Quita las redes autorizadas para mejorar la seguridad de la instancia

En esta página, se describe cómo ver y luego implementar recomendaciones sobre la eliminación de redes autorizadas para instancias que infringen la política de la organización constraints/sql.restrictAuthorizedNetworks que aplica el administrador. Este incumplimiento de política se produce cuando ya existen redes autorizadas para una instancia en el momento de la aplicación de la restricción. Este recomendador se llama Quitar las redes autorizadas.

Todos los días, este recomendador detecta de forma proactiva las instancias que infringen la política de la organización constraints/sql.restrictAuthorizedNetworks y proporciona estadísticas y recomendaciones para mejorar la seguridad de la instancia. Puedes ver estadísticas y recomendaciones detalladas sobre estas instancias a través la consola de Google Cloud, gcloud CLI o la API de Recommender.

Para obtener más información sobre las políticas de la organización, consulta Políticas de la organización de Cloud SQL.

Antes de comenzar

Asegúrate de habilitar la API de recomendador.

Roles y permisos requeridos

Si deseas obtener los permisos para ver estadísticas y recomendaciones y trabajar con ellas, asegúrate de tener los roles de Identity and Access Management (IAM) necesarios.

Tasks Funciones
Ver recomendaciones recommender.cloudsqlViewer o cloudsql.admin.
Aplicar recomendaciones cloudsql.editor o cloudsql.admin.
Para obtener más información sobre los roles de IAM, consulta Referencia de los roles básicos y predefinidos de IAM y Administra el acceso a los proyectos, las carpetas y las organizaciones.

Enumera las recomendaciones

Para enumerar las recomendaciones, sigue estos pasos:

Console

  1. Ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

    Para obtener más información, consulta Explora las recomendaciones.

  2. En la tarjeta Instancias seguras de Cloud SQL, haz clic en Ver todo. Aparecerá la página Recomendaciones de seguridad. Enumera las recomendaciones junto con las instancias a las que se aplican.

gcloud

Ejecuta el comando gcloud recommender recommendations list de la siguiente manera:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Reemplaza lo siguiente:

  • PROJECT_ID: ID del proyecto
  • LOCATION: la región en la que se encuentran las instancias, como us-central1.

API

Llama al método recommendations.list de la siguiente manera:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

Reemplaza lo siguiente:

  • PROJECT_ID: ID del proyecto
  • LOCATION: Es una región en la que se encuentran las instancias, como us-central1.

Visualiza las estadísticas y las recomendaciones detalladas

Para visualizar estadísticas y recomendaciones detalladas, sigue estos pasos:

Console

En la página Recomendaciones de seguridad, haz clic en la recomendación de una instancia. Aparecerá el panel de recomendaciones, que contiene estadísticas y recomendaciones detalladas.

gcloud

Ejecuta el comando gcloud recommender insights list de la siguiente manera:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Reemplaza lo siguiente:

  • PROJECT_ID: ID del proyecto
  • LOCATION: una región en la que se encuentran las instancias, como us-central1.

API

Llama al método insights.list de la siguiente manera:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

Reemplaza lo siguiente:

  • PROJECT_ID: ID del proyecto
  • LOCATION: Es una región en la que se encuentran las instancias, como us-central1.

Aplica la recomendación

Console

Para implementar la recomendación, haz lo siguiente:

  1. Haz clic en Administrar redes autorizadas.

  2. Configura tus clientes para usar el proxy de autenticación de Cloud SQL y los conectores de lenguaje de Cloud SQL.

  3. Quita las redes autorizadas de tu instancia.

gcloud

Para implementar la recomendación, haz lo siguiente:

  1. Configura tus clientes para usar el proxy de autenticación de Cloud SQL y los conectores de lenguaje de Cloud SQL.

  2. Quita las redes autorizadas de tu instancia.

API

Para implementar la recomendación, haz lo siguiente:

  1. Configura tus clientes para usar el proxy de autenticación de Cloud SQL y los conectores de lenguaje de Cloud SQL.

  2. Quita las redes autorizadas de tu instancia.

¿Qué sigue?