Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Compute Engine mit einem VPC Service Controls-Perimeter schützen

In dieser Anleitung wird beschrieben, wie Sie Compute Engine mit einem Dienstperimeter schützen und eine Ingress-Verletzung beheben, um autorisierten Zugriff auf Compute Engine zu ermöglichen.

Mit VPC Service Controls können Sie einen Dienstperimeter für Ressourcen aus von Google verwalteten Diensten festlegen, um die Kommunikation mit und zwischen diesen Diensten zu steuern. Sie können einen Zero-Trust-Perimeter um Ihre sensiblen Ressourcen einrichten und den Zugriff auf autorisierte IP-Adressen, Nutzer und Geräte beschränken. Mit dieser Funktion können Sie Sicherheitsrichtlinien definieren, die den Zugriff auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters verhindern, den Zugriff auf Daten von nicht vertrauenswürdigen Standorten blockieren und das Risiko der Daten-Exfiltration verringern.

Diese Anleitung richtet sich an Trusted Cloud Organisationsadministratoren, die die grundlegenden Konzepte von VPC Service Controls kennenlernen möchten.

Lernziele

Grundlagen von VPC Service Controls
Dienstperimeter erstellen
Projekt mit VPC Service Controls schützen
Beheben Sie einen Verstoß gegen die VPC Service Controls-Regeln für eingehenden Traffic.

Kosten

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Trusted Cloud by S3NS:

Compute Engine VM instance

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.

Neuen Trusted Cloud Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.

Hinweise

Sie benötigen eine Trusted Cloud Organisationsressource. Wenn Sie noch kein Google Workspace- oder Cloud Identity-Konto haben, müssen Sie eines erwerben. Dadurch wird automatisch eine Organisationsressource für Sie erstellt.
Erstellen Sie einen Ordner, Exercise, auf Organisationsebene.
Erstellen Sie zwei Projekte>, My-Project-1 und My-Project-2, im Ordner Exercise innerhalb derselben Organisation.
- Verify that billing is enabled for your Trusted Cloud project.
Prüfen Sie, ob Sie die folgenden Berechtigungen und Rollen auf Organisationsebene haben:
- Berechtigungen und Rollen, die für die Konfiguration von VPC Service Controls erforderlich sind.
- Berechtigungen und Rollen, die zum Verwalten von Compute Engine erforderlich sind.

Dienstperimeter erstellen

Erstellen Sie einen Dienstperimeter, der die Compute Engine API im Projekt My-Project-2 schützt:

Rufen Sie in der Trusted Cloud -Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“

Prüfen Sie, ob Sie sich im Organisationsbereich befinden.
Klicken Sie auf Richtlinien verwalten.
Erstellen Sie eine neue Zugriffsrichtlinie, die auf den Ordner Exercise beschränkt ist.
Erstellen Sie einen neuen Perimeter mit den folgenden Details:
- Titel: MyFirstPerimeter
- Perimetertyp: Regulär
- Erzwingungsmodus: Erzwungen
- Zu schützende Ressourcen: Projekt My-Project-2
- Eingeschränkte Dienste: Compute Engine API

Perimeter überprüfen

In diesem Bereich können Sie Zugriffsanfragen für die Ressourcen in den Projekten stellen, um zu bestätigen, ob der Perimeter die beabsichtigten Ressourcen schützt.

Rufen Sie das Projekt My-Project-1 auf und prüfen Sie, ob Sie auf Compute Engine zugreifen können, indem Sie die Seite VM-Instanzen aufrufen.

Zu "VM-Instanzen"

Sie sollten darauf zugreifen können, da My-Project-1 nicht durch den Perimeter geschützt ist, den Sie zuvor erstellt haben.
Rufen Sie das Projekt My-Project-2 auf und prüfen Sie, ob Sie auf Compute Engine zugreifen können, indem Sie die Seite VM-Instanzen aufrufen.

Sie sollten sehen, dass VPC Service Controls Ihre Anfrage für den Zugriff auf Compute Engine ablehnt, da der MyFirstPerimeter-Perimeter My-Project-2 und die Compute Engine API schützt.

Verstoß beheben

VPC Service Controls-Audit-Logs enthalten Details zu Anfragen an geschützte Ressourcen und den Grund für die Ablehnung der Anfrage durch VPC Service Controls. Sie benötigen diese Informationen, um den Verstoß im My-Project-2-Projekt zu identifizieren und zu beheben.

Audit-Logs ansehen

Suchen Sie in den Audit-Logs des Projekts My-Project-2 nach der eindeutigen ID des VPC Service Controls-Verstoßes:
1. Rufen Sie in der Trusted Cloud Console die Seite Log-Explorer auf:
  Zum Log-Explorer
  
  Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
2. Wählen Sie das Projekt My-Project-2 aus.
3. Wenn Sie alle Audit-Logs aufrufen möchten, geben Sie die folgende Abfrage in das Feld des Abfrageeditors ein:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Klicken Sie auf Abfrage ausführen.
Mit dieser Abfrage werden alle VPC Service Controls-Audit-Logs angezeigt. Wenn Sie die Details zum Verstoß beim Zugriff auf die Compute Engine API im My-Project-2-Projekt aufrufen möchten, sehen Sie sich das letzte Fehlerlog an.

Hinweis :Wenn Sie die Logs genauer filtern möchten, können Sie diese Beispielabfragen verwenden und die eindeutige VPC Service Controls-ID hinzufügen, die Sie beim Bestätigen des Perimeters erhalten haben.

Weitere Informationen finden Sie unter Logs ansehen.
Klicken Sie im Bereich Abfrageergebnisse neben der Ablehnung, die Sie beheben möchten, auf VPC Service Controls und dann auf Abgelehnte Fehlerbehebung.

Die Seite Fehlerbehebung für VPC Service Controls wird geöffnet. Auf dieser Seite sehen Sie den Grund für den Verstoß und andere Informationen, z. B. ob es sich um einen Ingress- oder Egress-Verstoß handelt.

In dieser Anleitung finden Sie die folgenden Informationen:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
Der Grund für den Verstoß ist "NO_MATCHING_ACCESS_LEVEL". Der Verstoß "NO_MATCHING_ACCESS_LEVEL" tritt auf, wenn die IP-Adresse, der Gerätetyp oder die Nutzeridentität nicht mit den Regeln für eingehenden Traffic oder Zugriffsebenen übereinstimmt, die dem Perimeter zugewiesen sind. Wenn die IP-Adresse des Aufrufers fehlt oder als interne IP-Adresse im Log angezeigt wird, liegt dies möglicherweise an einem Trusted Cloud -Dienst, der nicht von VPC Service Controls unterstützt wird.

Sie haben zwei Möglichkeiten, diese Ablehnung im Projekt My-Project-2 zu beheben:

Erstellen Sie eine Zugriffsebene, die den Zugriff auf die IP-Adresse Ihres Systems für das Projekt innerhalb des Perimeters zulässt.
Erstellen Sie eine Regel für eingehenden Traffic, die den Zugriff auf einen API-Client von außerhalb des Perimeters auf Ressourcen innerhalb des Perimeters zulässt.

Im folgenden Abschnitt wird veranschaulicht, wie Sie dieses Problem beheben können, indem Sie eine Zugriffsebene erstellen.

Zugriffsebene erstellen

Rufen Sie in der Trusted Cloud -Console die Seite Access Context Manager im Ordnerbereich Exercise auf.

Zu Access Context Manager
Erstellen Sie eine Zugriffsebene mit den folgenden Details:
- Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
- Wählen Sie für Bei erfüllter Bedingung Folgendes zurückgeben die Option Wahr aus.
- Wählen Sie das Attribut IP-Subnetzwerke aus und geben Sie die öffentliche IP-Adresse Ihres Systems an.
- Wählen Sie das Attribut Geografische Standorte aus und geben Sie Ihren geografischen Standort an.
Diese Zugriffsebene ermöglicht den Zugriff nur, wenn die IP-Adresse und der geografische Standort übereinstimmen.
Rufen Sie die Seite VPC Service Controls im Organisationsbereich auf.

Zu „VPC Service Controls“
Wählen Sie die Zugriffsrichtlinie aus, die Sie zuvor in dieser Anleitung erstellt haben.
Fügen Sie die Zugriffsebene, die Sie im Ordnerbereich Exercise erstellt haben, dem Perimeter MyFirstPerimeter hinzu.

Zugriff testen

Nachdem Sie die Zugriffsebene hinzugefügt haben, prüfen Sie, ob Sie im Projekt My-Project-2 auf Compute Engine zugreifen und eine VM-Instanz erstellen können.

Rufen Sie in der Trusted Cloud Console die Seite VM-Instanzen auf:

Zu "VM-Instanzen"
VM-Instanz erstellen

Hinweis :Behalten Sie die Standardwerte in den Feldern bei und erstellen Sie eine kostengünstige VM-Instanz.

Nach etwa einer Minute erstellt Compute Engine eine VM-Instanz. Dadurch wird bestätigt, dass Sie vollen Zugriff auf Compute Engine haben, die innerhalb des Perimeters geschützt ist.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

Projekt löschen

Achtung: Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für die Aufgaben in diesem Dokument ein bereits bestehendes Projekt verwendet haben und dieses löschen, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID nutzen, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Architekturen, Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

In the Trusted Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Einzelne Ressourcen löschen

VM-Instanzen löschen

In the Trusted Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

VPC Service Controls-Ressourcen löschen

Dienstperimeter löschen
Löschen Sie die Zugriffsebene, die Sie für den Exercise-Ordner erstellt haben.

Nächste Schritte

Fehlerdiagnose mithilfe der VPC Service Controls-Fehlerbehebung