Sicherheit für Netzwerkanhänge konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken die Sicherheit in VPC-Netzwerken verwalten können, die Netzwerkanhänge verwenden.

Private Service Connect-Schnittstellen werden von einer Erstellerorganisation erstellt und verwaltet, befinden sich jedoch in einem Nutzer-VPC-Netzwerk. Für die Sicherheit auf Nutzerseite empfehlen wir Firewallregeln, die auf IP-Adressbereichen aus dem VPC-Netzwerk des Nutzers basieren. So können Nutzer den Traffic von Private Service Connect-Schnittstellen steuern, ohne die Netzwerk-Tags des Erstellers zu verwenden.

Die Verwendung von Netzwerktags mit Firewallregeln wird unterstützt, aber nicht empfohlen, da der Nutzer diese Tags nicht steuert.

Eingehenden Traffic zwischen Ersteller und Nutzer beschränken

Betrachten Sie die Beispielkonfiguration in Abbildung 1, bei der der Nutzer dem Ersteller Zugriff auf producer-ingress-subnet gewähren und den Zugriff des Erstellers auf restricted-subnet blockieren möchte.

Die folgenden Firewallregeln lassen eingeschränkten Ersteller-zu-Nutzer-Ingress zu:

1. Eine Regel mit niedriger Priorität lehnt den gesamten ausgehenden Traffic aus dem IP-Adressbereich des Subnetzes des Netzwerkanhangs, attachment-subnet, ab.

   gcloud compute firewall-rules create deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=ALL \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Eine Regel mit höherer Priorität lässt ausgehenden Traffic vom IP-Adressbereich von attachment-subnet zu Zielen im Adressbereich producer-ingress-subnet zu.

   gcloud compute firewall-rules create allow-limited-egress \
       --network=consumer-vpc \
       --action=ALLOW \
       --rules=ALL \
       --direction=EGRESS \
       --priority=1000 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="10.10.2.0/24"
   

3. Eine Regel zum Zulassen von eingehendem Traffic überschreibt die implizierte Regel zum Ablehnen von eingehendem Traffic von attachment-subnet.

   gcloud compute firewall-rules create allow-ingress \
   --network=consumer-vpc \
   --action=ALLOW \
   --rules=ALL \
   --direction=INGRESS \
   --priority=1000 \
   --source-ranges="10.0.1.48/28"
   

Ausgehenden Traffic von Nutzer zu Ersteller zulassen

Wenn Sie zulassen möchten, dass ein Nutzernetzwerk Traffic zu einem Erstellernetzwerk initiiert, können Sie Firewallregeln für eingehenden Traffic verwenden.

Betrachten Sie die Beispielkonfiguration in Abbildung 2. Hier will der Nutzer subnet-1 über die Private Service Connect-Verbindung auf das Netzwerk des Erstellers zugreifen lassen.

Folgende Firewallregel stellt sicher, dass nur subnet-1 über die Private Service Connect-Verbindung auf das Netzwerk des Erstellers zugreifen kann:

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="10.10.2.0/24" \
    --destination-ranges="10.0.1.48/28"

Konfiguration der Ersteller-zu-Ersteller-Sicherheit

Sie können VPC-Firewallregeln zur Sicherung in Szenarien verwenden, bei denen eine Erstelleranwendung auf eine andere Erstelleranwendung zugreifen muss.

Stellen Sie sich ein Szenario vor, in dem ein Nutzer zwei verschiedene verwaltete Dienste von Drittanbietern verwendet, die in verschiedenen VPC-Netzwerken gehostet werden. Ein Dienst ist eine Datenbank, der andere stellt Analysen bereit. Der Analysedienst muss eine Verbindung zum Datenbankdienst herstellen, um dessen Daten zu analysieren. Ein entsprechender Ansatz besteht darin, dass die Dienste eine direkte Verbindung aufbauen. Sind die beiden Drittanbieterdienste jedoch direkt verbunden, verliert der Nutzer Kontrolle und Sichtbarkeit, was seine Daten angeht.

Ein sichererer Ansatz ist die Verwendung von Private Service Connect-Schnittstellen, Private Service Connect-Endpunkten und VPC-Firewallregeln, wie in Abbildung 3 dargestellt. “

Bei diesem Ansatz stellt das Nutzernetzwerk über einen Endpunkt in einem Subnetz eine Verbindung zur Datenbankanwendung und über einen Netzwerkanhang in einem anderen Subnetz eine Verbindung zur Analyseanwendung her. Traffic von der Analyseanwendung kann die Datenbankanwendung erreichen. Dazu wird er über die Private Service Connect-Schnittstelle und den Netzwerkanhang geleitet, durchläuft das Nutzernetzwerk und tritt über den Endpunkt in endpoint-subnet aus.

Im VPC-Netzwerk des Nutzers lehnt eine VPC-Firewallregel den gesamten ausgehenden Traffic von attachment-subnet ab. Eine weitere Firewallregel mit höherer Priorität lässt ausgehenden Traffic von attachment-subnet und consumer-private-subnet zum Endpunkt zu. Daher kann der Traffic von der Analyseanwendung das VPC-Netzwerk der Datenbankanwendung erreichen und muss über den Endpunkt im Nutzer fließen.

Folgende Firewallregeln erstellen die in Abbildung 4 beschriebene Konfiguration.

1. Eine Firewallregel blockiert den gesamten ausgehenden Traffic von attachment-subnet:

   gcloud compute firewall-rules create consumer-deny-all-egress \
       --network=consumer-vpc \
       --action=DENY \
       --rules=all \
       --direction=EGRESS \
       --priority=65534 \
       --source-ranges="10.0.1.48/28" \
       --destination-ranges="0.0.0.0/0"
   

2. Eine Firewallregel lässt ausgehenden TCP-Traffic an Port 80 von attachment-subnet und consumer-private-subnet zum Endpunkt zu:

   gcloud compute firewall-rules create consumer-allow-80-egress \
       --network=intf-consumer-vpc \
       --allow=tcp:80 \
       --direction=EGRESS \
       --source-ranges="10.0.1.48/28,10.10.2.0/24" \
       --destination-ranges="10.0.1.66/32" \
       --priority=1000