Protección de recursos con controles de servicio de VPC

Para proteger aún más tus recursos de Compute Engine, puedes protegerlos usando los controles de servicio de VPC .

Los controles de servicio de VPC te permiten definir un perímetro de seguridad para tus recursos de Compute Engine. El perímetro del servicio limita la exportación e importación de recursos y sus datos asociados dentro del perímetro definido.

Cuando crea un perímetro de servicio, selecciona uno o más proyectos que serán protegidos por el perímetro. Las solicitudes entre proyectos dentro del mismo perímetro no se verán afectadas. Todas las API existentes siguen funcionando siempre que los recursos involucrados estén dentro del mismo perímetro de servicio. Tenga en cuenta que las funciones y políticas de IAM aún se aplican dentro de un perímetro de servicio.

Cuando un servicio está protegido por un perímetro, el servicio dentro del perímetro no puede realizar solicitudes a ningún recurso fuera del perímetro. Esto incluye exportar recursos desde dentro hacia fuera del perímetro. Las solicitudes de recursos protegidos desde fuera de un perímetro son posibles si cumplen ciertos criterios. Para obtener más información, consulte Descripción general en la documentación de Controles de servicio de VPC .

Cuando se realiza una solicitud que viola el perímetro de servicio, la solicitud falla con el siguiente error:

"code": 403, "message": "Request is prohibited by organization's policy."

Beneficios de seguridad

Los controles de servicio de VPC brindan los siguientes beneficios de seguridad:

  • El acceso a operaciones confidenciales de la API de Compute Engine, como cambiar las reglas del firewall, se puede restringir al acceso privado desde redes autorizadas o a direcciones IP incluidas en la lista de permitidos.
  • Las instantáneas de disco persistentes de Compute Engine y las imágenes personalizadas se pueden restringir a un perímetro.
  • Los metadatos de la instancia de Compute Engine actúan como un sistema de almacenamiento limitado. El acceso a los metadatos de la instancia a través de la API de Compute Engine está limitado por la política de perímetro del servicio, lo que mitiga los riesgos de filtración al utilizar este canal.

Además, ahora se puede acceder a la API de Compute Engine en la IP virtual restringida (VIP) . Esto simplifica la configuración de enrutamiento y DNS de la nube para los clientes dentro del perímetro que necesitan acceso a esta API.

Limitaciones

  • Los firewalls jerárquicos no se ven afectados por los perímetros de servicio.
  • Las operaciones de intercambio de tráfico de VPC no imponen restricciones en el perímetro del servicio de VPC.
  • El método API projects.ListXpnHosts para VPC compartida no aplica restricciones de perímetro de servicio en los proyectos devueltos.

Permisos

Asegúrese de tener los roles adecuados para administrar las configuraciones del perímetro de controles de servicio de VPC para su organización.

Establecer un perímetro de servicio

Siga las instrucciones en Creación de un perímetro de servicio en la documentación de Controles de servicio de VPC para configurar un perímetro de servicio.

Si configura un perímetro de servicio mediante la CLI de Google Cloud, especifique compute.googleapis.com con el indicador --restricted-services para restringir la API de Compute Engine.

Agregar Compute Engine como servicio restringido a un perímetro existente

Si tiene un perímetro de servicio existente y desea agregar Compute Engine al perímetro de servicio, siga las instrucciones en Actualización de un perímetro de servicio en la documentación de Controles de servicio de VPC.

Crear una VM con controles de servicio de VPC

Después de configurar un perímetro de servicio, no necesita realizar ningún cambio en las herramientas o llamadas API existentes, siempre que los recursos afectados en sus solicitudes estén incluidos en el mismo perímetro de servicio. Por ejemplo, el siguiente comando crea una instancia de VM con una imagen de ejemplo. En este caso, el comando falla si IMAGE_PROJECT está fuera del perímetro de servicio (y no hay un puente de perímetro de servicio entre los proyectos).

gcloud compute instances create new-instance \
    --image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
    --zone us-central1-a --machine-type n1-standard-72

Si está creando una máquina virtual a partir de una plantilla de instancia, todos los recursos a los que se hace referencia en la plantilla de instancia deben pertenecer dentro del mismo perímetro de servicio donde ejecuta el comando o estar conectados mediante un puente de perímetro de servicio. La solicitud falla si la plantilla de instancia hace referencia a un recurso fuera del perímetro del servicio, incluso si la plantilla de instancia en sí está dentro del perímetro.

Para ver un escenario de ejemplo de un cliente de Compute Engine fuera del perímetro que crea un disco de Compute Engine fuera del perímetro usando una clave de Cloud KMS dentro del perímetro, consulte Ejemplos de solicitudes de API permitidas mediante una combinación de reglas de entrada y salida .

Proyectos de imagen pública

Google proporciona y mantiene un conjunto de imágenes públicas para sus instancias. Estos proyectos están implícitamente incluidos en todos los perímetros de seguridad. No se requiere ninguna acción adicional para utilizar estas imágenes.

La siguiente es una lista de proyectos que se incluyen automáticamente en todos los perímetros de seguridad:

  • centos-cloud
  • cos-cloud
  • debian-cloud
  • fedora-cloud
  • fedora-coreos-cloud
  • rhel-cloud
  • rhel-sap-cloud
  • rocky-linux-cloud
  • opensuse-cloud
  • suse-cloud
  • suse-byos-cloud
  • suse-sap-cloud
  • ubuntu-os-cloud
  • ubuntu-os-pro-cloud
  • windows-cloud
  • windows-sql-cloud

Si está utilizando un proyecto de imagen que no está en esta lista y elige no incluir el proyecto de imagen directamente en su perímetro de seguridad, le recomendamos que primero haga una copia de todas las imágenes para usarlas en un proyecto separado y luego incluya el proyecto separado en su perímetro de seguridad.

Copiar imágenes con controles de servicio VPC

Puede copiar imágenes de un proyecto a otro si ambos proyectos pertenecen al mismo perímetro de servicio. En este ejemplo, tanto DST_PROJECT como SRC_PROJECT deben pertenecer al mismo perímetro de servicio para que la solicitud funcione.

gcloud compute images create --project DST_PROJECT IMAGE_NAME \
   --source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
    --family IMAGE_FAMILY --storage-location LOCATION

Si elige no incluir el proyecto de imagen directamente en su perímetro de seguridad, le recomendamos que primero haga una copia de todas las imágenes para usarlas en un proyecto separado y luego incluya el proyecto separado en su perímetro de seguridad.

VPC compartida con controles de servicio de VPC

Cuando se utiliza VPC compartida, las restricciones del perímetro del servicio se aplican a todos los proyectos involucrados en una operación determinada. En otras palabras, recomendamos asegurarse de que el proyecto anfitrión y los proyectos de servicio estén dentro del mismo perímetro de servicio cuando una operación involucra recursos distribuidos entre los proyectos anfitrión y de servicio.

Emparejamiento de red VPC

VPC Network Peering permite emparejar redes VPC entre dos organizaciones separadas. Debido a que un perímetro de servicio se limita a proyectos dentro de una organización, los perímetros de servicio no afectan las redes de VPC de intercambio de tráfico.

Cortafuegos jerárquicos

Los firewalls jerárquicos son firewalls que se configuran fuera de un proyecto (ya sea en la carpeta o en el nivel de la organización). Las restricciones del perímetro de servicio se aplican a un conjunto de proyectos dentro de un perímetro, por lo que no se aplican a firewalls jerárquicos.

Grupos de instancias administrados

Los grupos de instancias administrados lo ayudan a administrar un grupo de instancias de VM como una sola entidad. Los grupos de instancias administrados (MIG) utilizan plantillas de instancias para crear máquinas virtuales y se aplican todas las restricciones en torno a imágenes o redes y subredes entre proyectos. Es decir, cuando utilice imágenes de otros proyectos, asegúrese de que los proyectos pertenezcan al mismo perímetro o copie las imágenes que necesita en otro proyecto e incluya ese proyecto en el perímetro del servicio. Los proyectos de imágenes públicas mantenidos por Google se incluyen automáticamente en todos los perímetros del servicio.

Si desea utilizar grupos de instancias con VPC compartida, asegúrese de que sus proyectos estén en el mismo perímetro de seguridad.

¿Qué sigue?