassen:

  1. Achten Sie darauf, dass die Firewallregeln so konfiguriert sind, dass eingehende SSH-Verbindungen zur VM Ihrer Private Service Connect-Schnittstelle zugelassen werden.

  2. Verbindung zur VM herstellen.

  3. Wenn der iptables-Befehl nicht verfügbar ist, installieren Sie ihn.

  4. Lassen Sie eingehenden Antworttraffic von Nutzern über die Private Service Connect-Schnittstelle zu:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
    

    Ersetzen Sie OS_INTERFACE_NAME durch den Namen des Gastbetriebssystems für Ihre Private Service Connect-Schnittstelle, z. B. ens5.

  5. Verhindern Sie, dass vom Nutzer initiierter Traffic über die Private Service Connect-Schnittstelle eingeht:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
    

Erstellen der Private Service Connect-Schnittstelle blockieren

Zum Erstellen von Private Service Connect-Schnittstellen benötigen Nutzer die IAM-Berechtigung (Identity and Access Management) compute.instances.pscInterfaceCreate. Diese Berechtigung ist in den folgenden Rollen enthalten:

Wenn Sie möchten, dass ein Nutzer die Berechtigungen hat, die mit diesen Rollen verknüpft sind, während er gleichzeitig verhindert, dass Nutzer private Service Connect-Schnittstellen erstellen, können Sie eine benutzerdefinierte Rolle erstellen und sie dem Nutzer gewähren. Fügen Sie der Rolle die erforderlichen Berechtigungen hinzu. Lassen Sie die Berechtigung compute.instances.pscInterfaceCreate weg.

Nächste Schritte

  • Verwalten Sie Zielüberschneidungen in einem Netzwerk mit einer Verbindung zur Private Service Connect-Schnittstelle.