Questa pagina descrive come visualizzare e implementare i suggerimenti su quando rimuovere
l'intervallo di indirizzi IP di 0.0.0.0/0 dalle reti autorizzate.
Le istanze con 0.0.0.0/0 nelle reti autorizzate accettano connessioni da tutti gli IP internet. Questo consigliere si chiama Rimuovi accesso pubblico ampio.
Ogni giorno, questo sistema di suggerimenti rileva in modo proattivo le istanze che hanno ampi intervalli di indirizzi IP pubblici e fornisce approfondimenti e consigli per migliorare la sicurezza delle istanze. Puoi visualizzare approfondimenti e consigli dettagliati sulle istanze per cui sono abilitati intervalli di indirizzi IP pubblici e che sono vulnerabili a violazioni della sicurezza utilizzando la console Google Cloud ,gcloud CLI o l'API Recommender.
Prima di iniziare
Assicurati di abilitare l'API Recommender.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari.
| Tasks | Ruoli |
|---|---|
| Visualizza i suggerimenti |
recommender.cloudsqlViewer o
cloudsql.admin.
|
| Applica consigli |
cloudsql.editor
o cloudsql.admin.
|
Elenca i consigli
Per elencare i consigli:
Console
Per elencare i consigli sulla sicurezza delle istanze:
Vai alla pagina Istanze Cloud SQL.
Visualizza la colonna Problemi nella tabella delle istanze.
In alternativa, segui questi passaggi:
Vai all'hub dei suggerimenti.
Per saperne di più, consulta la sezione Esplorare i consigli.
Nella scheda Tutti i suggerimenti, fai clic su Sicurezza.
gcloud
Esegui il comando gcloud recommender recommendations list come segue:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.
API
Chiama il metodo recommendations.list nel seguente modo:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio
us-central1.
Visualizzare approfondimenti e consigli dettagliati
Per visualizzare approfondimenti e consigli dettagliati:
Console
Dopo aver elencato i consigli, fai clic su uno di essi. Viene visualizzato il riquadro dei suggerimenti, che contiene approfondimenti e suggerimenti dettagliati.
gcloud
Esegui il comando gcloud recommender insights list come segue:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION : una regione in cui si trovano le istanze, ad esempio
us-central1.
API
Chiama il metodo insights.list nel seguente modo:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio
us-central1.
Applica il consiglio.
Console
Per implementare questo consiglio, fai clic su Gestisci reti autorizzate e poi utilizza una delle seguenti opzioni:
- Rimuovi gli indirizzi IP ampi dalle reti autorizzate. Per ulteriori informazioni, consulta Autorizzare con le reti autorizzate.
- Utilizza il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
gcloud
Per implementare questo consiglio, utilizza una delle seguenti opzioni:
- Rimuovi gli indirizzi IP ampi dalle reti autorizzate. Per ulteriori informazioni, consulta Autorizzare con le reti autorizzate.
- Utilizza il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
API
Per implementare questo consiglio, utilizza una delle seguenti opzioni:
- Rimuovi gli indirizzi IP ampi dalle reti autorizzate. Per ulteriori informazioni, consulta Autorizzare con le reti autorizzate.
- Utilizza il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
Passaggi successivi
- Autorizzazione con reti autorizzate
- Proxy di autenticazione Cloud SQL
- Connettori di linguaggio Cloud SQL
- Google Cloud motori per suggerimenti
- Blog: Massimizza il ROI del cloud