Puoi configurare un perimetro di sicurezza che garantisca che le tue istanze Confidential VM possano interagire solo con altre istanze Confidential VM. Ciò avviene con i seguenti servizi:
È possibile stabilire un perimetro di sicurezza intorno alle istanze Confidential VM che si trovano all'interno dello stesso progetto o in progetti separati.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare un perimetro di sicurezza, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
-
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin) -
Amministratore VPC condivisa Compute (
roles/compute.xpnAdmin) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Compute Network User (
roles/compute.networkUser) -
Compute Instance Admin (
roles/compute.instanceAdmin)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Per saperne di più su questi ruoli, vedi Ruoli amministrativi richiesti nella panoramica del VPC condiviso.
Crea un perimetro Confidential VM
Per creare un perimetro di sicurezza intorno alle istanze Confidential VM, completa le seguenti istruzioni:
Crea una cartella nella tua organizzazione denominata
confidential-perimeter.All'interno della cartella, crea un progetto host VPC condiviso. Definisce il perimetro di Confidential VM.
Dopo aver creato un progetto host VPC, condividilo concedendo l'accesso al tuo team di networking.
Applica il perimetro
Per impedire ai
progetti di servizio
di consentire alle istanze VM non riservate di interagire con il perimetro,
applica i seguenti vincoli delle policy dell'organizzazione
alla cartella confidential-perimeter come indicato.
| Vincolo | Valore | Descrizione |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
Forza tutti i progetti di servizio a creare solo istanze Confidential VM. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
Impedisce ai progetti all'interno del perimetro di creare un altro progetto host VPC condiviso. Sostituisci FOLDER_ID con l'
ID della tua cartella confidential-perimeter. |
constraints/compute.restrictVpcPeering |
is: [] |
Impedisce ai progetti di servizio di eseguire il peering della rete e le connessioni di rete al di fuori del perimetro. |
constraints/compute.vmExternalIpAccess |
is: [] |
Forza tutte le istanze Confidential VM nei progetti di servizio a utilizzare IP interni. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
Impedisce a tutte le istanze VM di definire un punto di ingresso visibile su internet. Puoi eseguire l'override per progetti specifici nel perimetro che devono avere l'accesso in entrata, ad esempio la rete perimetrale. |
Per controllare il trasferimento di dati di rete al di fuori del perimetro, utilizza le regole firewall VPC.
Passaggi successivi
Puoi utilizzare Controlli di servizio VPC per estendere il perimetro di sicurezza in modo da coprire le risorseGoogle Cloud . Per saperne di più, consulta la panoramica dei Controlli di servizio VPC.