Configura la sicurezza per le interfacce Private Service Connect

Questa pagina descrive come gli amministratori di rete producer possono gestire la sicurezza nelle reti VPC che utilizzano interfacce Private Service Connect.

Poiché esiste un'interfaccia Private Service Connect in una rete Private Service Connect consumer, un'organizzazione producer non controlla le regole firewall che si applicano direttamente all'interfaccia. Se un'organizzazione produttrice vuole assicurarsi che i carichi di lavoro dei consumatori non possano avviare il traffico verso le VM nella rete del produttore o che solo i carichi di lavoro dei consumatori selezionati possano avviare il traffico, deve definire i criteri di sicurezza nel sistema operativo guest della VM dell'interfaccia.

Bloccare l'ingresso da consumer a producer

Puoi utilizzare iptables per configurare un'interfaccia Private Service Connect per bloccare il traffico in entrata da una rete consumer, ma consentire comunque il traffico in uscita dalla rete producer. Questa configurazione è illustrata nella figura 1.

Il traffico consumer è bloccato dall'ingresso tramite un'interfaccia Private Service Connect, ma il traffico in uscita del producer è consentito (fai clic per ingrandire).

Per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata dalla rete consumer, ma consentire il traffico in uscita dalla rete producer, procedi nel seguente modo:

  1. Assicurati che le regole firewall siano configurate per consentire le connessioni SSH in entrata alla VM dell'interfaccia Private Service Connect.

  2. Connettiti alla VM.

  3. Se il comando iptables non è disponibile, installalo.

  4. Consenti al traffico di risposta dei consumer di entrare nell'interfaccia Private Service Connect:

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME

    Sostituisci OS_INTERFACE_NAME con il nome del sistema operativo guest per l'interfaccia Private Service Connect.

  5. Blocca il traffico avviato dai consumer in entrata tramite l'interfaccia Private Service Connect:

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME

Blocca la creazione dell'interfaccia Private Service Connect

Per creare interfacce Private Service Connect, gli utenti devono disporre dell'autorizzazione compute.instances.pscInterfaceCreate Identity and Access Management (IAM). Questa autorizzazione è inclusa nei seguenti ruoli:

Se vuoi che un utente disponga delle autorizzazioni associate a questi ruoli, impedendogli al contempo di creare interfacce Private Service Connect, puoi creare un ruolo personalizzato e concederlo all'utente. Aggiungi le autorizzazioni necessarie al ruolo. Ometti l'autorizzazione compute.instances.pscInterfaceCreate.

Passaggi successivi