Configure a segurança para anexos de rede
Esta página descreve como os administradores de redes de consumo podem gerir a segurança em redes de VPC que usam anexos de rede.
As interfaces do Private Service Connect são criadas e geridas por uma organização produtora, mas estão localizadas numa rede VPC consumidora. Para a segurança do lado do consumidor, recomendamos regras de firewall baseadas em intervalos de endereços IP da rede VPC do consumidor. Esta abordagem permite ao consumidor controlar o tráfego proveniente de interfaces do Private Service Connect sem depender das etiquetas de rede do produtor.
A utilização de etiquetas de rede com regras de firewall é suportada, mas não recomendada, porque o consumidor não controla essas etiquetas.
Limite a entrada de dados do produtor para o consumidor
Considere a configuração de exemplo na figura 1, em que o consumidor quer conceder ao produtor acesso a producer-ingress-subnet e bloquear o acesso do produtor a restricted-subnet.
Figura 1. As regras de firewall ajudam a garantir que o tráfego da sub-rede do produtor só pode alcançar as VMs nas sub-redes attachment-subnet e producer-ingress-subnet.
As seguintes regras de firewall permitem a entrada limitada de produtor para consumidor:
Uma regra de baixa prioridade nega todo o tráfego de saída do intervalo de endereços IP da sub-rede do anexo de rede,
attachment-subnet.gcloud compute firewall-rules create deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=ALL \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Uma regra de prioridade mais elevada permite a saída do intervalo de endereços IP de
attachment-subnetpara destinos no intervalo de endereços deproducer-ingress-subnet.gcloud compute firewall-rules create allow-limited-egress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=EGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="10.10.2.0/24"Uma regra de permissão de entrada substitui a regra de recusa implícita de entrada para o tráfego de
attachment-subnet.gcloud compute firewall-rules create allow-ingress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=INGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28"
Permitir saída do consumidor para o produtor
Se quiser permitir que uma rede de consumidores inicie tráfego para uma rede de produtores, pode usar regras de firewall de entrada.
Considere a configuração de exemplo na figura 2, em que o consumidor quer permitir que subnet-1 aceda à rede do produtor através da ligação do Private Service Connect.
Figura 2. Uma regra de firewall de entrada permitida permite que
subnet-1 aceda à rede do produtor através de
uma ligação do Private Service Connect, enquanto
subnet-2 é bloqueado pela regra de entrada de negação implícita (clique para
aumentar).
A seguinte regra de firewall garante que apenas subnet-1
pode aceder à rede do produtor através da ligação do Private Service Connect:
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.10.2.0/24" \
--destination-ranges="10.0.1.48/28"
Configure a segurança de produtor para produtor
Pode usar regras de firewall de VPC para segurança em cenários em que uma aplicação produtora precisa de aceder a outra aplicação produtora.
Considere um cenário em que um consumidor usa dois serviços geridos de terceiros diferentes alojados em diferentes redes VPC. Um serviço é uma base de dados e o outro serviço fornece estatísticas. O serviço de estatísticas tem de se ligar ao serviço de base de dados para analisar os respetivos dados. Uma abordagem consiste em os serviços criarem uma ligação direta. No entanto, se os dois serviços de terceiros estiverem diretamente ligados, o consumidor perde o controlo e a visibilidade dos seus dados.
Uma abordagem mais segura consiste em usar interfaces do Private Service Connect, pontos finais do Private Service Connect e regras de firewall da VPC, conforme mostrado na figura 3.
Figura 3. O tráfego da aplicação de estatísticas que se destina à aplicação de base de dados passa pela rede VPC do consumidor. As regras de firewall da VPC limitam o tráfego de saída com base no intervalo de endereços IP de origem (clique para aumentar).
Nesta abordagem, a rede de consumidores liga-se à aplicação de base de dados através de um ponto final numa sub-rede e liga-se à aplicação de estatísticas através de uma associação de rede numa sub-rede diferente. O tráfego da aplicação de estatísticas pode alcançar a aplicação de base de dados através da interface e da associação da rede do Private Service Connect, transitando pela rede do consumidor e saindo através do ponto final em endpoint-subnet.
Na rede VPC do consumidor, uma regra de firewall da VPC nega todo o tráfego de saída de attachment-subnet. Outra regra de firewall que tem uma prioridade mais elevada permite o tráfego de saída de attachment-subnet e consumer-private-subnet para o ponto final. Consequentemente, o tráfego da aplicação de estatísticas pode alcançar a rede VPC da aplicação de base de dados, e este tráfego tem de fluir através do ponto final no consumidor.
As seguintes regras de firewall criam a configuração descrita na figura 4.
Uma regra de firewall bloqueia todo o tráfego de saída de
attachment-subnet:gcloud compute firewall-rules create consumer-deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=all \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Uma regra de firewall permite o tráfego TCP de saída na porta 80 de
attachment-subneteconsumer-private-subnetpara o ponto final:gcloud compute firewall-rules create consumer-allow-80-egress \ --network=intf-consumer-vpc \ --allow=tcp:80 \ --direction=EGRESS \ --source-ranges="10.0.1.48/28,10.10.2.0/24" \ --destination-ranges="10.0.1.66/32" \ --priority=1000