Puedes configurar un perímetro de seguridad para asegurarte de que tus instancias de máquinas virtuales confidenciales solo puedan interactuar con otras instancias de máquinas virtuales confidenciales. Esto se consigue con los siguientes servicios:
Se puede establecer un perímetro de seguridad en torno a las instancias de máquinas virtuales confidenciales que residan en el mismo proyecto o en proyectos independientes.
Roles obligatorios
Para obtener los permisos que necesitas para crear un perímetro de seguridad, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización:
-
Administrador de la organización (
roles/resourcemanager.organizationAdmin) -
Administrador de VPC compartidas de Compute (
roles/compute.xpnAdmin) -
Administrador de gestión de identidades y accesos del proyecto (
roles/resourcemanager.projectIamAdmin) -
Usuario de red de Compute (
roles/compute.networkUser) -
Administrador de instancias de Compute (
roles/compute.instanceAdmin)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Para obtener más información sobre estos roles, consulta los roles de administrador necesarios en la descripción general de la VPC compartida.
Crear un perímetro de VM confidencial
Para crear un perímetro de seguridad alrededor de tus instancias de VM confidencial, sigue estas instrucciones:
Crea una carpeta en tu organización llamada
confidential-perimeter.En la carpeta, crea un proyecto host de VPC compartida. De esta forma, se define el perímetro de la VM confidencial.
Una vez que hayas creado un proyecto host de VPC, comparte el proyecto concediendo acceso a tu equipo de redes.
Refuerza el perímetro
Para evitar que los proyectos de servicio permitan que las instancias de máquinas virtuales no confidenciales interactúen con el perímetro, aplica las siguientes restricciones de la política de la organización a tu carpeta confidential-perimeter, tal como se indica.
| Restricción | Valor | Descripción |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Obliga a todos los proyectos de servicio a crear solo instancias de VM confidenciales. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impide que los proyectos que se encuentran dentro del perímetro creen otro proyecto host de VPC compartida. Sustituye FOLDER_ID por el
ID
de tu carpeta confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Impide que los proyectos de servicio emparejen redes y conexiones de red fuera del perímetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Obliga a todas las instancias de VM confidenciales de los proyectos de servicio a usar IPs internas. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Impide que todas las instancias de VM definan un punto de entrada visible en Internet. Puede anular esta opción en proyectos específicos de su perímetro que deban tener acceso, como su red perimetral. |
Para controlar la transferencia de datos de red fuera del perímetro, usa reglas de cortafuegos de VPC.
Siguientes pasos
Puedes usar Controles de Servicio de VPC para ampliar el perímetro de seguridad y cubrir losGoogle Cloud recursos. Para obtener más información, consulta la introducción a Controles de Servicio de VPC.