VPC Service Controls für den Sicherungs- und Notfallwiederherstellungsdienst konfigurieren

Auf dieser Seite erhalten Sie einen Überblick über VPC Service Controls und erfahren, wie Sie den Dienst in Backup and DR Service einbinden können, um Ihre Daten und Ressourcen zu schützen.

VPC Service Controls

Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration aus der Backup and DR Service-Verwaltungskonsole verringern. Mit VPC Service Controls können Sie Dienstperimeter erstellen, die die Ressourcen und Daten verschiedener Dienste schützen. Wenn der Backup- und DR-Dienst durch einen Perimeter geschützt ist, können Ressourcen außerhalb des Perimeters nicht mit der Verwaltungskonsole kommunizieren. Sie können jedoch zulassen, dass Ressourcen außerhalb des Dienstperimeters auf die Verwaltungskonsole und die API zugreifen. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Eine allgemeine Übersicht über VPC Service Controls, die Sicherheitsvorteile und die Funktionen in den Google Cloud CLI-Produkten finden Sie unter VPC Service Controls.

Hinweise

Bevor Sie mit der Konfiguration von VPC Service Controls für den Backup and DR Service beginnen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie in der Google Cloud Console auf der Seite Projektauswahl die Option Google Cloud CLI-Projekt erstellen aus.
  2. Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.
  3. Folgen Sie der Anleitung im Abschnitt APIs aktivieren und aktivieren Sie die Access Context Manager API für Ihr Projekt.

Zugriffsebenen und Richtlinien für die Richtung für den Sicherungstresor konfigurieren

Wenn sich die Sicherungs-/Wiederherstellungs-Appliance und der Sicherungsspeicherort im selben VPC Service Controls-Perimeter befinden, müssen Sie keine Zugriffsebenen und Richtlinien für die Richtung konfigurieren. Wählen Sie andernfalls eines der folgenden Konfigurationsszenarien basierend auf Ihren Anforderungen an die Konfiguration des Sicherheitsperimeters aus.

  • Wenn sich die Sicherungs-/Wiederherstellungs-Appliance und der Backup Vault in Perimetern befinden, aber in unterschiedlichen Perimetern:
    • Konfigurieren Sie Ingress-Ausnahmen im Perimeter, in dem sich Backup Vault-Ressourcen befinden. Fügen Sie sowohl backupdr.googleapis.com als auch storage.googleapis.com in die Ingress-Regel ein. Die Quelle kann die IP-Adresse, das Netzwerk oder das Projekt sein, in dem sich die Sicherungs-/Wiederherstellungs-Appliance befindet.
    • Konfigurieren Sie Ausgänge in dem Perimeter, in dem sich Sicherungs-/Wiederherstellungs-Appliances befinden. Fügen Sie sowohl backupdr.googleapis.com als auch storage.googleapis.com der Egress-Regel hinzu. Das Ziel ist das Projekt, in dem sich die Backup Vault-Ressource befindet. Sie können das mit der IP-Adresse der Sicherungs-/Wiederherstellungs-Appliance oder einer anderen Property kombinieren.
  • Wenn sich nur Backup Vault-Ressourcen im Perimeter befinden: Konfigurieren Sie Ingress-Ausnahmen im Perimeter, in dem sich Backup Vault-Ressourcen befinden. Fügen Sie der Ingress-Regel sowohl backupdr.googleapis.com als auch storage.googleapis.com hinzu. Die Quelle kann eine IP-Adresse, ein Netzwerk oder ein Projekt sein, in dem sich die Sicherungs-/Wiederherstellungs-Appliance befindet.
  • Wenn nur eine Sicherungs-/Wiederherstellungs-Appliance im Perimeter vorhanden ist: Konfigurieren Sie Ausgänge in dem Perimeter, in dem sich Sicherungs-/Wiederherstellungs-Appliances befinden. Fügen Sie der Regel für ausgehenden Traffic sowohl backupdr.googleapis.com als auch storage.googleapis.com hinzu. Das Ziel ist das Projekt, in dem sich die Backup Vault-Ressource befindet. Sie können das mit der IP-Adresse der Sicherungs-/Wiederherstellungs-Appliance oder einer anderen Property kombinieren.

Zugriffsebenen und Richtlinien für die Richtung für Compute Engine konfigurieren

Wenn sich das Administratorprojekt und das Arbeitslastprojekt im selben VPC Service Controls-Perimeter befinden, müssen Sie keine Zugriffsebenen und Richtlinien für die Richtung konfigurieren. Wählen Sie andernfalls eines der folgenden Konfigurationsszenarien basierend auf Ihren Anforderungen an die Konfiguration des Sicherheitsperimeters aus.

  • Wenn sich das Administratorprojekt und das Arbeitslastprojekt in verschiedenen Dienstperimetern befinden:
    • Im Administratorprojekt muss eine Egress-Regel für den Backup Vault-Dienst-Agent zum Arbeitslastprojekt für backupdr.googleapis.com und compute.googleapis.com hinzugefügt werden.
    • Im Arbeitslastprojekt muss eine Regel für eingehenden Traffic hinzugefügt werden, um Aufrufe vom Backup Vault-Dienst-Agent zuzulassen, und eine Regel für ausgehenden Traffic für den Backup Vault-Dienst-Agent zum Administratorprojekt für backupdr.googleapis.com und compute.googleapis.com.
  • Wenn nur das Administratorprojekt einen Dienstperimeter hat: Dem Administratorprojekt muss eine Regel für ausgehenden Traffic für den Dienstagenten des Sicherungstresors zum Arbeitslastprojekt für backupdr.googleapis.com und compute.googleapis.com hinzugefügt werden.
  • Wenn nur das Arbeitslastprojekt einen Dienstperimeter hat: Dem Arbeitslastprojekt muss eine Regel für eingehenden Traffic hinzugefügt werden, um Aufrufe vom Backup Vault-Dienstagenten zuzulassen, und eine Regel für ausgehenden Traffic für den Backup Vault-Dienstagenten zum Administratorprojekt für backupdr.googleapis.com und compute.googleapis.com.

Zugriffsebenen und Richtlinien für die Richtung für Cloud SQL und AlloyDB konfigurieren

Sowohl das Administratorprojekt als auch das Arbeitslastprojekt sollten sich im selben VPC Service Controls-Perimeter befinden.

VPC Service Controls für den Backup- und DR-Dienst konfigurieren

So konfigurieren Sie VPC Service Controls für den Backup and DR-Dienst:

  1. Dienstperimeter erstellen
  2. Verbindung zu Google APIs und Google-Diensten konfigurieren

Diese Schritte werden in den folgenden Abschnitten näher erläutert.

Dienstperimeter erstellen

Dienstperimeter erstellen:

  1. Wählen Sie in der Google Cloud Console auf der Projektauswahlseite das Backup and DR-Dienstprojekt aus, das durch den VPC-Dienstperimeter geschützt werden soll.
  2. Erstellen Sie einen Dienstperimeter gemäß der Anleitung unter Dienstperimeter erstellen.

  3. Fügen Sie dem Dienstperimeter im Bereich Eingeschränkte Dienste die folgenden APIs hinzu:

    • Erforderlich: Backup and DR Service API – backupdr.googleapis.com
    • Optional: Compute Engine API – compute.googleapis.com
    • Optional: Resource Manager API – cloudresourcemanager.googleapis.com
    • Optional: Workflows API – workflows.googleapis.com
    • Optional: Cloud Key Management Service API – cloudkms.googleapis.com
    • Optional: Identity and Access Management API – iam.googleapis.com
    • Optional: Cloud Logging API – logging.googleapis.com
    • Optional: Cloud Storage API – storage.googleapis.com
    • Optional: Cloud SQL Admin API – sqladmin.googleapis.com

  4. Wenn Sie eine freigegebene VPC verwenden, fügen Sie das Host- und das Dienstprojekt im Bereich Ressourcen hinzufügen hinzu.

Nachdem Sie einen Sicherheitsbereich eingerichtet haben, ist der Zugriff auf die Verwaltungskonsole und API des Backup- und DR-Dienstes standardmäßig nur innerhalb des Sicherheitsbereichs zulässig.

Wenn eine Sicherungs-/Wiederherstellungs-Appliance Cloud-API-Anfragen außerhalb des Dienstperimeters stellt, z. B. um eine Compute Engine-Instanz in einem Projekt oder VPC-Netzwerk wiederherzustellen, das sich nicht im selben Perimeter befindet, kann es zu einem VPC Service Controls-Zugriffsverstoß kommen. Damit API-Anfragen zugelassen werden, müssen Sie im VPC Service Controls-Dienstperimeter für das Dienstkonto der Appliance für Sicherung und Wiederherstellung entsprechende Regeln für ein- und ausgehenden Traffic erstellen.

Verbindung zu Google APIs und Google-Diensten konfigurieren

Konfigurieren Sie in einer VPC Service Controls-Konfiguration den Zugriff auf Google APIs und Google-Dienste über die restricted.googleapis.com-Domain, um den Netzwerkverkehr zu steuern. Diese Domain blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Weitere Informationen finden Sie unter Domain-Optionen.

Wenn Sie keine DNS-Regeln für Google-APIs und -Dienste konfigurieren, werden sie mit der Domain-Option für Standarddomains aufgelöst.

Der Backup- und DR-Dienst verwendet die folgenden Domains:

  • *.backupdr.cloud.google.com wird für den Zugriff auf die Verwaltungskonsole verwendet.
  • *.googleapis.com wird für den Zugriff auf andere Google-Dienste verwendet.

Konfigurieren Sie die Verbindung zu den folgenden restricted.googleapis.com-Endpunkten im Abschnitt DNS-Eintrag.

Domain DNS-Name CNAME-Eintrag A-Eintrag
*.googleapis.com googleapis.com. DNS-Name: *.googleapis.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: googleapis.com. 		Ressourceneintragstyp: A
IPv4-Adressen: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. DNS-Name: *.backupdr.cloud.google.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: backupdr.cloud.google.com. 		Ressourceneintragstyp: A
IPv4-Adressen:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com DNS-Name: *.backupdr.googleusercontent.com.
Ressourceneintragstyp: CNAME
Kanonischer Name: backupdr.googleusercontent.com. 		Ressourceneintragstyp: A
IPv4-Adressen:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

DNS-Eintrag erstellen

So erstellen Sie einen DNS-Eintrag:

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Zur Seite „DNS-Zone erstellen“

  2. Wählen Sie als Zonentyp die Option Privat aus.

  3. Geben Sie im Feld Zonenname einen Namen ein. Beispiel: backup-dr-new-zone.

  4. Geben Sie im Feld DNS-Name einen Namen für die Zone mit einem eigenen Domainnamen ein, z. B. backupdr.cloud.google.com.

  5. Optional: Fügen Sie eine Beschreibung hinzu.

  6. Wählen Sie unter Optionen die Option Standard (privat) aus.

  7. Klicken Sie auf Erstellen.

  8. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen.

  9. Führen Sie auf der Seite Create record set (Eintragssatz erstellen) die folgenden Schritte aus, um einen Eintragssatz für den CNAME-Eintrag hinzuzufügen:

    1. Geben Sie im Feld DNS-Name *.backupdr.cloud.google.com ein.
    2. Wählen Sie als Ressourceneintragstyp die Option CNAME aus.
    3. Geben Sie im Feld Kanonischer Name backupdr.cloud.google.com ein.
    4. Klicken Sie auf Erstellen.

  10. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen und folgen Sie der Anleitung unten, um einen Datensatz mit IP-Adressen hinzuzufügen:

    1. Geben Sie im Feld DNS-Name *.backupdr.cloud.google.com ein.
    2. Wählen Sie A als Ressourceneintragstyp aus.
    3. Geben Sie im Feld IPv4-Adressen die folgenden Adressen ein: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.
    4. Klicken Sie auf Erstellen.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Fehlerbehebung

VPC Service Controls für den Dienst für Sicherung und Notfallwiederherstellung wird ab Version 11.0.5 unterstützt. Die Version finden Sie in der Verwaltungskonsole unter Hilfe > Über.

Wenn Sie Probleme bei der Konfiguration von VPC Service Controls für Backup and DR Service haben, lesen Sie den Abschnitt zur Fehlerbehebung für VPC Service Controls.

Beschränkungen

Wenn Sie die Standard-Internetroute aus dem Diensterstellerprojekt mit dem Befehl gcloud entfernt haben: gcloud services vpc-peerings enable-vpc-service-controls, können Sie möglicherweise nicht auf die Verwaltungskonsole zugreifen oder sie erstellen. Wenden Sie sich an den Google Cloud Customer Care, wenn dieses Problem auftritt.

Bevor Sie ein Compute Engine-Sicherungsimage einbinden, fügen Sie das Dienst- und das Hostprojekt demselben Perimeter hinzu. Andernfalls werden die verfügbaren Netzwerke möglicherweise nicht angezeigt.