このページでは、承認済みネットワークから 0.0.0.0/0 の IP アドレス範囲を削除するタイミングに関する推奨事項を表示、実装する方法について説明します。承認済みネットワーク内の、0.0.0.0/0 を持つインスタンスは、すべてのインターネット IP からの接続を受け入れます。この Recommender は、広範な公開アクセスの削除と呼ばれます。
この Recommender は、広範なパブリック IP アドレス範囲を持つインスタンスを毎日プロアクティブに検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。パブリック IP アドレス範囲が有効化されているためにセキュリティ侵害に対して脆弱なインスタンスに関する分析情報と詳細な推奨事項は、 Cloud de Confiance コンソール、gcloud CLI、または Recommender API で確認できます。
始める前に
Recommender API が有効になっていることを確認します。
必要なロールと権限
分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。
| タスク | ロール |
|---|---|
| 推奨事項を表示する | recommender.cloudsqlViewer または cloudsql.admin。 |
| 推奨事項を適用する | cloudsql.editor または cloudsql.admin。 |
推奨事項を一覧取得する
推奨事項を一覧取得する手順は次のとおりです。
コンソール
インスタンスのセキュリティに関する推奨事項を一覧表示する手順は次のとおりです。
Cloud SQL の [インスタンス] ページに移動します。
インスタンスのテーブルで [問題] 列を表示します。
または、次の方法を行います。
Active Assist に移動します。
詳細については、推奨事項の確認をご覧ください。
[すべての推奨事項] カードで [セキュリティ] をクリックします。
gcloud
次のように gcloud recommender recommendations list コマンドを実行します。
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(us-central1 など)。
API
次のように recommendations.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
分析情報と詳細な推奨事項を表示する
分析情報と詳細な推奨事項を表示する手順は次のとおりです。
コンソール
推奨事項を表示したら、推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。
gcloud
次のように gcloud recommender insights list コマンドを実行します。
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
API
次のように insights.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
推奨事項を適用する
コンソール
この推奨事項を実装するには、[承認済みネットワークの管理] をクリックして、次のいずれかのオプションを使用します。
- 承認済みネットワークから広範な IP アドレスを削除する。詳細については、承認済みネットワークを使用して承認するをご覧ください。
- Cloud SQL Auth Proxy と Cloud SQL 言語コネクタを使用する。
gcloud
この推奨事項を実装するには、次のいずれかのオプションを使用します。
- 承認済みネットワークから広範な IP アドレスを削除する。詳細については、承認済みネットワークを使用して承認するをご覧ください。
- Cloud SQL Auth Proxy と Cloud SQL 言語コネクタを使用する。
API
この推奨事項を実装するには、次のいずれかのオプションを使用します。
- 承認済みネットワークから広範な IP アドレスを削除する。詳細については、承認済みネットワークを使用して承認するをご覧ください。
- Cloud SQL Auth Proxy と Cloud SQL 言語コネクタを使用する。
次のステップ
- 承認済みネットワークを使用して承認する
- Cloud SQL Auth Proxy
- Cloud SQL 言語コネクタ
- Cloud de Confiance by S3NS Recommender
- ブログ: クラウドの投資収益率を最大化する