Configura la seguridad para los adjuntos de red

En esta página, se describe cómo los administradores de redes personales pueden administrar la seguridad en las redes de VPC que usan adjuntos de red.

Una organización del productor crea y administra las interfaces de Private Service Connect, pero se encuentran en una red de VPC del consumidor. Para la seguridad del consumidor, recomendamos reglas de firewall basadas en rangos de direcciones IP de la red de VPC del consumidor. Este enfoque permite que el consumidor controle el tráfico que proviene de las interfaces de Private Service Connect sin depender de las etiquetas de red del productor.

Se admite el uso de etiquetas de red con reglas de firewall, pero no se recomienda, ya que el consumidor no controla esas etiquetas.

Limita la entrada de productor a consumidor

Considera la configuración de ejemplo en la figura 1, en la que el consumidor desea otorgar al productor acceso a producer-ingress-subnet y bloquear el acceso del productor para restricted-subnet.

Figura 1. Las reglas de firewall ayudan a garantizar que el tráfico de la subred del productor solo pueda llegar a las VMs en las subredes attachment-subnet y producer-ingress-subnet.

Las siguientes reglas de firewall permiten la entrada limitada de productor a consumidor:

  1. Una regla de prioridad baja rechaza todo el tráfico de salida del rango de direcciones IP de la subred del adjunto de red, attachment-subnet.

    gcloud compute firewall-rules create deny-all-egress \
        --network=consumer-vpc \
        --action=DENY \
        --rules=ALL \
        --direction=EGRESS \
        --priority=65534 \
        --source-ranges="10.0.1.48/28" \
        --destination-ranges="0.0.0.0/0"
    
  2. Una regla de mayor prioridad permite la salida desde el rango de direcciones IP de attachment-subnet a los destinos en el rango de direcciones de producer-ingress-subnet.

    gcloud compute firewall-rules create allow-limited-egress \
        --network=consumer-vpc \
        --action=ALLOW \
        --rules=ALL \
        --direction=EGRESS \
        --priority=1000 \
        --source-ranges="10.0.1.48/28" \
        --destination-ranges="10.10.2.0/24"
    
  3. Una regla de entrada de permiso anula la regla de entrada denegada implícita para el tráfico desde attachment-subnet.

    gcloud compute firewall-rules create allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.0.1.48/28"
    

Permite la salida de consumidor a productor

Si quieres permitir que una red del consumidor inicie el tráfico a una red del productor, puedes usar reglas de firewall de entrada.

Considera la configuración de ejemplo en la figura 2, en la que el consumidor desea permitir que subnet-1 acceda a la red del productor a través de la conexión de Private Service Connect.

Figura 2. Una regla de firewall de entrada permitida permite que subnet-1 acceda a la red del productor a través de una conexión de Private Service Connect, mientras que subnet-2 está bloqueada por la regla de denegación de entrada implícita (haz clic para ampliar).

La siguiente regla de firewall garantiza que solo subnet-1 pueda acceder a la red del productor a través de la conexión de Private Service Connect:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Configura la seguridad de productor a productor

Puedes usar reglas de firewall de VPC para la seguridad en situaciones en las que una aplicación de productor necesita acceder a otra aplicación de productor.

Considera una situación en la que un consumidor usa dos servicios administrados de terceros diferentes que se alojan en redes de VPC diferentes. Un servicio es una base de datos y el otro proporciona estadísticas. El servicio de estadísticas debe conectarse al servicio de bases de datos para analizar sus datos. Un enfoque es para que los servicios creen una conexión directa. Sin embargo, si los dos servicios de terceros están conectados directamente, el consumidor pierde el control y la visibilidad de sus datos.

Un enfoque más seguro es usar las interfaces de Private Service Connect, los extremos de Private Service Connect y las reglas de firewall de VPC, como se muestra en la figura 3.

Figura 3. El tráfico de la aplicación de estadísticas que está vinculada a la aplicación de base de datos pasa a través de la red de VPC del consumidor. Las reglas de firewall de VPC limitan el tráfico de salida según el rango de direcciones IP de origen (haz clic para ampliar).

En este enfoque, la red del consumidor se conecta a la aplicación de la base de datos a través de un extremo en una subred y se conecta a la aplicación de estadísticas a través de un adjunto de red en una subred diferente. El tráfico de la aplicación de estadísticas puede llegar a la aplicación de base de datos si pasa por la interfaz de Private Service Connect y el adjunto de red, pasa por la red del consumidor y sale a través del extremo en endpoint-subnet.

En la red de VPC del consumidor, una regla de firewall de VPC rechaza todo el tráfico de salida de attachment-subnet. Otra regla de firewall que tiene una prioridad más alta permite el tráfico de salida de attachment-subnet y consumer-private-subnet al extremo. En consecuencia, el tráfico de la aplicación de estadísticas puede llegar a la red de VPC de la aplicación de la base de datos y este tráfico debe fluir a través del extremo en el consumidor.

Las siguientes reglas de firewall crean la configuración descrita en la figura 4.

  1. Una regla de firewall bloquea todo el tráfico de salida de attachment-subnet:

    gcloud compute firewall-rules create consumer-deny-all-egress \
        --network=consumer-vpc \
        --action=DENY \
        --rules=all \
        --direction=EGRESS \
        --priority=65534 \
        --source-ranges="10.0.1.48/28" \
        --destination-ranges="0.0.0.0/0"
    
  2. Una regla de firewall permite la salida de tráfico de TCP en el puerto 80 de attachment-subnet y consumer-private-subnet al extremo:

    gcloud compute firewall-rules create consumer-allow-80-egress \
        --network=intf-consumer-vpc \
        --allow=tcp:80 \
        --direction=EGRESS \
        --source-ranges="10.0.1.48/28,10.10.2.0/24" \
        --destination-ranges="10.0.1.66/32" \
        --priority=1000