VPC Hizmet Kontrolleri Temel Eğitimi I

1. Giriş

VPC Hizmet Kontrolleri (VPC-SC), Google Cloud'da kuruluş düzeyinde bir güvenlik kontrolüdür ve kurumsal müşterilerin veri hırsızlığı risklerini azaltmasına olanak tanır. VPC Hizmet Kontrolleri, istemcilerin internetten ve diğer hizmetlerden çok kiracılı hizmetlere bağlanırken yetkilendirilmiş IP'lere, istemci bağlamına ve cihaz parametrelerine erişimi sınırlandırmasına olanak tanıyarak hem kasıtlı hem de kasıtsız veri kayıplarını azaltmak için çok kiracılı hizmetlere sıfır güven ilkeli erişim sunar. VPC Hizmet Kontrolleri'ni kullanarak, açıkça belirttiğiniz hizmetlerin kaynaklarını ve verilerini koruyan çevreler oluşturabilirsiniz.

Bu eğitimin hedefleri şunlardır:

• VPC Hizmet Kontrolleri'nin temel özelliklerini anlama
• VPC hizmet çevresi oluşturma
• VPC Hizmet Kontrolleri ile projeyi koruma
• VPC Hizmet Kontrolleri giriş ihlaliyle ilgili sorunları giderme

2. Kurulum ve şartlar

Bu eğitim için aşağıdaki ön koşullar gereklidir:

• Bir GCP kuruluşu.
• Kuruluşun altındaki bir klasör.
• Aynı kuruluşta bulunan ve klasörün altına yerleştirilmiş 2 GCP projesi.
• Kuruluş düzeyinde gerekli izinler.
• Her iki proje için de faturalandırma hesabı.

Kaynak kurulumu

1. Google Cloud Console'da, kuruluş altında bir klasör oluşturun ve iki yeni proje oluşturun (mevcut olanları yeniden kullanabilirsiniz).

(Henüz bir Google Workspace/Cloud Identity hesabınız yoksa bu eğitim için bir kuruluşunuzun olması gerektiğinden hesap edinmeniz gerekir.)

2. Kuruluş düzeyinde bu eğitim için doğru izinlere sahip olduğunuzu doğrulayın.

• Klasörler için IAM rolleri
• Projeler için izinler ve roller
• VPC Hizmet Kontrolleri'ni yapılandırmak için gereken izinler ve roller
• Compute Engine'i yönetmek için gereken izinler ve roller

3. Klasör düzeyinde kapsamlı bir politika oluşturmamız gerektiğinden her iki projenin de klasör altında kullanılabilir olduğundan emin olun. Projeleri klasörlere taşıma hakkında bilgi edinin.

Maliyet

Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i tamamlamak neredeyse hiç maliyetli değildir. Bu eğitimin ötesinde faturalandırılmayı önlemek için kaynakları kapatmak üzere oluşturduğunuz kaynakları veya projeyi silebilirsiniz. Yeni Google Cloud kullanıcıları, 300 ABD doları değerindeki ücretsiz deneme programından yararlanabilir.

Maliyet oluşturacak tek kaynak sanal makine örneğidir. Tahmini maliyeti fiyat hesaplayıcıda bulabilirsiniz.

3. Çevre oluşturma

Bu laboratuvarda aşağıdaki adımları uygulayacağız:

1. Google Console'da kuruluşunuzu seçin ve VPC Hizmet Kontrolleri'ne erişin. Lütfen kuruluş düzeyinde olduğunuzdan emin olun.

2. "Codelab" klasörüyle sınırlı yeni bir erişim politikası oluşturmak için "Politikaları Yönet"i tıklayın.

3. Zorunlu modda Yeni Bir Sınır Oluşturun. Bu eğitim için "SuperProtection" adını verelim.

• Çevre oluşturduğunuzda ProjectZ olarak zorunlu kılınacak projeyi seçin.
• Çevre türünü "Normal" olarak seçin.
• Kısıtlanacak hizmetleri belirtin iletişim kutusunda, kısıtlanacak hizmeti "Compute Engine" olarak seçin.

Çevre kurulumu şu şekilde görünmelidir:

4. Çevrenin uygulandığını doğrulayın

1. ProjectX'e erişin ve Sanal Makine Örnekleri ana sayfasını ziyaret ederek Compute Engine API'ye erişebildiğinizi doğrulayın. projectX, oluşturulan VPC SC çevresi tarafından korunmadığı için bunu yapabilirsiniz.
2. ProjectZ'ye erişin ve Compute Engine'e erişebildiğinizi doğrulayın. Hizmet çevresi SuperProtection, ProjectZ ve Compute Engine API'yi koruduğu için isteğin VPC Hizmet Kontrolleri tarafından yasaklandığını görebilirsiniz.

5. Retle ilgili sorun giderme

Sorunu nasıl gidereceğimizi belirlemek için öncelikle sorunun tam olarak ne olduğunu tespit etmemiz gerekir.

1. VPC Hizmet Kontrolleri günlükleri, korumalı kaynaklara yapılan istekler ve VPC Hizmet Kontrolleri'nin isteği reddetme nedeni hakkında ayrıntılar içerir. Günlük Gezgini'nde aşağıdaki sorguyu kullanarak ProjectZ denetleme günlüklerindeki VPC Hizmet Kontrolleri benzersiz kimliğini bulalım:

resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Bu işlem, tüm VPC Hizmet Kontrolleri denetleme günlüklerini gösterir. Son hata günlüğünü arayacağız.

2. VPC Hizmet Kontrolleri başlığını tıklayın ve "Erişim reddiyle ilgili sorunları giderme"yi seçin. Bu işlem, VPC Hizmet Kontrolleri Sorun Gidericisi'ni açar.

Bu API, ihlal nedenini ve bunun bir giriş veya çıkış ihlali olup olmadığını kullanıcı dostu bir kullanıcı arayüzünde gösterir.

Bu alıştırmada aşağıdakileri arayacağız:

"principalEmail": "user@domain"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection
"ingressViolations": [
        {
"targetResource": "projects/[PROJECT_NUMBER]",
"servicePerimeter": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "[PROJECT_ID]"

ProjectZ'de bu reddi düzeltmek için iki seçeneğimiz var.

• Sistem IP'me erişim izni vererek çevre içindeki projeye erişime izin vermek için erişim düzeyi oluşturma.
• Bir API istemcisinin hizmet çevresi dışından hizmet çevresi içindeki kaynaklara erişmesine izin vermek için giriş kuralı oluşturma.

Bu eğitimde, Erişim Düzeyi oluşturarak sorun giderme işlemi yapacağız.

1. Klasör (Codelab) kapsamındaki Bağlam Erişim Yöneticisi'ne gidin ve yeni bir erişim düzeyi oluşturun.
2. "Temel Mod"u kullanın. IP alt ağı ve coğrafi konum eşleştiğinde erişime izin veririz.

3. Kuruluş kapsamındaki VPC Hizmet Kontrolleri'ne gidin. Bu Codelab için erişim politikanızı seçin ve daha önce oluşturduğumuz sınırı düzenleyin.
4. Klasör kapsamında oluşturulan erişim düzeyini ekleyin ve kaydedin.

6. Test sonuçları.

Compute Engine'e erişimimiz olduğunu ve sanal makine örneği oluşturabildiğimizi onaylayın. Erişim düzeyini oluşturduğumuza göre şimdi ProjectZ'deki Compute Engine'e erişmeyi ve bir sanal makine örneği oluşturmayı deneyelim.

1. Compute Engine'e gidip Örnek Oluştur'u tıklayın.

2. Her şeyi varsayılan olarak bırakın ve düşük maliyetli bir sanal makine örneği oluşturmayı deneyin.

Yaklaşık bir dakika sonra sanal makine örneğinin oluşturulduğunu görürsünüz ve çevre içinde korunan Compute Engine'e tam erişiminiz olduğunu doğrulayabilirsiniz.

7. Temizleme

Hizmet kullanılmadığında VPC Hizmet Kontrolleri'nin kullanımı için ayrı bir ücret alınmaz ancak bu laboratuvarda kullanılan kurulumu temizlemek en iyi uygulamadır. Ücretlendirilmemek için sanal makine örneğinizi ve/veya Cloud projelerinizi de silebilirsiniz. Cloud projenizi sildiğinizde, bu projede kullanılan tüm kaynaklar için faturalandırma durdurulur.

1. Sanal makine örneğinizi silmek için sanal makine örneği adınızın sol tarafındaki onay kutusunu seçin ve Sil'i tıklayın.

2. Sınırı silmek için aşağıdaki adımları tamamlayın:

• Google Cloud Console'da Güvenlik'i, ardından kuruluş kapsamındaki VPC Hizmet Kontrolleri'ni tıklayın.
• VPC Hizmet Kontrolleri sayfasında, silmek istediğiniz sınıra karşılık gelen tablo satırında "Sil simgesi"ni tıklayın.

3. Erişim düzeyini silmek için aşağıdaki adımları tamamlayın:

• Google Cloud Console'da, klasör kapsamındaki Bağlam Erişim Yöneticisi sayfasını açın.
• Izgarada, silmek istediğiniz erişim düzeyinin satırında "Sil simgesi"ni ve ardından Sil'i tıklayın.

4. Projelerinizi kapatmak için aşağıdaki adımları tamamlayın:

• Google Cloud Console'da, silmek istediğiniz projenin IAM ve Yönetici Ayarları sayfasına gidin.
• IAM ve Yönetici Ayarları sayfasında Kapat'ı tıklayın.
• Proje kimliğini girin ve Yine de kapat'ı tıklayın.

8. Tebrikler!

Bu codelab'de bir VPC Hizmet Kontrolleri çevresi oluşturdunuz, zorunlu kıldınız ve sorunlarını giderdiniz.

Daha fazla bilgi

• VPC Hizmet Kontrolleri belgelerine bakın.
• Bağlam Erişim Yöneticisi dokümanlarına göz atın.
• VPC-SC sorun giderici dokümanlarına bakın.

Lisans

Bu çalışma, Creative Commons Attribution 2.0 Genel Amaçlı Lisans ile lisans altına alınmıştır.