Esta página se ha traducido con Cloud Translation API.

Configurar la seguridad de las interfaces de Private Service Connect

En esta página se describe cómo pueden gestionar los administradores de redes de productores la seguridad en las redes de VPC que usan interfaces de Private Service Connect.

Como existe una interfaz de Private Service Connect en una red de Private Service Connect de un consumidor, una organización de productor no controla las reglas de cortafuegos que se aplican directamente a la interfaz. Si una organización productora quiere asegurarse de que las cargas de trabajo de los consumidores no puedan iniciar tráfico a las máquinas virtuales de la red del productor, o de que solo puedan iniciar tráfico las cargas de trabajo de los consumidores seleccionadas, debe definir políticas de seguridad en el SO invitado de la máquina virtual de su interfaz.

Bloquear el acceso de consumidor a productor

Puedes usar iptables para configurar una interfaz de Private Service Connect que bloquee el tráfico entrante de una red de consumidor, pero que siga permitiendo el tráfico saliente de la red de productor. Esta configuración se ilustra en la figura 1.

Se bloquea el tráfico de consumidores para que no entre a través de una interfaz de Private Service Connect, pero se permite el tráfico de salida de productores (haz clic para ampliar).

Para configurar una interfaz de Private Service Connect que bloquee el tráfico entrante de la red del consumidor, pero permita el tráfico saliente de la red del productor, haz lo siguiente:

Asegúrate de que las reglas de cortafuegos estén configuradas para permitir conexiones SSH entrantes a la VM de tu interfaz de Private Service Connect.
Conéctate a la VM.
Si el comando iptables no está disponible, instálalo.
Permite que el tráfico de respuesta del consumidor entre en la interfaz de Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Sustituye OS_INTERFACE_NAME por el nombre del SO invitado de tu interfaz Private Service Connect.
Bloquea el tráfico iniciado por el consumidor para que no entre a través de la interfaz de Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Bloquear la creación de interfaces de Private Service Connect

Para crear interfaces de Private Service Connect, los usuarios deben tener el permiso compute.instances.pscInterfaceCreate Gestión de Identidades y Accesos (IAM) . Este permiso está incluido en los siguientes roles:

Administrador de Compute (roles/compute.admin)
Administrador de instancias de Compute (v. 1) (roles/compute.instanceAdmin.v1)

Si quieres que un usuario tenga los permisos asociados a estos roles, pero no quieres que pueda crear interfaces de Private Service Connect, puedes crear un rol personalizado y asignárselo. Añade los permisos necesarios al rol. Omitir el permiso compute.instances.pscInterfaceCreate.

Siguientes pasos

Gestionar la superposición de destinos en una red que tenga una conexión de interfaz Private Service Connect.