Podstawowy samouczek I dotyczących Ustawień usługi VPC

1. Wprowadzenie

Ustawienia usługi VPC to opcja zabezpieczeń na poziomie organizacji w Google Cloud, która umożliwia klientom korporacyjnym ograniczenie ryzyka wydobycia danych. Ustawienia usługi VPC zapewniają dostęp do usług wielodostępnych w stylu zero-trust, umożliwiając klientom ograniczanie dostępu do autoryzowanych adresów IP, kontekstu klienta i parametrów urządzenia podczas łączenia się z usługami wielodostępnymi z internetu i innych usług w celu zmniejszenia zarówno celowych, jak i niezamierzonych strat. Za pomocą ustawień usługi VPC możesz tworzyć granice chroniące zasoby i dane usług, które bezpośrednio wskażesz.

Cele tego samouczka to:

• Podstawowe informacje o ustawieniach usługi VPC
• Tworzenie granicy usług VPC
• Ochrona projektu za pomocą ustawień usługi VPC
• Rozwiązywanie problemów z naruszeniem ustawień usługi VPC dotyczących ruchu przychodzącego

2. Konfiguracja i wymagania

W tym samouczku wymagane są te elementy:

• organizacja GCP;
• Folder w organizacji.
• 2 projekty GCP w tej samej organizacji umieszczone w folderze.
• Wymagane uprawnienia na poziomie organizacji.
• Konto rozliczeniowe dla obu projektów.

Konfigurowanie zasobów

1. W konsoli Google Cloud utwórz folder w sekcji Organizacja i 2 nowe projekty (możesz użyć istniejących projektów).

(Jeśli nie masz jeszcze konta Google Workspace lub Cloud Identity, musisz je uzyskać, ponieważ w tym samouczku będziesz potrzebować organizacji).

2. Sprawdź, czy masz odpowiednie uprawnienia do tego samouczka na poziomie organizacji.

• Role uprawnień w folderach
• Uprawnienia i role w projektach
• Uprawnienia i role wymagane do skonfigurowania ustawień usługi VPC
• Uprawnienia i role wymagane do zarządzania Compute Engine

3. Upewnij się, że oba projekty są dostępne w folderze, ponieważ musimy utworzyć zasady o ograniczonym zakresie na poziomie folderu. Dowiedz się więcej o przenoszeniu projektu do folderu.

Koszt

Aby korzystać z zasobów i interfejsów API Cloud, musisz włączyć płatności w konsoli Google Cloud. Wykonanie tego laboratorium nie będzie kosztować dużo, a może nawet nic. Aby wyłączyć zasoby i uniknąć naliczania opłat po zakończeniu tego samouczka, możesz usunąć utworzone zasoby lub projekt. Nowi użytkownicy Google Cloud mogą skorzystać z programu bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.

Jedynym zasobem, który generuje koszty, jest instancja maszyny wirtualnej. Szacowany koszt znajdziesz w kalkulatorze cen.

3. Tworzenie granicy

W tym module wykonamy te czynności:

1. W konsoli Google wybierz organizację i  uzyskaj dostęp do ustawień usługi VPC. Upewnij się, że jesteś na poziomie organizacji.

2. Kliknij „Zarządzaj zasadami”, aby utworzyć nowe zasady dostępu, które będą obejmować folder „Codelab”.

3. Utwórz nowy obszar ograniczony usług w trybie egzekwowania. Na potrzeby tego samouczka nazwijmy ją „SuperProtection”.

• Podczas tworzenia obszaru wybierz projekt, który ma być egzekwowany, jako ProjectZ.
• Wybierz typ granicy „Regular”.
• W oknie Określ usługi, które mają zostać ograniczone wybierz usługę, która ma zostać ograniczona, czyli „Compute Engine”.

Konfiguracja obwodowa powinna wyglądać tak:

4. Sprawdzanie, czy ochrona została zastosowana

1. Uzyskaj dostęp do projektu X i sprawdź, czy możesz uzyskać dostęp do interfejsu Compute Engine API, otwierając stronę główną Instancje maszyn wirtualnych. Powinno być to możliwe, ponieważ projektX nie jest chroniony przez utworzoną granicę VPC SC.
2. Uzyskaj dostęp do projektu Z i sprawdź, czy możesz korzystać z Compute Engine. Widać, że żądanie zostało zabronione przez Ustawienia usługi VPC, ponieważ obszar usługi SuperProtection chroni projekt ProjectZ i interfejs Compute Engine API.

5. Rozwiązywanie problemów związanych z blokadą

Najpierw musimy ustalić, na czym dokładnie polega problem, aby określić, jak go rozwiązać.

1. Logi Ustawień usługi VPC zawierają szczegółowe informacje o żądaniach dotyczących chronionych zasobów i o tym, dlaczego Ustawienia usługi VPC odrzuciły żądanie. Znajdźmy unikalny identyfikator Ustawień usługi VPC w logach kontrolnych projektu ProjectZ, używając tego zapytania w Eksploratorze logów:

resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Spowoduje to wyświetlenie wszystkich logów kontrolnych Ustawień usługi VPC. Będziemy szukać ostatniego dziennika błędów.

2. Kliknij nagłówek Ustawienia usługi VPC i wybierz „Rozwiąż problem z odmową dostępu”. Spowoduje to otwarcie narzędzia do rozwiązywania problemów w Ustawieniach usługi VPC.

Ten interfejs API wyświetli w przyjaznym interfejsie powód naruszenia oraz informację, czy było to naruszenie dotyczące ruchu przychodzącego czy wychodzącego, a także inne przydatne informacje.

W tym ćwiczeniu będziemy szukać tych elementów:

"principalEmail": "user@domain"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection
"ingressViolations": [
        {
"targetResource": "projects/[PROJECT_NUMBER]",
"servicePerimeter": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "[PROJECT_ID]"

Aby rozwiązać ten problem w ProjectZ, mamy 2 opcje.

• Utworzenie poziomu dostępu, który umożliwi dostęp do projektu w granicach usługi przez przyznanie dostępu do adresu IP mojego systemu.
• Utworzenie reguły ruchu przychodzącego, która zezwala klientowi interfejsu API spoza granic usługi na dostęp do zasobów w granicach usługi.

W tym samouczku rozwiążemy problem, tworząc poziom dostępu.

1. Otwórz Menedżera kontekstu dostępu w zakresie Folder (Codelab) i utwórz nowy poziom dostępu.
2. Użyj „Trybu podstawowego”, a my zezwolimy na dostęp, gdy podsieć IP i położenie geograficzne będą zgodne.

3. Otwórz Ustawienia usługi VPC w zakresie organizacji. Wybierz zasady dostępu dla tego Codelabu i edytuj utworzony wcześniej obszar.
4. Dodaj utworzony poziom dostępu w zakresie folderu i zapisz.

6. Wyniki testu.

Sprawdź, czy mamy dostęp do Compute Engine i możemy utworzyć instancję maszyny wirtualnej. Po utworzeniu poziomu dostępu spróbujmy uzyskać dostęp do Compute Engine w projekcie Z i utworzyć instancję maszyny wirtualnej.

1. Otwórz Compute Engine i kliknij Utwórz instancję.

2. Pozostaw wszystko w ustawieniach domyślnych i spróbuj utworzyć tanią instancję maszyny wirtualnej.

Po około minucie powinna pojawić się utworzona instancja maszyny wirtualnej. Możesz sprawdzić, czy masz pełny dostęp do usługi Compute Engine chronionej wewnątrz perymetru.

7. Czyszczenie

Za korzystanie z Ustawień usługi VPC, gdy usługa nie jest używana, nie są naliczane żadne opłaty, ale zalecamy zwalnianie miejsca użytego w tym laboratorium. Aby uniknąć obciążenia konta opłatami, możesz też usunąć instancję maszyny wirtualnej lub projekty Cloud. Usunięcie projektu w chmurze spowoduje zaprzestanie naliczania opłat za wszelkie zasoby wykorzystywane w ramach tego projektu.

1. Aby usunąć instancję maszyny wirtualnej, zaznacz pole wyboru po lewej stronie nazwy instancji, a następnie kliknij Usuń.

2. Aby usunąć granicę, wykonaj te czynności:

• W konsoli Google Cloud kliknij Zabezpieczenia, a następnie Ustawienia usługi VPC w zakresie organizacji.
• Na stronie Ustawienia usługi VPC w wierszu tabeli odpowiadającym granicy, którą chcesz usunąć, kliknij „Ikonę usuwania”.

3. Aby usunąć poziom dostępu, wykonaj te czynności:

• W konsoli Google Cloud otwórz stronę Menedżer kontekstu dostępu w zakresie folderu.
• W siatce w wierszu poziomu dostępu, który chcesz usunąć, kliknij „Ikonę usuwania”, a następnie kliknij Usuń.

4. Aby zamknąć projekty, wykonaj te czynności:

• W konsoli Google Cloud otwórz stronę Ustawienia w obszarze Administracja projektu, który chcesz usunąć.
• Na stronie Ustawienia w obszarze Administracja kliknij Wyłącz.
• Wpisz identyfikator projektu i kliknij Wyłącz mimo to.

8. Gratulacje!

W tym laboratorium utworzyliśmy granicę Ustawień usługi VPC, wymusiliśmy jej stosowanie i rozwiązaliśmy problemy z nią związane.

Więcej informacji

• Zapoznaj się z dokumentacją Ustawień usługi VPC.
• Zapoznaj się z dokumentacją Menedżera kontekstu dostępu.
• Zapoznaj się z dokumentacją narzędzia do rozwiązywania problemów z VPC-SC.

Licencja

To zadanie jest licencjonowane na podstawie ogólnej licencji Creative Commons Attribution 2.0.