Gestire la sicurezza per i consumer di Private Service Connect (original) (raw)

Questa pagina descrive come i consumatori di servizi possono configurare la sicurezza per le organizzazioni consumer e le reti VPC che utilizzano Private Service Connect.

Le policy dell'organizzazione consentono agli amministratori di controllare in modo generale a quali reti VPC o organizzazioni possono connettersi i loro progetti utilizzando endpoint e backend Private Service Connect. Le regole firewall VPC e i criteri firewall consentono agli amministratori di rete di controllare l'accesso a livello di rete alle risorse Private Service Connect. I criteri dell'organizzazione e le regole firewall sono complementari e possono essere utilizzati insieme.

Ruoli

Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ottenere le autorizzazioni necessarie per creare regole firewall, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) sulla rete VPC. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Policy dell'organizzazione consumer

Puoi utilizzare i criteri dell'organizzazione con i vincoli di elenco per controllare il deployment di endpoint o backend Private Service Connect. Se un endpoint o un backend è bloccato da una policy dell'organizzazione consumer, la creazione della risorsa non riesce.

Per saperne di più, consulta Policy dell'organizzazione lato consumer.

Impedisci a endpoint e backend di connettersi a collegamenti ai servizi non autorizzati

Risorse: endpoint e backend

gcloud

1. Crea un file temporaneo denominato /tmp/policy.yaml per archiviare la nuova norma. Aggiungi i seguenti contenuti al file:

name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer  
spec:  
  rules:  
    - values:  
        allowedValues:  
        - under:organizations/PRODUCER_ORG_NUMBER  
        - under:organizations/433637338589  

Sostituisci quanto segue:

• CONSUMER_ORG: l'ID risorsa organizzazione dell'organizzazione in cui vuoi controllare le connessioni di endpoint e backend.
• PRODUCER_ORG_NUMBER: l'ID risorsa numerico dell'organizzazione producer a cui vuoi consentire la connessione di endpoint e backend.
  Per impedire a endpoint e backend di connettersi agli allegati di servizio di proprietà di Google, rimuovi il seguente elemento dalla sezioneallowedValues: - under:organizations/433637338589.
  Per specificare altre organizzazioni che possono connettersi agli allegati di servizio nel tuo progetto, includi voci aggiuntive nella sezione allowedValues.
  Oltre alle organizzazioni, puoi specificare cartelle e progetti autorizzati nel seguente formato:
• under:folders/FOLDER_ID
FOLDER_ID deve essere l'ID numerico.
• under:projects/PROJECT_ID
PROJECT_ID deve essere l'ID stringa.
  Ad esempio, quanto segue può essere utilizzato per creare un criterio dell'organizzazione che impedisce agli endpoint e ai backend in Consumer-org-1 di connettersi agli allegati di servizio, a meno che questi non siano associati a un valore consentito o a un discendente di un valore consentito. I valori consentiti sono l'organizzazione Producer-org-1, il progettoProducer-project-1 e la cartella Producer-folder-1.

name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer  
spec:  
    rules:  
      - values:  
          allowedValues:  
          - under:organizations/Producer-org-1  
          - under:projects/Producer-project-1  
          - under:folders/Producer-folder-1  

1. Applica la policy.
   gcloud org-policies set-policy /tmp/policy.yaml
2. Visualizza la policy in vigore.
   gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
   --effective \
   --organization=CONSUMER_ORG

Impedire ai consumatori di eseguire il deployment degli endpoint per tipo di connessione

Risorse: endpoint

gcloud

1. Crea un file temporaneo denominato /tmp/policy.yaml per archiviare la nuova norma.
   • Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono alle API di Google, aggiungi i seguenti contenuti al file:

   name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers  
   spec:  
     rules:  
       - values:  
           allowedValues:  
           - SERVICE_PRODUCERS  

   • Per impedire agli utenti di un'organizzazione consumer di creare endpoint che si connettono a servizi pubblicati, aggiungi i seguenti contenuti al file:

   name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers  
   spec:  
     rules:  
       - values:  
           allowedValues:  
           - GOOGLE_APIS  

Sostituisci CONSUMER_ORG con il nome dell'organizzazione consumer per cui vuoi controllare il deployment dell'endpoint. 2. Applica la policy.
gcloud org-policies set-policy /tmp/policy.yaml 3. Visualizza la policy in vigore.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
--effective \
--organization=CONSUMER_ORG

Regole firewall

Risorse: tutte

Puoi utilizzare le regole firewall VPC o le policy firewall per controllare l'accesso alle risorse Private Service Connect. Le regole firewall in uscita possono bloccare o consentire l'accesso dalle istanze VM all'indirizzo IP o alla subnet degli endpoint e dei backend.

Ad esempio, la figura 1 descrive una configurazione in cui le regole firewall controllano l'accesso alla subnet a cui è connesso l'endpoint Private Service Connect.

Le regole firewall controllano il traffico verso la subnet dell'endpoint. Il traffico da vm-1 può raggiungere la subnet dell'endpoint, mentre il traffico da vm-2 è bloccato (fai clic per ingrandire).

1. La seguente regola firewall nega tutto il traffico in uscita alla subnet dell'endpoint:
   gcloud compute firewall-rules create deny-all \
   --network=vpc-1 \
   --direction=egress \
   --action=deny \
   --destination-ranges=10.33.0.0/24
   --priority=1000
2. La seguente regola firewall con priorità più elevata consente il traffico in uscita alla subnet dell'endpoint per le VM con il tag di rete allow-psc:
   gcloud compute firewall-rules create allow-psc \
   --network=vpc-1 \
   --direction=egress \
   --action=allow \
   --target-tags=allow-psc \
   --destination-ranges=10.33.0.0/24
   --priority=100

Utilizza le regole firewall per limitare l'accesso a endpoint o backend

Per limitare l'accesso dalle VM alla subnet di un endpoint o di un backend, segui questi passaggi.

1. Crea una regola firewall per negare il traffico in uscita alla subnet dell'endpoint o del backend.
   gcloud compute firewall-rules create deny-all \
   --network=NETWORK \
   --direction=egress \
   --action=deny \
   --destination-ranges=ENDPOINT_SUBNET_RANGE \
   --priority=1000
   Sostituisci quanto segue:
   • NETWORK: il nome della rete del tuo endpoint o backend.
   • ENDPOINT_SUBNET_RANGE: l'intervallo CIDR IP della subnet di endpoint o backend a cui vuoi controllare l'accesso.
2. Crea una seconda regola firewall per consentire il traffico in uscita dalle VM taggate alla subnet dell'endpoint o del backend.
   gcloud compute firewall-rules create allow-psc \
   --network=NETWORK \
   --direction=egress \
   --action=allow \
   --target-tags=allow-psc \
   --destination-ranges=ENDPOINT_SUBNET_RANGE \
   --priority=100