1. Giriş
VPC Hizmet Kontrolleri (VPC-SC), Google Cloud'da kurumsal müşterilerin veri hırsızlığı risklerini azaltmasını sağlayan kuruluş düzeyinde bir güvenlik kontrolüdür. VPC Hizmet Kontrolleri, istemcilerin kasıtlı ve kasıtsız kayıpları azaltmak için internetten ve diğer hizmetlerden çok kiracılı hizmetlere bağlanırken yetkili IP'lere, istemci bağlamına ve cihaz parametrelerine erişimi kısıtlamasına olanak tanıyarak çok kiracılı hizmetlere sıfır güven ilkeli erişim seçeneği sunar. VPC Hizmet Kontrolleri'ni kullanarak açık bir şekilde belirttiğiniz hizmetlerin kaynaklarını ve verilerini koruyan çevreler oluşturabilirsiniz.
Bu eğiticinin hedefleri şunlardır:
- VPC Hizmet Kontrolleri ile ilgili temel bilgileri anlama
- VPC hizmet çevresi oluşturma
- VPC Hizmet Kontrolleri ile projeyi koruma
- VPC Hizmet Kontrolleri giriş ihlaliyle ilgili sorunları giderme
2. Kurulum ve şartlar
Bu eğitim için aşağıdaki ön koşulların sağlanması gerekir:
- Bir GCP kuruluşu.
- Kuruluş altında bir klasör.
- Aynı Kuruluşta yer alan 2 GCP projesinin klasöre yerleştirildi.
- Kuruluş düzeyindeki gerekli izinler.
- Her iki projenin faturalandırma hesabı.
Kaynak kurulumu
- Google Cloud Console'da, Kuruluşun altında bir klasör oluşturun ve iki yeni proje oluşturun.(Mevcut projeleri yeniden kullanabilirsiniz).
(Bu eğitim için bir Kuruluşunuz olması gerektiğinden, henüz bir Google Workspace/Cloud Identity hesabınız yoksa bir hesap edinmeniz gerekir).
- Kuruluş düzeyinde bu eğitim için doğru izinlere sahip olduğunuzu doğrulayın.
- Klasörler için IAM rolleri
- Projelerle ilgili izinler ve roller
- VPC Hizmet Kontrolleri'ni yapılandırmak için gereken izinler ve roller
- Compute Engine'i yönetmek için gereken izinler ve roller
- Klasör düzeyinde kapsamlı bir politika oluşturmamız gerektiğinden her iki projenin de klasör altında bulunduğundan emin olun. Projeyi klasöre taşıma hakkında bilgi edinin.
Maliyet
Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i çalıştırmanın maliyeti, yüksek değildir. Bu eğitim dışında faturalandırmanın tekrarlanmasını önlemek amacıyla kaynakları kapatmak için oluşturduğunuz kaynakları silebilir veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları 300 ABD doları değerindeki ücretsiz deneme programına katılabilir.
Maliyet oluşturacak tek kaynak, sanal makine örneğidir. Tahmini maliyeti, fiyat hesaplayıcıda bulabilirsiniz.
3. Çevre oluştur
Bu laboratuvarda aşağıdaki adımları gerçekleştireceğiz:
- Google Console'da Kuruluşunuzu seçin ve VPC Hizmet Kontrollerine Erişin'i tıklayın. Lütfen kuruluş düzeyinde olduğunuzdan emin olun.
- "Politikaları Yönet"i tıklayın için "Codelab" kapsamındaki yeni bir erişim politikası oluşturun emin olmanız gerekir.
- Zorunlu modda yeni çevre oluşturabilirsiniz. "SuperProtection" adını verelim. inceleyebilirsiniz.
- Çevreyi oluşturduğunuzda ProjectZ olarak zorunlu kılınacak projeyi seçin.
- Çevre türünü "Normal" olarak seçin.
- Kısıtlanacak hizmetleri belirtin iletişim kutusunda, "Compute Engine" olarak kısıtlanacak hizmeti seçin.
Çevre kurulumu aşağıdaki gibi görünmelidir:
4. Çevrenin zorunlu kılındığını doğrulama
- ProjectX'e erişin ve Sanal Makine Örnekleri ana sayfasını ziyaret ederek Compute Engine API'ye erişip erişemediğinizi doğrulayın. projectX, oluşturulan VPC SC çevresi tarafından korunmadığından bunu yapabilirsiniz.
- ProjectZ'ye erişin ve Compute Engine'e erişip erişemediğinizi doğrulayın. SuperProtection hizmet çevresi, ProjectZ ve Compute Engine API'yi koruduğu için isteğin VPC Hizmet Kontrolleri tarafından yasaklandığını görebilirsiniz.
5. Retle ilgili sorunları giderme
Öncelikle buradaki sorunun tam olarak ne olduğunu belirlememiz ve bu sorunu nasıl gidereceğimizi belirlememiz gerekir.
- VPC Hizmet Kontrolleri günlükleri, korunan kaynaklara yapılan istekler ve VPC Hizmet Kontrolleri'nin isteği reddetme nedeni hakkında ayrıntılar içerir. Günlük Gezgini'nde aşağıdaki sorguyu kullanarak ProjectZ denetleme günlüklerindeki VPC Hizmet Kontrolleri Benzersiz Kimliği'ni bulalım:
resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
Bu, tüm VPC Hizmet Kontrolleri denetleme günlüklerini gösterir. Son hata günlüğünü arayacağız.
- VPC Hizmet Kontrolleri başlığını tıklayın ve "Reddetme sorunlarını giderme"yi seçin VPC Hizmet Kontrolleri Sorun Gidericisi'ni açar.
Bu API, ihlal nedenini ve diğer faydalı hususların yanı sıra giriş veya çıkış ihlali olup olmadığını bize yardımcı bir kullanıcı arayüzünde gösterecektir.
Bu alıştırma için şunları arayacağız:
"principalEmail": "user@domain" "callerIp": "PUBLIC_IP_ADDRESS" "serviceName": "compute.googleapis.com" "servicePerimeterName": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection "ingressViolations": [ { "targetResource": "projects/[PROJECT_NUMBER]", "servicePerimeter": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection" } ], "violationReason": "NO_MATCHING_ACCESS_LEVEL", "resourceNames": "[PROJECT_ID]"
Bu reddi ProjectZ'de düzeltmek için iki seçeneğimiz vardır.
- Sistem IP'me erişim izni vererek çevre içindeki projeye erişim izni vermek için erişim düzeyi oluşturma.
- Bir API istemcisinin hizmet çevresinin dışından hizmet çevresi içindeki kaynaklara erişmesine izin vermek için giriş kuralı oluşturma.
Bu eğiticide, Erişim Düzeyi oluşturarak sorunları gidereceğiz.
- Klasör (Codelab) kapsamında Bağlam Erişim Yöneticisi'ne gidin ve yeni bir erişim düzeyi oluşturun.
- "Temel Mod"u kullanma ve IP alt ağı ve Coğrafi konum karşılandığında erişime izin vereceğiz.
- Kuruluş kapsamındaki VPC Hizmet Kontrolleri'ne gidin. Bu Codelab için erişim politikanızı seçin ve daha önce oluşturduğumuz çevreyi düzenleyin.
- Klasör kapsamında oluşturulan erişim düzeyini ekleyip kaydedin.
6. Test sonuçları.
Compute Engine'e erişimimiz olduğunu ve sanal makine örneği oluşturabildiğimizi onaylayın. Erişim Düzeyi'ni oluşturduğumuza göre şimdi ProjectZ'de Compute Engine'e erişmeye ve bir sanal makine örneği oluşturmaya çalışalım.
- Compute Engine'e gidip Örnek Oluştur'u tıklayın
- Her şeyi varsayılan ayarda bırakın ve düşük maliyetli bir sanal makine örneği oluşturmayı deneyin.
Yaklaşık bir dakika sonra sanal makine örneğinin oluşturulduğunu görürsünüz ve çevre içinde korunan Compute Engine'e tam erişiminizin olduğunu doğrulayabilirsiniz.
7. Temizleme
Hizmet kullanımda değilken VPC Hizmet Kontrolleri'nin kullanımı için ayrı bir ücret alınmaz ancak en iyi uygulama, bu laboratuvarda kullanılan kurulumu temizlemektir. Ücret ödemek istemiyorsanız sanal makine örneğinizi ve/veya Cloud projelerinizi de silebilirsiniz. Cloud projenizi sildiğinizde, söz konusu projede kullanılan tüm kaynakların faturalandırması durdurulur.
- Sanal makine örneğinizi silmek için sanal makine örneğinizin adının sol tarafındaki onay kutusunu işaretleyin ve Sil'i tıklayın.
- Çevreyi silmek için aşağıdaki adımları tamamlayın:
- Google Cloud konsolunda Güvenlik'i, ardından Kuruluş kapsamında VPC Hizmet Kontrolleri'ni tıklayın.
- VPC Hizmet Kontrolleri sayfasında, silmek istediğiniz çevreye karşılık gelen tablo satırında "Sil Simgesi"ni tıklayın.
- Erişim Düzeyi'ni silmek için aşağıdaki adımları uygulayın:
- Google Cloud konsolunda, Klasör kapsamındaki Bağlam Erişim Yöneticisi sayfasını açın.
- Izgaradaki, silmek istediğiniz erişim düzeyinin satırında "Simgeyi Sil"i ve ardından Sil'i tıklayın.
- Projelerinizi kapatmak için aşağıdaki adımları uygulayın:
- Google Cloud konsolunda IAM ve Yönetici Ayarları sayfasına giderek silebilirsiniz.
- IAM ve Yönetici Ayarları sayfasında Kapat'ı tıklayın.
- Proje kimliğini girin ve Yine de kapat'ı tıklayın.
8. Tebrikler!
Bu codelab'de VPC Hizmet Kontrolleri çevresi oluşturdunuz, bu çevreyi zorunlu kıldınız ve sorunu giderdiniz.
Daha fazla bilgi
- VPC Hizmet Kontrolleri belgelerini inceleyin.
- Bağlam Erişim Yöneticisi dokümanlarına bakın.
- VPC-SC sorun giderici dokümanlarına bakın.
Lisans
Bu çalışma, Creative Commons Attribution 2.0 Genel Amaçlı Lisans ile lisans altına alınmıştır.