Configurar la seguridad de los archivos adjuntos de red

En esta página se describe cómo pueden gestionar la seguridad los administradores de redes de consumidores en redes de VPC que usan acoplamientos de red.

Las interfaces de Private Service Connect las crea y gestiona una organización productora, pero se encuentran en una red de VPC de consumidor. Para la seguridad del lado del consumidor, recomendamos reglas de cortafuegos basadas en intervalos de direcciones IP de la red de VPC del consumidor. Este enfoque permite que el consumidor controle el tráfico que procede de las interfaces de Private Service Connect sin depender de las etiquetas de red del productor.

Se pueden usar etiquetas de red con reglas de cortafuegos, pero no es recomendable, ya que el consumidor no controla esas etiquetas.

Limitar el acceso de productor a consumidor

Veamos la configuración de ejemplo de la figura 1, en la que el consumidor quiere dar acceso al productor a producer-ingress-subnet y bloquear el acceso del productor a restricted-subnet.

Las siguientes reglas de cortafuegos permiten una entrada limitada de productor a consumidor:

1. Una regla de baja prioridad rechaza todo el tráfico de salida del intervalo de direcciones IP de la subred de la conexión de red, attachment-subnet.

   gcloud compute firewall-rules create deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=ALL \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regla de mayor prioridad permite la salida desde el intervalo de direcciones IP de attachment-subnet a destinos del intervalo de direcciones producer-ingress-subnet.

   gcloud compute firewall-rules create allow-limited-egress \
       --network=consumer-vpc \
       --action=ALLOW \
       --rules=ALL \
       --direction=EGRESS \
       --priority=1000 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="10.10.2.0/24"
   

3. Una regla de aceptación de entrada anula la regla implícita de denegación de entrada para el tráfico de attachment-subnet.

   gcloud compute firewall-rules create allow-ingress \
   --network=consumer-vpc \
   --action=ALLOW \
   --rules=ALL \
   --direction=INGRESS \
   --priority=1000 \
   --source-ranges="10.0.1.48/28"
   

Permitir la salida de datos del consumidor al productor

Si quieres permitir que una red de consumidor inicie tráfico a una red de productor, puedes usar reglas de cortafuegos de entrada.

Veamos la configuración de ejemplo de la figura 2, en la que el consumidor quiere permitir que subnet-1 acceda a la red del productor a través de la conexión de Private Service Connect.

La siguiente regla de cortafuegos asegura que solo subnet-1 pueda acceder a la red del productor a través de la conexión de Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Configurar la seguridad de productor a productor

Puedes usar reglas de cortafuegos de VPC para proteger los casos en los que una aplicación de productor necesita acceder a otra aplicación de productor.

Supongamos que un consumidor usa dos servicios gestionados por terceros diferentes que están alojados en redes VPC distintas. Un servicio es una base de datos y el otro proporciona analíticas. El servicio de analíticas debe conectarse al servicio de base de datos para analizar sus datos. Una de las opciones es que los servicios creen una conexión directa. Sin embargo, si los dos servicios de terceros están conectados directamente, el consumidor pierde el control y la visibilidad de sus datos.

Un enfoque más seguro es usar interfaces de Private Service Connect, endpoints de Private Service Connect y reglas de firewall de VPC, como se muestra en la figura 3.

Con este enfoque, la red de consumidores se conecta a la aplicación de base de datos a través de un endpoint de una subred y se conecta a la aplicación de analíticas a través de un archivo adjunto de red de otra subred. El tráfico de la aplicación de analíticas puede llegar a la aplicación de base de datos pasando por la interfaz y la conexión de red de Private Service Connect, atravesando la red del consumidor y saliendo por el punto final de endpoint-subnet.

En la red de VPC del consumidor, una regla de cortafuegos de VPC deniega todo el tráfico de salida de attachment-subnet. Otra regla de cortafuegos con mayor prioridad permite el tráfico saliente de attachment-subnet y consumer-private-subnet al endpoint. Por lo tanto, el tráfico de la aplicación de analíticas puede llegar a la red VPC de la aplicación de base de datos, y este tráfico debe fluir a través del endpoint del consumidor.

Las siguientes reglas de cortafuegos crean la configuración que se describe en la figura 4.

1. Una regla de cortafuegos bloquea todo el tráfico de salida de attachment-subnet:

   gcloud compute firewall-rules create consumer-deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=all \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Una regla de cortafuegos permite el tráfico TCP de salida en el puerto 80 desde attachment-subnet y consumer-private-subnet hasta el endpoint:

   gcloud compute firewall-rules create consumer-allow-80-egress \
       --network=intf-consumer-vpc \
       --allow=tcp:80 \
       --direction=EGRESS \
       --source-ranges="10.0.1.48/28,10.10.2.0/24" \
       --destination-ranges="10.0.1.66/32" \
       --priority=1000