VM-Interaktion auf Confidential VM beschränken

Sie können einen Sicherheitsbereich einrichten, der dafür sorgt, dass Ihre Confidential VM-Instanzen nur mit anderen Confidential VM-Instanzen interagieren können. Dies wird durch die folgenden Dienste erreicht:

• Freigegebene VPC-Netzwerke (Virtual Private Cloud)

• Einschränkungen für Organisationsrichtlinien

• Firewallregeln

Ein Sicherheitsbereich kann für Confidential VM-Instanzen eingerichtet werden, die sich im selben Projekt oder in separaten Projekten befinden.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Sicherheitsperimeters benötigen:

• Administrator der Organisation (roles/resourcemanager.organizationAdmin)
• Administrator für freigegebene Compute-VPC (roles/compute.xpnAdmin)
• Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
• Compute-Netzwerknutzer (roles/compute.networkUser)
• Compute-Instanzadministrator (roles/compute.instanceAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu diesen Rollen finden Sie unter Erforderliche administrative Rollen in der Übersicht zu freigegebenen VPCs.

Confidential VM-Perimeter erstellen

So erstellen Sie einen Sicherheitsbereich um Ihre Confidential VM-Instanzen:

1. Erstellen Sie in Ihrer Organisation einen Ordner mit dem Namen confidential-perimeter.

2. Erstellen Sie in dem Ordner ein freigegebenes VPC-Hostprojekt. Dadurch wird der Confidential VM-Perimeter definiert.

Wenn Sie ein VPC-Hostprojekt erstellt haben, geben Sie das Projekt frei. Gewähren Sie dazu Ihrem Netzwerkteam Zugriff.

Perimeter erzwingen

Wenn Sie verhindern möchten, dass Dienstprojekte Nicht-Confidential VM-Instanzen mit dem Perimeter interagieren lassen, wenden Sie die folgenden Einschränkungen für Organisationsrichtlinien wie angegeben auf Ihren Ordner confidential-perimeter an.

Einschränkung	Wert	Beschreibung
constraints/compute.restrictNonConfidentialComputing	deny compute.googleapis.com	Erzwingt, dass in allen Dienstprojekten nur Confidential VM-Instanzen erstellt werden.
constraints/compute.restrictSharedVpcHostProjects	under: FOLDER_ID	Dadurch wird verhindert, dass Projekte innerhalb des Perimeters ein weiteres freigegebenes VPC-Hostprojekt erstellen. Ersetzen Sie FOLDER_ID durch die ID Ihres confidential-perimeter-Ordners.
constraints/compute.restrictVpcPeering	is: []	Dadurch wird verhindert, dass Dienstprojekte Netzwerk- und Netzwerkverbindungen außerhalb des Perimeters peeren können.
constraints/compute.vmExternalIpAccess	is: []	Erzwingt, dass alle Confidential VM-Instanzen in Dienstprojekten interne IP-Adressen verwenden.
constraints/compute.restrictLoadBalancerCreationForTypes	allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]	Dadurch wird verhindert, dass alle VM-Instanzen einen für das Internet sichtbaren Ingress-Punkt definieren. Sie können dies für bestimmte Projekte in Ihrem Perimeter überschreiben, die Ingress haben sollten, z. B. Ihr Perimeternetzwerk.

Mit VPC-Firewallregeln können Sie die Übertragung von Netzwerkdaten außerhalb des Perimeters steuern.

Nächste Schritte

Mit VPC Service Controls können Sie den Sicherheitsbereich aufGoogle Cloud -Ressourcen erweitern. Weitere Informationen finden Sie unter VPC Service Controls.