Configurer la sécurité pour les interfaces Private Service Connect

Cette page explique comment les administrateurs de réseaux producteurs peuvent gérer la sécurité dans les réseaux VPC qui utilisent des interfaces Private Service Connect.

Comme une interface Private Service Connect existe dans un réseau Private Service Connect utilisateur, une organisation de producteur ne contrôle pas les règles de pare-feu qui s'appliquent directement à l'interface. Si une organisation de producteurs souhaite s'assurer que les charges de travail de l'utilisateur ne peuvent pas initier de trafic vers les VM du réseau producteur ou que seules des charges de travail utilisateur sélectionnées peuvent initier du trafic, elles doivent définir des règles de sécurité dans le système d'exploitation invité de la VM de leur interface.

Bloquer l'entrée de l'utilisateur vers le producteur

Vous pouvez utiliser iptables pour configurer une interface Private Service Connect afin de bloquer le trafic entrant provenant d'un réseau utilisateur, tout en autorisant le trafic sortant du réseau producteur. Cette configuration est illustrée dans la figure 1.

Le trafic utilisateur est bloqué en entrée via une interface Private Service Connect, mais le trafic sortant du producteur est autorisé (cliquez pour agrandir).

Pour configurer une interface Private Service Connect de sorte qu'elle bloque le trafic entrant provenant du réseau utilisateur, mais autorise le trafic sortant du réseau producteur, procédez comme suit:

  1. Assurez-vous que les règles de pare-feu sont configurées pour autoriser les connexions SSH d'entrée vers la VM de votre interface Private Service Connect.

  2. Se connecter à la VM.

  3. Si la commande iptables n'est pas disponible, installez-la.

  4. Autorisez le trafic de réponse de l'utilisateur à entrer dans l'interface Private Service Connect:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
    

    Remplacez OS_INTERFACE_NAME par le nom du système d'exploitation invité de votre interface Private Service Connect, par exemple ens5.

  5. Bloquez le trafic entrant initié par l'utilisateur via l'interface Private Service Connect:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
    

Bloquer la création d'une interface Private Service Connect

Pour créer des interfaces Private Service Connect, les utilisateurs doivent disposer de l'autorisation Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Cette autorisation est incluse dans les rôles prédéfinis suivants :

Si vous souhaitez qu'un utilisateur dispose des autorisations associées à ces rôles, tout en l'empêchant de créer des interfaces Private Service Connect, vous pouvez créer un rôle personnalisé et l'attribuer à l'utilisateur. Accordez les autorisations nécessaires au rôle. Omettez l'autorisation compute.instances.pscInterfaceCreate.

Étape suivante