Per proteggere ulteriormente le risorse di Compute Engine, puoi utilizzare i Controlli di servizio VPC.
I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza per le risorse di Compute Engine. Il perimetro di servizio limita l'esportazione e l'importazione delle risorse e dei relativi dati associati all'interno di un perimetro definito.
Quando crei un perimetro di servizio, selezioni uno o più progetti da proteggere all'interno di quel perimetro. Le richieste tra progetti all'interno dello stesso perimetro rimangono invariate. Tutte le API esistenti continuano a funzionare a condizione che le risorse coinvolte rientrino nello stesso perimetro di servizio. Tieni presente che i ruoli e le policy IAM si applicano ancora all'interno di un perimetro di servizio.
Quando è protetto da un perimetro, il servizio che si trova al suo interno non può inviare richieste a nessuna risorsa che si trova invece all'esterno. Sono incluse le risorse esportate dall'interno all'esterno del perimetro. È possibile effettuare richieste per risorse protette situate all'esterno di un perimetro se vengono soddisfatti determinati criteri. Per ulteriori informazioni, consulta la sezione Panoramica nella documentazione relativa ai Controlli di servizio VPC.
Quando viene effettuata una richiesta che viola il perimetro di servizio, questa non va a buon fine e viene generato il seguente errore:
"code": 403, "message": "Request is prohibited by organization's policy."
Vantaggi per la sicurezza
I Controlli di servizio VPC offrono i seguenti vantaggi in termini di sicurezza:
- L'accesso a operazioni sensibili dell'API Compute Engine, come la modifica di regole firewall, può essere limitato all'accesso privato da reti autorizzate o a indirizzi IP inclusi nella lista consentita.
- Gli snapshot dei dischi permanenti e le immagini personalizzate di Compute Engine possono essere limitati all'interno di un perimetro.
- I metadati delle istanze di Compute Engine fungono da sistema di archiviazione limitato. L'accesso ai metadati delle istanze tramite l'API Compute Engine è limitato dalla policy del perimetro di servizio; l'utilizzo di questo canale riduce i rischi di esfiltrazione.
Inoltre, l'API Compute Engine è ora accessibile sull'IP virtuale (VIP) con limitazioni. In questo modo, viene semplificata la configurazione di Cloud DNS e del routing per i client all'interno del perimetro che devono accedere a questa API.
Limitazioni
- I firewall gerarchici non sono interessati dai perimetri di servizio.
- Le operazioni di peering VPC non applicano le restrizioni dei perimetri di servizio VPC.
- Il metodo API
projects.ListXpnHostsper i VPC condivisi non applica le restrizioni dei perimetri di servizio ai progetti restituiti.
Autorizzazioni
Assicurati di disporre dei ruoli appropriati per amministrare configurazioni del perimetro dei Controlli di servizio VPC per la tua organizzazione.
Configura un perimetro di servizio
Per configurare un perimetro di servizio, segui le istruzioni riportate in Creazione di un perimetro di servizio nella documentazione dei Controlli di servizio VPC.
Se configuri un perimetro di servizio tramite Google Cloud CLI, utilizza
compute.googleapis.com il flag --restricted-services per limitare
l'API Compute Engine.
Aggiungere Compute Engine come servizio con limitazioni a un perimetro esistente
Se hai già un perimetro di servizio e vuoi aggiungere Compute Engine, segui le istruzioni riportate in Aggiornamento di un perimetro di servizio nella documentazione di Controlli di servizio VPC.
Creazione di una VM con i Controlli di servizio VPC
Dopo aver configurato un perimetro di servizio, non devi apportare alcuna modifica
alle chiamate o agli strumenti API esistenti, a condizione che le risorse interessate
dalle richieste siano incluse nello stesso perimetro di servizio. Ad esempio, il seguente
comando crea un'istanza VM con un'immagine di esempio. In questo caso,
il comando non va a buon fine se IMAGE_PROJECT si trova al di fuori del perimetro di servizio (e non esiste un bridge del perimetro di servizio
tra i progetti).
gcloud compute instances create new-instance \
--image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
--zone us-central1-a --machine-type n1-standard-72
Se stai creando una VM da un template di istanza, tutte le risorse a cui viene fatto riferimento in quel template devono appartenere allo stesso perimetro di servizio in cui stai eseguendo il comando o essere collegate tramite un bridge del perimetro di servizio. La richiesta non va a buon fine se il template di istanza fa riferimento a una risorsa situata al di fuori del perimetro di servizio, anche se il template stesso si trova all'interno del perimetro.
Per uno scenario di esempio di un client Compute Engine al di fuori del perimetro che crea un disco Compute Engine anch'esso al di fuori del perimetro tramite una chiave Cloud KMS all'interno del perimetro, consulta Esempi di richieste API consentite dalla combinazione di regole in ingresso e in uscita.
Progetti di immagini pubbliche
Google fornisce e gestisce un insieme di immagini pubbliche per le istanze. Questi progetti sono inclusi implicitamente in tutti i perimetri di sicurezza. Per utilizzare queste immagini, non devi eseguire nessuna ulteriore azione.
Di seguito è riportato un elenco di progetti inclusi automaticamente in tutti i perimetri di sicurezza:
centos-cloudcos-clouddebian-cloudfedora-cloudfedora-coreos-cloudrhel-cloudrhel-sap-cloudrocky-linux-cloudopensuse-cloudsuse-cloudsuse-byos-cloudsuse-sap-cloudubuntu-os-cloudubuntu-os-pro-cloudwindows-cloudwindows-sql-cloud
Se utilizzi un progetto di immagini non contenuto in questo elenco e scegli di non includerlo direttamente nel perimetro di sicurezza, ti consigliamo di creare prima una copia di tutte le immagini da utilizzare in un progetto separato e successivamente di includere questo progetto nel perimetro di sicurezza.
Copia di immagini con Controlli di servizio VPC
Puoi copiare le immagini da un progetto all'altro se entrambi i progetti appartengono allo
stesso perimetro di servizio. In questo esempio, perché la richiesta vada a buon fine,
sia DST_PROJECT sia
SRC_PROJECT devono appartenere allo stesso perimetro di servizio.
gcloud compute images create --project DST_PROJECT IMAGE_NAME \
--source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
--family IMAGE_FAMILY --storage-location LOCATION
Se scegli di non includere il progetto di immagini direttamente nel perimetro di sicurezza, ti consigliamo di creare prima una copia di tutte le immagini da utilizzare in un progetto distinto e successivamente di includere questo progetto nel perimetro di sicurezza.
VPC condiviso con Controlli di servizio VPC
Quando utilizzi un VPC condiviso, le limitazioni del perimetro di servizio si applicano a tutti i progetti coinvolti in una determinata operazione. In altre parole, quando un'operazione coinvolge risorse distribuite tra un progetto host e progetti di servizio, ti consigliamo di assicurarti che i due tipi di progetto si trovino all'interno dello stesso perimetro di servizio.
Peering di rete VPC
Il peering di rete VPC consente il peering di reti VPC tra due organizzazioni distinte. Poiché è limitato ai progetti all'interno di un'organizzazione, un perimetro di servizio non influisce sul peering di reti VPC.
Firewall gerarchici
I firewall gerarchici sono firewall configurati al di fuori di un progetto (a livello di cartella o di organizzazione). Le limitazioni del perimetro di servizio si applicano a un insieme di progetti all'interno di un perimetro, e, di conseguenza, non a firewall gerarchici.
Gruppi di istanze gestite
I gruppi di istanze gestite ti consentono di gestire un gruppo di istanze VM come una singola entità. I gruppi di istanze gestite (MIG) utilizzano template di istanza per creare VM e pertanto vedono l'applicazione di tutte le limitazioni relative a immagini o reti e subnet tra progetti. In altre parole, quando utilizzi immagini di altri progetti, assicurati che questi appartengano allo stesso perimetro oppure copia le immagini di cui hai bisogno in un altro progetto e includilo nel perimetro di servizio. I progetti di immagini pubbliche gestiti da Google sono inclusi automaticamente in tutti i perimetri di servizio.
Se vuoi utilizzare gruppi di istanze con VPC condiviso, assicurati che i progetti si trovino all'interno dello stesso perimetro di sicurezza.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC
- Scopri i servizi supportati dagli IP virtuali con limitazioni.
- Scopri di più sulla procedura di configurazione del perimetro di servizio.