Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Proteger o Compute Engine usando um perímetro do VPC Service Controls

Neste tutorial, mostramos como proteger o Compute Engine usando um perímetro de serviço e como resolver um problema de violação de entrada para permitir o acesso autorizado ao Compute Engine.

Com o VPC Service Controls, é possível definir um perímetro de serviço em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre eles. É possível estabelecer um perímetro de confiança zero em torno dos seus recursos sensíveis, restringindo o acesso a endereços IP, usuários e dispositivos autorizados. Com essa capacidade, é possível definir políticas de segurança que impedem o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloquear o acesso a dados em locais não confiáveis e reduzir os riscos de exfiltração de dados.

Este tutorial é destinado a administradores da organização Trusted Cloud que querem aprender os conceitos básicos do VPC Service Controls.

Objetivos

Entenda os princípios básicos do VPC Service Controls.
criar um perímetro de serviço;
Proteja um projeto usando o VPC Service Controls.
Solucione problemas de uma violação de entrada do VPC Service Controls.

Custos

Neste documento, você vai usar os seguintes componentes faturáveis do Trusted Cloud by S3NS:

Compute Engine VM instance

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços.

Novos usuários do Trusted Cloud podem estar qualificados para uma avaliação gratuita.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.

Antes de começar

Você precisa ter um Trusted Cloud recurso da organização. Se você ainda não tiver uma conta do Google Workspace ou do Cloud Identity, adquira uma. Isso cria um recurso de organização automaticamente para você.
Crie uma pasta, Exercise, no nível da organização.
Crie dois projetos, My-Project-1 e My-Project-2, na pasta Exercise dentro da mesma organização.
- Verify that billing is enabled for your Trusted Cloud project.
Verifique se você tem as seguintes permissões e papéis no nível da organização:
- Permissões e papéis necessários para configurar o VPC Service Controls.
- Permissões e papéis necessários para gerenciar o Compute Engine.

Criar um perímetro de serviço

Crie um perímetro de serviço que proteja a API Compute Engine no projeto My-Project-2:

No console Trusted Cloud , acesse a página VPC Service Controls.

Acessar o VPC Service Controls

Verifique se você está no escopo da organização.
Clique em Gerenciar políticas.
Crie uma nova política de acesso com escopo para a pasta Exercise.
Crie um novo perímetro com os seguintes detalhes:
- Título: MyFirstPerimeter
- Tipo de perímetro: Regular
- Modo de aplicação: Restrito
- Recursos a serem protegidos: projeto My-Project-2
- Serviços restritos: API Compute Engine

Verificar o perímetro

Nesta seção, você pode fazer solicitações de acesso aos recursos nos projetos para confirmar se o perímetro protege os recursos pretendidos.

Acesse o projeto My-Project-1 e verifique se você pode acessar o Compute Engine na página Instâncias de VM.

Acessar instâncias de VM

Você pode acessar porque My-Project-1 não está protegido pelo perímetro criado anteriormente.
Acesse o projeto My-Project-2 e verifique se você pode acessar o Compute Engine na página Instâncias de VM.

O VPC Service Controls vai negar sua solicitação de acesso ao Compute Engine porque o perímetro MyFirstPerimeter protege My-Project-2 e a API Compute Engine.

Resolver um problema de violação

Os registros de auditoria do VPC Service Controls incluem detalhes sobre solicitações de recursos protegidos e o motivo pelo qual o VPC Service Controls negou a solicitação. Você precisa dessas informações para identificar e resolver o problema da violação no projeto My-Project-2.

Acessar registros de auditoria

Encontre o ID exclusivo da violação do VPC Service Controls nos registros de auditoria do projeto My-Project-2:
1. No console Trusted Cloud , acesse a página Análise de registros.
  Acessar a Análise de registros
  
  Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
2. Selecione o projeto My-Project-2.
3. Para mostrar todos os registros de auditoria, insira a seguinte consulta no campo do editor de consultas:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Clique em Executar consulta.
Essa consulta mostra todos os registros de auditoria do VPC Service Controls. Para encontrar os detalhes da violação ao acessar a API Compute Engine no projeto My-Project-2, verifique o último registro de erros.

Observação: para filtrar os registros de maneira mais granular, use estas consultas de exemplo e adicione o ID exclusivo do VPC Service Controls que você recebeu ao verificar o perímetro.

Para mais informações, consulte Visualizar registros.
No painel Resultados da consulta, clique em VPC Service Controls ao lado da negação que você quer resolver e clique em Resolver problemas de negação.

A página do solucionador de problemas do VPC Service Controls é aberta. Essa página mostra o motivo da violação e outras informações, como se ela é de entrada ou saída.

Neste tutorial, procure as seguintes informações:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
O motivo da violação é "NO_MATCHING_ACCESS_LEVEL". A violação de "NO_MATCHING_ACCESS_LEVEL" ocorre quando o endereço IP, o tipo de dispositivo ou a identidade do usuário não corresponde a nenhuma regra de entrada ou nível de acesso associado ao perímetro. Se o endereço IP do autor da chamada estiver ausente ou aparecer como um endereço IP interno no registro, essa violação pode ser causada por um serviço Trusted Cloud que não é compatível com o VPC Service Controls.

Para corrigir essa negação no projeto My-Project-2, você tem duas opções:

Crie um nível de acesso que permita o acesso ao endereço IP do sistema para o projeto dentro do perímetro.
Crie uma regra de entrada que permita o acesso a um cliente de API de fora do perímetro a recursos dentro dele.

A seção a seguir mostra como resolver essa negação criando um nível de acesso.

Criar um nível de acesso

No console Trusted Cloud , acesse a página Access Context Manager no escopo da pasta Exercise.

Acessar o Access Context Manager
Crie um nível de acesso com os seguintes detalhes:
- Em Criar condições em, selecione Modo básico.
- Em Se a condição for atendida, retorne, selecione Verdadeiro.
- Selecione o atributo Sub-redes de IP e especifique o endereço IP público do seu sistema.
- Selecione o atributo Localizações geográficas e especifique sua localização geográfica.
Esse nível de acesso só permite o acesso quando o endereço IP e a localização geográfica correspondem.
Acesse a página VPC Service Controls no escopo da organização.

Acessar o VPC Service Controls
Selecione a política de acesso que você criou anteriormente neste tutorial.
Adicione o nível de acesso que você criou no escopo da pasta Exercise ao perímetro MyFirstPerimeter.

Testar o acesso

Depois de adicionar o nível de acesso, verifique se é possível acessar o Compute Engine no projeto My-Project-2 e criar uma instância de VM.

No Trusted Cloud console, acesse a página Instâncias de VM:

Acessar instâncias de VM
Crie uma instância de VM.

Observação: mantenha os valores padrão nos campos e crie uma instância de VM de baixo custo.

Após cerca de um minuto, o Compute Engine cria uma instância de VM. Essa ação verifica se você tem acesso total ao Compute Engine protegido dentro do perímetro.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.

Excluir o projeto

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

In the Trusted Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Excluir recursos individuais

Excluir instâncias de VM

In the Trusted Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Excluir recursos do VPC Service Controls

Exclua o perímetro de serviço.
Exclua o nível de acesso que você criou no escopo da pasta Exercise.

A seguir

Diagnosticar problemas usando o solucionador de problemas do VPC Service Controls