ניהול האבטחה של צרכנים ב-Private Service Connect (original) (raw)

בדף הזה מוסבר איך צרכני שירות יכולים להגדיר אבטחה לארגונים ולרשתות VPC של צרכנים שמשתמשים ב-Private Service Connect.

מדיניות ארגונית מאפשרת לאדמינים לשלוט באופן כללי ברשתות ה-VPC או בארגונים שהפרויקטים שלהם יכולים להתחבר אליהם באמצעות נקודות קצה ובק-אנדים של Private Service Connect.כללי חומת אש של VPC ו_כללי מדיניות של חומת אש_ מאפשרים לאדמינים של הרשת לשלוט בגישה ברמת הרשת למשאבי Private Service Connect. כללי מדיניות ארגוניים וכללים לחומת אש הם משלימים ואפשר להשתמש בהם ביחד.

תפקידים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization policy administrator (אדמין של מדיניות הארגון) ‏(roles/orgpolicy.policyAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

כדי לקבל את ההרשאות שנדרשות ליצירת כללי חומת אש, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין רשת של Compute (roles/compute.networkAdmin) ברשת ה-VPC. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מדיניות ארגונית של צרכנים

אתם יכולים להשתמש במדיניות הארגון עם אילוצי רשימה כדי לשלוט בפריסה של נקודות קצה או של שרתים עורפיים של Private Service Connect. אם נקודת קצה או קצה עורפי נחסמים על ידי מדיניות של ארגון לצרכנים, יצירת המשאב נכשלת.

מידע נוסף זמין במאמר בנושא מדיניות ארגונית בצד הצרכן.

חסימת נקודות קצה ושרתי קצה עורפיים (backend) מהתחברות לצירופי שירות לא מורשים

מקורות מידע: נקודות קצה ועורפי קצה

gcloud

  1. יוצרים קובץ זמני בשם /tmp/policy.yaml כדי לאחסן את המדיניות החדשה. מוסיפים את התוכן הבא לקובץ:
name: organizations/CONSUMER_ORG/policies/compute.restrictPrivateServiceConnectProducer  
spec:  
  rules:  
    - values:  
        allowedValues:  
        - under:organizations/PRODUCER_ORG_NUMBER  
        - under:organizations/433637338589

מחליפים את מה שכתוב בשדות הבאים: 

name: organizations/Consumer-org-1/policies/compute.restrictPrivateServiceConnectProducer  
spec:  
    rules:  
      - values:  
          allowedValues:  
          - under:organizations/Producer-org-1  
          - under:projects/Producer-project-1  
          - under:folders/Producer-folder-1
  1. מחילים את המדיניות.
    gcloud org-policies set-policy /tmp/policy.yaml
  2. צפייה במדיניות שבתוקף.
    gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
    --effective \
    --organization=CONSUMER_ORG

חסימה של צרכנים מפריסת נקודות קצה לפי סוג החיבור

משאבים: נקודות קצה

gcloud

  1. יוצרים קובץ זמני בשם /tmp/policy.yaml כדי לאחסן את המדיניות החדשה.
    • כדי לחסום משתמשים בארגון לצרכנים ליצור נקודות קצה שמתחברות ל-Google APIs, מוסיפים את התוכן הבא לקובץ:
    name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers  
spec:  
  rules:  
    - values:  
        allowedValues:  
        - SERVICE_PRODUCERS
    • כדי לחסום משתמשים בארגון לצרכנים ליצור נקודות קצה שמתחברות לשירותים שפורסמו, מוסיפים את התוכן הבא לקובץ:
    name: organizations/CONSUMER_ORG/policies/compute.disablePrivateServiceConnectCreationForConsumers  
spec:  
  rules:  
    - values:  
        allowedValues:  
        - GOOGLE_APIS

מחליפים את CONSUMER_ORG בשם של הארגון הצרכני שרוצים לשלוט בפריסת נקודות הקצה שלו. 2. מחילים את המדיניות.
gcloud org-policies set-policy /tmp/policy.yaml 3. צפייה במדיניות שבתוקף.
gcloud org-policies describe compute.restrictPrivateServiceConnectProducer \
--effective \
--organization=CONSUMER_ORG

כללי חומת אש

משאבים: כולם

אתם יכולים להשתמש בכללי חומת אש של VPC או בכללי מדיניות של חומת אש כדי לשלוט בגישה למשאבים של Private Service Connect. כללי חומת אש ליציאה יכולים לחסום או לאפשר גישה ממכונות וירטואליות לכתובת ה-IP או לתת-הרשת של נקודות קצה ושרתים עורפיים.

לדוגמה, באיור 1 מוצגת הגדרה שבה כללי חומת אש שולטים בגישה לרשת המשנה שאליה מחוברת נקודת הקצה של Private Service Connect.

כללי חומת האש שולטים בתנועה אל רשת המשנה של נקודת הקצה. תנועה מ-vm-1 יכולה להגיע לרשת המשנה של נקודת הקצה, בעוד שתנועה מ-vm-2 נחסמת (אפשר ללחוץ כדי להגדיל).

  1. כלל חומת האש הבא דוחה את כל תעבורת הנתונים היוצאת לרשת המשנה של נקודת הקצה:
    gcloud compute firewall-rules create deny-all \
    --network=vpc-1 \
    --direction=egress \
    --action=deny \
    --destination-ranges=10.33.0.0/24
    --priority=1000
  2. כלל חומת האש הבא עם עדיפות גבוהה יותר מאפשר תעבורת נתונים יוצאת (egress) לרשת המשנה של נקודת הקצה למכונות וירטואליות עם תג הרשת allow-psc:
    gcloud compute firewall-rules create allow-psc \
    --network=vpc-1 \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=10.33.0.0/24
    --priority=100

שימוש בכללי חומת אש כדי להגביל את הגישה לנקודות קצה או לשרתי קצה עורפיים

כדי להגביל את הגישה ממכונות וירטואליות לרשת המשנה של נקודת קצה או של שרת קצה עורפי, צריך לבצע את הפעולות הבאות.

  1. יוצרים כלל חומת אש שדוחה תעבורת נתונים יוצאת (egress) לנקודת הקצה או לרשת המשנה של ה-backend.
    gcloud compute firewall-rules create deny-all \
    --network=NETWORK \
    --direction=egress \
    --action=deny \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=1000
    מחליפים את מה שכתוב בשדות הבאים:
    • NETWORK: השם של הרשת של נקודת הקצה או של ה-backend.
    • ENDPOINT_SUBNET_RANGE: טווח ה-CIDR של כתובות ה-IP של נקודת הקצה או של רשת המשנה של ה-backend שרוצים לשלוט בגישה אליהם.
  2. יוצרים כלל חומת אש שני שמאפשר תעבורת נתונים יוצאת ממכונות וירטואליות עם תגים לנקודת הקצה או לתת-רשת העורפית.
    gcloud compute firewall-rules create allow-psc \
    --network=NETWORK \
    --direction=egress \
    --action=allow \
    --target-tags=allow-psc \
    --destination-ranges=ENDPOINT_SUBNET_RANGE \
    --priority=100