Aumente a segurança da instância removendo redes autorizadas

Nesta página, descrevemos como visualizar e implementar recomendações sobre como remover redes autorizadas para instâncias que violam a política da organização constraints/sql.restrictAuthorizedNetworks aplicada pelo administrador. Essa violação da política ocorre quando já existem redes autorizadas para uma instância no momento da aplicação da restrição. Esse recomendador é chamado de Remover redes autorizadas.

Todos os dias, esse recomendador detecta proativamente instâncias que violam a política da organização constraints/sql.restrictAuthorizedNetworks e fornece insights e recomendações para melhorar a segurança da instância. Acesse insights e recomendações detalhadas sobre essas instâncias usando o console do Google Cloud, a gcloud CLI ou a API Recommender.

Para mais informações sobre as políticas da organização, consulte Políticas da organização do Cloud SQL.

Antes de começar

Ative a API Recommender.

Papéis e permissões necessárias

Para ter as permissões de visualizar e trabalhar com insights e recomendações, verifique se você tem os papéis do Identity and Access Management (IAM) necessários.

Tarefas Papéis
Ver recomendações recommender.cloudsqlViewer ou cloudsql.admin.
Aplicar recomendações cloudsql.editor ou cloudsql.admin.
Para mais informações sobre os papéis do IAM, consulte a Referência de papéis básicos e predefinidos do IAM e Gerenciar acesso a projetos, pastas e organizações.

Listar as recomendações

Para listar as recomendações, siga estas etapas:

Console

Para listar recomendações sobre a segurança da instância, siga estas etapas:

  1. Acesse a página Instâncias" do Cloud SQL

    Acesse "Instâncias do Cloud SQL"

  2. Confira a coluna Problemas na tabela de instâncias.

Ou então:

  1. Acesse o Hub de recomendações.

    Acesse o Hub de recomendações

    Para mais informações, consulte Como explorar as recomendações.

  2. No card Todas as recomendações, clique em Segurança.

gcloud

Execute o comando gcloud recommender recommendations list da seguinte maneira:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região onde as instâncias estão localizadas, como us-central1.

API

Chame o método recommendations.list da seguinte maneira:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

Ver insights e recomendações detalhadas

Para ver insights e recomendações detalhadas, siga estas etapas:

Console

Depois de listar as recomendações, clique em uma delas. O painel de recomendações é exibido com insights e recomendações detalhadas.

gcloud

Execute o comando gcloud recommender insights list da seguinte maneira:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

API

Chame o método insights.list da seguinte maneira:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

Aplicar a recomendação

Console

Para implementar a recomendação, faça o seguinte:

  1. Clique em Gerenciar redes autorizadas.

  2. Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.

  3. Remova as redes autorizadas da instância.

gcloud

Para implementar a recomendação, faça o seguinte:

  1. Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.

  2. Remova as redes autorizadas da instância.

API

Para implementar a recomendação, faça o seguinte:s

  1. Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.

  2. Remova as redes autorizadas da instância.

A seguir