Configurare un perimetro dei Controlli di servizio VPC per una rete Virtual Private Cloud

Scopri come configurare un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo tutorial utilizza impostazioni di rete come firewall, Private Service Connect e configurazioni DNS necessarie per utilizzare in modo efficace un perimetro dei Controlli di servizio VPC. Questo tutorial mostra poi come i servizi vengono consentiti o negati e come creare eccezioni granulari per una lista consentita di servizi specifici.

Obiettivi

  • Configura un perimetro dei Controlli di servizio VPC con controlli di rete aggiuntivi per ridurre i percorsi di esfiltrazione.
  • Consenti o nega l'accesso ai servizi all'interno del perimetro dalle richieste che hanno origine all'interno o all'esterno del perimetro.
  • Consenti o nega l'accesso ai servizi al di fuori del perimetro dalle richieste che hanno origine all'interno del perimetro.
  • Utilizza insieme il criterio dell'organizzazione Limita utilizzo del servizio di risorse e Controlli di servizio VPC.

Costi

Questo tutorial utilizza i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

Al termine di questo tutorial, puoi evitare l'addebito di ulteriori costi eliminando le risorse create. Per ulteriori informazioni, consulta la sezione Pulizia.

Prima di iniziare

  1. Questo tutorial richiede un progetto nella tua organizzazione. Se non hai ancora un'organizzazione Google Cloud , consulta Creazione e gestione di un'organizzazione.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Access Context Manager, and Cloud DNS APIs.

    Enable the APIs

  5. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  6. Make sure that you have the following role or roles on the organization: Access Context Manager Admin, Organization Policy Administrator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM

    2. Seleziona l'organizzazione.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

  7. Make sure that you have the following role or roles on the project: Compute Admin, DNS Administrator, IAP-Secured Tunnel User, Service Account User, Service Directory Editor

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM

    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

      8. Configura il perimetro dei Controlli di servizio VPC

      Per implementare un perimetro dei Controlli di servizio VPC per una rete VPC, devi implementare controlli di rete che negano il traffico ai servizi esterni. Le sezioni seguenti descrivono in dettaglio le configurazioni di rete che devi implementare nelle reti VPC all'interno del perimetro e una configurazione di esempio del perimetro.

      Prepara la rete VPC

      In questa sezione configurerai la connettività privata alle API e ai servizi Google per la tua rete VPC per mitigare una serie di percorsi di uscita di rete a internet.

      1. In Cloud Shell, imposta le variabili:

        gcloud config set project PROJECT_ID
gcloud config set compute/region REGION
gcloud config set compute/zone ZONE

        Sostituisci quanto segue:

        • PROJECT_ID: l'ID progetto per il progetto in cui creerai le risorse
        • REGION: una regione vicina alla tua posizione, ad esempio us-central1
        • ZONE: una zona vicina alla tua posizione, ad esempio us-central1-a

      2. Crea una rete VPC e una subnet con l'accesso privato Google abilitato:

        gcloud compute networks create restricted-vpc --subnet-mode=custom
gcloud compute networks subnets create restricted-subnet \
--range=10.0.0.0/24 \
--network=restricted-vpc \
--enable-private-ip-google-access

      3. Crea un endpoint Private Service Connect e una regola di forwarding configurata per utilizzare il bundle vpc-sc:

        gcloud compute addresses create restricted-psc-endpoint \
--global \
--purpose=PRIVATE_SERVICE_CONNECT \
--addresses=10.0.1.1 \
--network=restricted-vpc

gcloud compute forwarding-rules create restrictedpsc \
--global \
--network=restricted-vpc \
--address=restricted-psc-endpoint \
--target-google-apis-bundle=vpc-sc

      4. Configura il criterio del server Cloud DNS per reindirizzare le query per le API Google Cloud al tuo endpoint Private Service Connect:

        gcloud dns managed-zones create restricted-dns-zone \
  --description="Private DNS Zone to map Google API queries to the Private Service Connect endpoint for Google APIs" \
  --dns-name="googleapis.com." \
  --networks=restricted-vpc \
  --visibility=private

gcloud dns record-sets create googleapis.com  \
--rrdatas=10.0.1.1 \
--type=A \
--ttl=300 \
--zone=restricted-dns-zone

gcloud dns record-sets create *.googleapis.com  \
--rrdatas="googleapis.com." \
--type=CNAME \
--ttl=300 \
--zone=restricted-dns-zone

      5. Configura una regola firewall con priorità bassa per negare tutto il traffico in uscita:

        gcloud compute firewall-rules create deny-all-egress \
--priority=65534 \
--direction=egress \
--network=restricted-vpc \
--action=DENY \
--rules=all \
--destination-ranges=0.0.0.0/0

      6. Configura una regola firewall con una priorità più alta per consentire al traffico di raggiungere l'indirizzo IP utilizzato dall'endpoint Private Service Connect:

        gcloud compute firewall-rules create allow-psc-for-google-apis \
--priority=1000 \
--direction=egress \
--network=restricted-vpc \
--action=ALLOW \
--rules=tcp:443 \
--destination-ranges=10.0.1.1

        Queste regole firewall negano il traffico in uscita in modo generico, prima di consentire selettivamente il traffico in uscita verso l'endpoint Private Service Connect. Questa configurazione nega il traffico in uscita verso i domini predefiniti normalmente raggiungibili per impostazione predefinita con l'accesso privato Google e le regole firewall implicite.

      Crea un perimetro dei Controlli di servizio VPC

      In questa sezione, crei un perimetro dei Controlli di servizio VPC.

      1. In Cloud Shell, crea una policy di accesso come prerequisito per creare un perimetro dei Controlli di servizio VPC:

        gcloud access-context-manager policies create \
--organization=ORGANIZATION_ID --title "Access policy at organization node"

        L'output è simile al seguente:

        "Create request issued
Waiting for operation [operations/accessPolicies/123456789/create/123456789] to complete...done."

        Può esistere un solo container di criteri di accesso nel nodo dell'organizzazione. Se è già stata creata una norma nella tua organizzazione, l'output è simile al seguente:

        "ALREADY_EXISTS: Policy already exists with parent ContainerKey{containerId=organizations/123456789012, numericId=123456789012}"

        Se visualizzi questo messaggio, vai al passaggio successivo.

      2. Crea un perimetro dei Controlli di servizio VPC che limiti i servizi Cloud Storage e Compute Engine.

        export POLICY_ID=$(gcloud access-context-manager policies list \
--organization=ORGANIZATION_ID \
--format="value(name)")

gcloud access-context-manager perimeters create demo_perimeter \
--title="demo_perimeter" \
--resources=projects/$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") \
--restricted-services="storage.googleapis.com,compute.googleapis.com" \
--enable-vpc-accessible-services \
--policy=$POLICY_ID \
--vpc-allowed-services="RESTRICTED-SERVICES"

      Verifica i servizi consentiti dal traffico al di fuori del perimetro

      Le sezioni seguenti mostrano in che modo il perimetro Controlli di servizio VPC consente o nega l'accesso alle richieste effettuate dall'esterno del perimetro e in che modo puoi consentire selettivamente l'accesso in entrata ai servizi configurando i livelli di accesso e i criteri di accesso in entrata.

      Per simulare il traffico dall'esterno del tuo perimetro, puoi eseguire comandi in Cloud Shell. Cloud Shell è una risorsa al di fuori del tuo progetto e perimetro. Il perimetro consente o nega le richieste anche se queste dispongono di privilegi Identity and Access Management sufficienti per essere completate.

      Questo tutorial utilizza l'API Compute Engine, l'API Cloud Storage e l'API Cloud Resource Manager, ma gli stessi concetti si applicano anche ad altri servizi.

      Verifica che il perimetro neghi il traffico esterno ai servizi con limitazioni

      In questa sezione, verifichi che il perimetro neghi il traffico esterno ai servizi con limitazioni.

      Diagramma architetturale che illustra come un perimetro dei Controlli di servizio VPC nega l'accesso ai servizi con limitazioni

      Il diagramma precedente illustra come a un client autorizzato viene negato l'accesso ai servizi all'interno del perimetro che hai configurato come con restrizioni, ma al client è consentito l'accesso ai servizi che non hai configurato come con restrizioni.

      Nei passaggi successivi, verificherai questo concetto utilizzando Cloud Shell per tentare di creare una VM all'interno della tua rete VPC, operazione che non va a buon fine a causa della configurazione del perimetro dei Controlli di servizio VPC.

      1. In Cloud Shell, esegui questo comando per creare una VM all'interno della rete VPC.

        gcloud compute instances create demo-vm \
    --machine-type=e2-micro \
    --subnet=restricted-subnet \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --no-address

        L'output è simile al seguente:

        "ERROR: (gcloud.compute.instances.create) Could not fetch resource:
- Request is prohibited by organization's policy."

        La richiesta non va a buon fine perché Cloud Shell si trova al di fuori del perimetro e Compute Engine è configurato con il flag --restricted-services.

      2. In Cloud Shell, esegui questo comando per accedere al servizio Resource Manager, che non è configurato nel flag --restricted-services.

        gcloud projects describe PROJECT_ID

        Una risposta corretta restituisce i dettagli del progetto. Questa risposta dimostra che il perimetro consente il traffico esterno all'API Cloud Resource Manager.

        Hai dimostrato che il perimetro nega il traffico esterno ai servizi configurati in --restricted-services e consente il traffico esterno ai servizi non configurati esplicitamente in --restricted-services.

      Le sezioni seguenti introducono i pattern di eccezione per raggiungere i servizi con limitazioni all'interno del perimetro.

      Verifica che un livello di accesso consenta un'eccezione al perimetro

      In questa sezione, verifichi che un livello di accesso consenta un'eccezione al perimetro. Un livello di accesso è utile quando vuoi creare un'eccezione per il traffico esterno per accedere a tutti i servizi con limitazioni all'interno del perimetro e non richiedi eccezioni granulari per ogni servizio o altri attributi.

      Diagramma architetturale che illustra come un livello di accesso concede un'eccezione a tutti i servizi all'interno del perimetro dei Controlli di servizio VPC

      Il diagramma precedente illustra come un livello di accesso consente a un client autorizzato di accedere a tutti i servizi con limitazioni all'interno del perimetro.

      Nei passaggi successivi, verificherai questo concetto creando un livello di accesso e poi effettuando una richiesta riuscita al servizio Compute Engine. Questa richiesta è consentita anche se hai configurato Compute Engine come limitato.

      1. Da Cloud Shell, crea un file YAML che descriva la configurazione di un livello di accesso e applicalo al tuo perimetro. Questo esempio crea un livello di accesso per l'identità utente che stai attualmente utilizzando per eseguire il tutorial.

        export USERNAME=$(gcloud config list account --format "value(core.account)")

cat <<EOF > user_spec.yaml
- members:
  - user:$USERNAME
EOF

        gcloud access-context-manager levels create single_user_level \
--title="single-user access level" \
--basic-level-spec=user_spec.yaml \
--policy=$POLICY_ID

gcloud access-context-manager perimeters update demo_perimeter \
--add-access-levels=single_user_level \
--policy=$POLICY_ID

      2. Da Cloud Shell, esegui di nuovo questo comando per tentare di creare una VM:

        gcloud compute instances create demo-vm \
--machine-type=e2-micro \
--subnet=restricted-subnet \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--no-address

        Questa volta, la richiesta funziona. Il perimetro impedisce al traffico esterno di utilizzare i servizi con limitazioni, ma il livello di accesso che hai configurato consente un'eccezione.

      Verifica che un criterio in entrata consenta un'eccezione granulare al perimetro

      In questa sezione, verifichi che una policy in entrata consenta un'eccezione granulare al perimetro. Rispetto al livello di accesso granulare, un criterio di ingresso granulare può configurare attributi aggiuntivi sull'origine del traffico e consentire l'accesso a singoli servizi o metodi.

      Diagramma architetturale che mostra come una policy in entrata consente a un&#39;eccezione granulare di raggiungere servizi specifici all&#39;interno del perimetro

      Il diagramma precedente illustra come una policy in entrata consenta a un client autorizzato di accedere solo a un servizio specificato all'interno del perimetro, senza consentire l'accesso ad altri servizi con limitazioni.

      Nei passaggi successivi, verifichi questo concetto sostituendo il livello di accesso con una policy di Ingress che consente a un client autorizzato di accedere solo al servizio Compute Engine, ma non ad altri servizi con limitazioni.

      1. Dalla scheda Cloud Shell, esegui questo comando per rimuovere il livello di accesso.

        gcloud access-context-manager perimeters update demo_perimeter \
--policy=$POLICY_ID \
--clear-access-levels

      2. Dalla scheda Cloud Shell, crea un criterio in entrata che consenta alla tua identità utente di accedere solo al servizio Compute Engine e applica il criterio al tuo perimetro.

        cat <<EOF > ingress_spec.yaml
- ingressFrom:
    identities:
    - user:$USERNAME
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - methodSelectors:
      - method: '*'
      serviceName: compute.googleapis.com
    resources:
    - '*'
EOF

        gcloud access-context-manager perimeters update demo_perimeter \
--set-ingress-policies=ingress_spec.yaml \
--policy=$POLICY_ID

      3. Dalla scheda Cloud Shell, esegui questo comando per creare un bucket Cloud Storage all'interno del perimetro.

        gcloud storage buckets create gs://PROJECT_ID-01

        L'output è simile al seguente:

        "ERROR: (gcloud.storage.buckets.create) HTTPError 403: Request is prohibited by organization's policy."

        Cloud Shell è un client esterno al perimetro, quindi il perimetro di Controlli di servizio VPC impedisce a Cloud Shell di comunicare con i servizi con limitazioni all'interno del perimetro.

      4. Dalla scheda Cloud Shell, esegui questo comando per effettuare una richiesta al servizio Compute Engine all'interno del perimetro.

        gcloud compute instances describe demo-vm --zone=ZONE

        Una risposta corretta restituisce i dettagli di demo-vm. Questa risposta dimostra che il perimetro consente il traffico esterno che soddisfa le condizioni dei criteri in entrata al servizio Compute Engine.

      Verifica i servizi consentiti dal traffico all'interno del perimetro

      Le sezioni seguenti mostrano come il perimetro Controlli di servizio VPC consente o nega le richieste ai servizi dall'interno del perimetro e come puoi consentire selettivamente l'uscita verso servizi esterni tramite le norme di uscita.

      Per dimostrare la differenza tra il traffico all'interno e all'esterno del perimetro, le sezioni seguenti utilizzano sia Cloud Shell all'esterno del perimetro sia un'istanza Compute Engine creata all'interno del perimetro. I comandi eseguiti dalla sessione SSH sull'istanza Compute Engine all'interno del perimetro utilizzano l'identità del account di servizio collegato, mentre i comandi eseguiti da Cloud Shell all'esterno del perimetro utilizzano la tua identità. Se segui la configurazione consigliata per il tutorial, il perimetro consente o nega le richieste anche se queste dispongono di privilegi IAM sufficienti per essere completate.

      Questo tutorial utilizza l'API Compute Engine, l'API Cloud Storage e l'API Cloud Resource Manager, ma gli stessi concetti si applicano anche ad altri servizi.

      Verifica che il perimetro consenta il traffico interno ai servizi con limitazioni all'interno del perimetro

      In questa sezione, verifichi che il perimetro consenta il traffico dagli endpoint di rete all'interno del perimetro se il servizio è configurato anche in Servizi accessibili al VPC.

      Diagramma dell&#39;architettura che illustra in che modo la configurazione di vpc-accessible-services consente di raggiungere i servizi dagli endpoint di rete interni

      Il diagramma precedente mostra come un perimetro consente al traffico proveniente dagli endpoint di rete all'interno del perimetro di raggiungere i servizi con limitazioni che hai configurato anche come servizi accessibili da VPC. I servizi che non hai configurato come servizi accessibili al VPC non sono raggiungibili dagli endpoint di rete all'interno del perimetro.

      Nei passaggi seguenti, verifichi questo concetto stabilendo una connessione SSH all'istanza Compute Engine all'interno del perimetro, quindi effettuando richieste ai servizi.

      1. Da Cloud Shell, crea una regola firewall che consenta il traffico SSH alla tua rete VPC consentendo il traffico in entrata dall'intervallo di indirizzi IP 35.235.240.0/20 utilizzato dal servizio IAP per l'inoltro TCP:

        gcloud compute firewall-rules create demo-allow-ssh \
--direction=INGRESS \
--priority=1000 \
--network=restricted-vpc \
--action=ALLOW \
--rules=tcp:22 \
--source-ranges=35.235.240.0/20

      2. Avvia una sessione SSH per questa istanza:

        gcloud compute ssh demo-vm --zone=ZONE

        Verifica di aver eseguito la connessione all'istanza demo-vm confermando che il prompt della riga di comando è cambiato e mostra il nome host dell'istanza:

        username@demo-vm:~$

        Se il comando precedente non va a buon fine, potresti visualizzare un messaggio di errore simile al seguente:

        "[/usr/bin/ssh] exited with return code [255]"

        In questo caso, l'istanza Compute Engine potrebbe non aver completato l'avvio. Attendi un minuto e riprova.

      3. Dalla sessione SSH all'interno del perimetro, verifica i servizi che il perimetro consente internamente utilizzando un servizio Google Cloud che è configurato nell'allowlist dei servizi accessibili al VPC. Ad esempio, prova un comando qualsiasi utilizzando il servizio Compute Engine.

        gcloud compute instances describe demo-vm --zone=ZONE

        Una risposta corretta restituisce i dettagli di demo-vm. Questa risposta dimostra che il perimetro consente il traffico interno all'API Compute Engine.

      4. Dalla sessione SSH all'interno del perimetro, verifica che i servizi non inclusi nella lista consentita dei servizi accessibili a VPC non siano consentiti dalla tua VM. Ad esempio, il seguente comando utilizza il servizio Resource Manager, che non è configurato nell'elenco consentito dei servizi accessibili al VPC.

        gcloud projects describe PROJECT_ID

        L'output è simile al seguente:

        "ERROR: (gcloud.projects.list) PERMISSION_DENIED: Request is prohibited by organization's policy."

        La tua istanza Compute Engine e altri endpoint di rete possono richiedere solo servizi configurati nella lista consentita dei servizi accessibili VPC. Tuttavia, le risorse serverless o il traffico di servizio provenienti dall'esterno del tuo perimetro potrebbero richiedere questo servizio. Se vuoi impedire l'utilizzo di un servizio nel tuo progetto, consulta il criterio di utilizzo delle risorse del servizio con limitazioni.

      Verifica che il perimetro neghi il traffico interno ai servizi con limitazioni al di fuori del perimetro

      In questa sezione, verifichi che il perimetro blocchi la comunicazione dai servizi all'interno del perimetro ai servizi Google Cloud al di fuori del perimetro.

      Diagramma architetturale che illustra come un perimetro dei Controlli di servizio VPC nega l&#39;accesso dal traffico all&#39;interno del perimetro ai servizi limitati all&#39;esterno del perimetro

      Il diagramma precedente illustra come il traffico interno non possa comunicare con servizi con limitazioni al di fuori del perimetro.

      Nei passaggi seguenti, verificherai questo concetto tentando di inviare traffico interno a un servizio limitato all'interno del perimetro e a un servizio limitato all'esterno del perimetro.

      1. Dalla sessione SSH all'interno del perimetro, esegui il seguente comando per creare un bucket di archiviazione all'interno del perimetro. Questo comando funziona perché il servizio Cloud Storage è configurato sia in restricted-services sia in accessible-services.

        gcloud storage buckets create gs://PROJECT_ID-02

        Una risposta corretta crea il bucket di archiviazione. Questa risposta dimostra che il perimetro consente il traffico interno al servizio Cloud Storage.

      2. Dalla sessione SSH all'interno del perimetro, esegui il comando seguente per leggere da un bucket che si trova al di fuori del perimetro. Questo bucket pubblico consente l'autorizzazione di sola lettura a allUsers, ma il perimetro nega il traffico dall'interno del perimetro a un servizio con limitazioni all'esterno del perimetro.

        gcloud storage cat gs://solutions-public-assets/vpcsc-tutorial/helloworld.txt

        L'output è simile al seguente:

        "ERROR: (gcloud.storage.objects.describe) HTTPError 403: Request is prohibited
by organization's policy."

        Questa risposta dimostra che puoi utilizzare i servizi con limitazioni all'interno del perimetro, ma una risorsa all'interno del perimetro non può comunicare con i servizi con limitazioni all'esterno del perimetro.

      Verifica che un criterio in uscita consenta un'eccezione al perimetro

      In questa sezione, verifichi che un criterio in uscita consenta un'eccezione al perimetro.

      Diagramma architetturale che illustra come una policy di uscita consente a eccezioni specifiche di raggiungere un servizio con limitazioni al di fuori del perimetro

      Il diagramma precedente mostra come il traffico interno può comunicare con una risorsa esterna specifica quando concedi un'eccezione ristretta con il criterio di uscita.

      Nei passaggi successivi, verificherai questo concetto creando un criterio di uscita, quindi accedendo a un bucket Cloud Storage pubblico al di fuori del perimetro consentito dal criterio di uscita.

      1. Apri una nuova sessione di Cloud Shell facendo clic su Apri una nuova scheda in Cloud Shell. Nei passaggi successivi, passerai dalla prima scheda con la sessione SSH all'interno del perimetro alla seconda scheda in Cloud Shell all'esterno del perimetro, in cui il prompt della riga di comando inizia con username@cloudshell.

      2. Nella scheda Cloud Shell, crea un criterio di uscita che consenta l'uscita dall'identità del account di servizio collegato di demo-vm utilizzando il metodo google.storage.objects.get a un bucket pubblico in un progetto esterno. Aggiorna il perimetro con il criterio in uscita.

        export POLICY_ID=$(gcloud access-context-manager policies list \
--organization=ORGANIZATION_ID \
--format="value(name)")

export SERVICE_ACCOUNT_EMAIL=$(gcloud compute instances describe demo-vm \
--zone=ZONE) \
--format="value(serviceAccounts.email)"
         
        cat <<EOF > egress_spec.yaml
- egressFrom:
    identities:
      - serviceAccount:$SERVICE_ACCOUNT_EMAIL
  egressTo:
    operations:
    - methodSelectors:
      - method: 'google.storage.objects.get'
      serviceName: storage.googleapis.com
    resources:
    - projects/950403849117
EOF

        gcloud access-context-manager perimeters update demo_perimeter \
--set-egress-policies=egress_spec.yaml \
--policy=$POLICY_ID

      3. Torna alla scheda con la sessione SSH alla VM all'interno del perimetro, dove il prompt della riga di comando inizia con username@demo-vm.

      4. Dalla sessione SSH all'interno del perimetro, effettua un'altra richiesta al bucket Cloud Storage e verifica che funzioni.

        gcloud storage cat gs://solutions-public-assets/vpcsc-tutorial/helloworld.txt

        L'output è simile al seguente:

        "Hello world!
This is a sample file in Cloud Storage that is viewable to allUsers."

        Questa risposta dimostra che le tue norme perimetrali e di uscita consentono il traffico interno da un'identità specifica a un bucket Cloud Storage specifico.

      5. Dalla sessione SSH all'interno del tuo perimetro, puoi anche testare altri metodi non esplicitamente consentiti dall'eccezione alla policy di uscita. Ad esempio, il seguente comando richiede l'autorizzazione google.storage.buckets.list, che viene negata dal perimetro.

        gcloud storage ls gs://solutions-public-assets/vpcsc-tutorial/*

        L'output è simile al seguente:

        "ERROR: (gcloud.storage.cp) Request is prohibited by organization's policy."

        Questa risposta dimostra che il perimetro nega il traffico interno dall'elenco degli oggetti nel bucket esterno, indicando che la policy di uscita consente solo i metodi specificati in modo esplicito.

      Per ulteriori riferimenti sui pattern comuni per la condivisione di dati al di fuori del perimetro di servizio, consulta Protezione dello scambio di dati con le regole per il traffico in entrata e in uscita.

      (Facoltativo) Configura il criterio di utilizzo delle risorse del servizio con limitazioni

      Potresti anche avere requisiti interni o di conformità per consentire l'utilizzo nel tuo ambiente solo di API approvate singolarmente. In questo caso, puoi anche configurare il servizio di criteri dell'organizzazione per l'utilizzo delle risorse dei servizi con limitazioni. Applicando il criterio dell'organizzazione in un progetto, limiti i servizi che possono essere creati in quel progetto. Tuttavia, le norme dell'organizzazione non impediscono ai servizi in questo progetto di comunicare con i servizi in altri progetti. Al contrario, i Controlli di servizio VPC ti consentono di definire un perimetro per impedire la comunicazione con i servizi al di fuori del perimetro.

      Ad esempio, se definisci una policy dell'organizzazione per consentire Compute Engine e negare Cloud Storage nel tuo progetto, una VM in questo progetto non potrebbe creare un bucket Cloud Storage nel tuo progetto. Tuttavia, la VM può effettuare richieste a un bucket Cloud Storage in un altro progetto, quindi l'esfiltrazione con il servizio Cloud Storage è ancora possibile. I seguenti passaggi mostrano come implementare e testare questo scenario:

      1. Passa alla scheda Cloud Shell, dove il prompt della riga di comando inizia con username@cloudshell.

      2. Dalla scheda Cloud Shell, crea un file YAML che descriva il servizio Organization Policy che consentirà solo l'utilizzo del servizio Compute Engine e negherà tutti gli altri servizi, quindi applicalo al tuo progetto.

        cat <<EOF > allowed_services_policy.yaml
constraint: constraints/gcp.restrictServiceUsage
listPolicy:
  allowedValues:
  - compute.googleapis.com
  inheritFromParent: true
EOF

        gcloud resource-manager org-policies set-policy allowed_services_policy.yaml \
--project=PROJECT_ID

      3. Torna alla scheda con la sessione SSH alla VM all'interno del perimetro, dove il prompt della riga di comando inizia con username@demo-vm.

      4. Dalla sessione SSH all'interno del perimetro, esegui il comando seguente per visualizzare lo stesso bucket di archiviazione che hai creato in precedenza all'interno di questo progetto.

        gcloud storage buckets describe gs://PROJECT_ID

        L'output è simile al seguente:

        "ERROR: (gcloud.storage.buckets.create) HTTPError 403: Request is disallowed by organization's constraints/gcp.restrictServiceUsage constraint for 'projects/123456789' attempting to use service 'storage.googleapis.com'."

        Questa risposta dimostra che il servizio Organization Policy nega il servizio Cloud Storage all'interno del tuo progetto, indipendentemente dalla configurazione del tuo perimetro.

      5. Dalla sessione SSH all'interno del perimetro, esegui il comando seguente per visualizzare un bucket di archiviazione al di fuori del perimetro consentito dal criterio di uscita.

        gcloud storage cat gs://solutions-public-assets/vpcsc-tutorial/helloworld.txt

        L'output è simile al seguente:

        "Hello world!
This is a sample file in Cloud Storage that is viewable to allUsers."

        Una risposta corretta restituisce i contenuti di helloworld.txt nel bucket di archiviazione esterno. Questa risposta dimostra che la tua policy perimetrale e di uscita consente al traffico interno di raggiungere un bucket di archiviazione esterno in determinate condizioni limitate, ma il servizio di policy dell'organizzazione nega il servizio Cloud Storage nel tuo progetto indipendentemente dalla configurazione del tuo perimetro. I servizi esterni al progetto potrebbero comunque essere utilizzati per l'esfiltrazione se sono consentiti dal perimetro, indipendentemente dal servizio di criteri dell'organizzazione per il limite di utilizzo delle risorse del servizio con limitazioni.

        Per negare la comunicazione con Cloud Storage o altri servizi Google al di fuori del perimetro, il Servizio criteri dell'organizzazione per l'utilizzo delle risorse limitate da solo non è sufficiente, devi configurare un perimetro dei Controlli di servizio VPC. I Controlli di servizio VPC mitigano i percorsi di esfiltrazione dei dati e l'utilizzo delle risorse di servizio con limitazioni è un controllo di conformità per impedire la creazione di servizi non approvati all'interno del tuo ambiente. Utilizza questi controlli insieme per bloccare una serie di percorsi di esfiltrazione e consentire selettivamente i servizi approvati per l'uso interno nel tuo ambiente.

      Esegui la pulizia

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

      Sebbene il perimetro di Controlli di servizio VPC non generi costi aggiuntivi, deve essere pulito per evitare l'accumulo di risorse inutilizzate e disordinate nella tua organizzazione.

      1. Nel selettore del progetto nella parte superiore della console Google Cloud , seleziona l'organizzazione che hai utilizzato durante questo tutorial.

      2. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

        Vai a Controlli di servizio VPC

      3. Sotto l'elenco dei perimetri, seleziona quello che vuoi eliminare e fai clic su Elimina.

      4. Nella finestra di dialogo, fai di nuovo clic su Elimina per confermare l'eliminazione.

      Passaggi successivi