Configurer VPC Service Controls pour le service Backup and DR

Cette page présente VPC Service Controls et explique comment l'intégrer au service Backup and DR pour sécuriser vos données et vos ressources.

À propos de VPC Service Controls

VPC Service Controls permet de limiter le risque d'exfiltration de données à partir de la console de gestion du service Backup and DR. Vous pouvez utiliser VPC Service Controls pour créer des périmètres de service qui protègent les ressources et les données de différents services. Si le service Backup and DR est protégé par un périmètre, les ressources situées en dehors du périmètre ne peuvent pas communiquer avec la console de gestion. Toutefois, vous pouvez autoriser les ressources externes au périmètre de service à accéder à la console de gestion et à l'API. Pour en savoir plus, consultez Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Pour obtenir une présentation générale de VPC Service Controls, de ses avantages en termes de sécurité et de ses fonctionnalités dans les produits de la Google Cloud CLI, consultez la présentation de VPC Service Controls.

Avant de commencer

Avant de configurer VPC Service Controls pour le service Backup and DR, procédez comme suit :

1. Dans la console Google Cloud , sur la page Sélecteur de projet, sélectionnez créer un projet Google Cloud CLI.
2. Assurez-vous que la facturation est activée pour votre projet Google Cloud . Découvrez comment vérifier si la facturation est activée sur un projet.
3. Suivez les instructions de la section Activer des API et activez l'API Access Context Manager pour votre projet.

Configurer les niveaux d'accès et les règles de direction pour le parc de sauvegarde

Si l'appliance de sauvegarde/récupération et le coffre de sauvegarde se trouvent dans le même périmètre VPC Service Controls, vous n'avez pas besoin de configurer les niveaux d'accès ni les règles de direction. Sinon, choisissez l'un des scénarios de configuration suivants en fonction de vos exigences de configuration du périmètre de sécurité.

• Si l'appliance de sauvegarde/récupération et le coffre de sauvegarde se trouvent dans des périmètres différents :
  • Configurez des exceptions d'entrée dans le périmètre où se trouvent les ressources du backup vault. Ajoutez backupdr.googleapis.com et storage.googleapis.com dans la règle d'entrée. La source peut être l'adresse IP, le réseau ou le projet dans lequel se trouve l'appliance de sauvegarde/récupération.
  • Configurez des exceptions de sortie dans le périmètre où se trouvent les dispositifs de sauvegarde/récupération. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle de sortie. La cible est le projet dans lequel la ressource du coffre de sauvegarde existe. Vous pouvez combiner cela avec l'adresse IP de l'appliance de sauvegarde/récupération ou toute autre propriété.
• Si seules les ressources du coffre de sauvegarde se trouvent dans le périmètre : configurez des exceptions d'entrée dans le périmètre où se trouvent les ressources du coffre de sauvegarde. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle d'entrée. La source peut être une adresse IP, un réseau ou un projet dans lequel se trouve l'appliance de sauvegarde/récupération.
• Si seul un appareil de sauvegarde/restauration existe dans le périmètre : Configurez des exceptions de sortie dans le périmètre où se trouvent les appareils de sauvegarde/restauration. Ajoutez backupdr.googleapis.com et storage.googleapis.com à la règle de sortie. La cible est le projet dans lequel se trouve la ressource du coffre de sauvegarde. Vous pouvez combiner cela avec l'adresse IP de l'appliance de sauvegarde/récupération ou toute autre propriété.

Configurer des niveaux d'accès et des règles de direction pour Compute Engine

Si le projet administrateur et le projet de charge de travail se trouvent dans le même périmètre VPC Service Controls, vous n'avez pas besoin de configurer les niveaux d'accès ni les règles de direction. Sinon, choisissez l'un des scénarios de configuration suivants en fonction de vos exigences de configuration du périmètre de sécurité.

• Si le projet administrateur et le projet de charge de travail existent dans des périmètres de service différents :
  • Le projet d'administrateur doit ajouter une règle de sortie pour l'agent de service du coffre de sauvegarde au projet de charge de travail pour backupdr.googleapis.com et compute.googleapis.com.
  • Le projet de charge de travail doit ajouter une règle d'entrée pour autoriser les appels de l'agent de service du coffre de sauvegarde et une règle de sortie pour l'agent de service du coffre de sauvegarde vers le projet d'administrateur pour backupdr.googleapis.com et compute.googleapis.com.
• Si seul le projet administrateur dispose d'un périmètre de service : Le projet administrateur doit ajouter une règle de sortie pour l'agent de service du parc de sauvegarde au projet de charge de travail pour backupdr.googleapis.com et compute.googleapis.com.
• Si seul le projet de charge de travail dispose d'un périmètre de service : Le projet de charge de travail doit ajouter une règle d'entrée pour autoriser les appels de l'agent de service du coffre de sauvegarde et une règle de sortie pour l'agent de service du coffre de sauvegarde vers le projet d'administrateur pour backupdr.googleapis.com et compute.googleapis.com.

Configurer les niveaux d'accès et les règles de direction pour Cloud SQL et AlloyDB

Le projet administrateur et le projet de charge de travail doivent se trouver dans le même périmètre VPC Service Controls.

Configurer VPC Service Controls pour le service Backup and DR

Procédez comme suit pour configurer VPC Service Controls pour le service Backup and DR :

1. Créer un périmètre de service
2. Configurer la connectivité aux API et services Google

Les sections suivantes décrivent ces étapes en détail.

Créer un périmètre de service

Suivez les instructions ci-dessous pour créer un périmètre de service :

1. Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez le projet Backup and DR Service que le périmètre de service VPC doit protéger.
2. Créez un périmètre de service en suivant les instructions de la section Créer un périmètre de service.

3. Ajoutez les API suivantes au périmètre de service dans la section Services restreints :

   • Obligatoire : API Backup and DR Service – backupdr.googleapis.com
   • Facultatif : API Compute Engine – compute.googleapis.com
   • Facultatif : API Resource Manager – cloudresourcemanager.googleapis.com
   • Facultatif : API Workflows – workflows.googleapis.com
   • Facultatif : API Cloud Key Management Service – cloudkms.googleapis.com
   • Facultatif : API Identity and Access Management : iam.googleapis.com
   • Facultatif : API Cloud Logging – logging.googleapis.com
   • Facultatif : API Cloud Storage – storage.googleapis.com
   • Facultatif : API Cloud SQL Admin – sqladmin.googleapis.com

4. Si vous utilisez un VPC partagé, ajoutez les projets hôte et de service dans la section Ajouter des ressources.

Une fois que vous avez configuré un périmètre, l'accès à la console de gestion et à l'API du service Backup and DR n'est autorisé par défaut qu'à partir du périmètre de sécurité.

Si un dispositif de sauvegarde/récupération envoie des requêtes d'API Cloud en dehors du périmètre de service (par exemple, pour récupérer une instance Compute Engine dans un projet ou un réseau VPC qui ne se trouve pas dans le même périmètre), vous pouvez constater une violation de l'accès VPC Service Controls. Pour autoriser les requêtes API, vous devez créer des règles d'entrée et de sortie appropriées dans le périmètre de service VPC Service Controls pour le compte de service de l'appliance de sauvegarde/récupération.

Configurer la connectivité aux API et services Google

Dans une configuration VPC Service Controls, pour contrôler le trafic réseau, configurez l'accès aux API et services Google via le domaine restricted.googleapis.com. Ce domaine bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez Options de domaine.

Si vous ne configurez pas de règles DNS pour les API et services Google, ils sont résolus à l'aide de l'option de domaine pour les domaines par défaut.

Le service Backup and DR utilise les domaines suivants :

• *.backupdr.cloud.google.com est utilisé pour accéder à la console de gestion.
• *.googleapis.com est utilisé pour accéder à d'autres services Google.

Configurez la connectivité aux points de terminaison restricted.googleapis.com suivants dans la section Enregistrement DNS.

Domaine	Nom DNS	Enregistrement CNAME	Enregistrement A
*.googleapis.com	googleapis.com.	Nom DNS : *.googleapis.com. Type d'enregistrement de ressource : CNAME Nom canonique : googleapis.com.	Type d'enregistrement de ressource : A Adresses IPv4 : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
*.backupdr.cloud.google.com	backupdr.cloud.google.com.	Nom DNS : *.backupdr.cloud.google.com. Type d'enregistrement de ressource : CNAME Nom canonique : backupdr.cloud.google.com.	Type d'enregistrement de ressource : A Adresses IPv4 : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
*.backupdr.googleusercontent.com	backupdr.googleusercontent.com	Nom DNS : *.backupdr.googleusercontent.com. Type d'enregistrement de ressource : CNAME Nom canonique : backupdr.googleusercontent.com.	Type d'enregistrement de ressource : A Adresses IPv4 : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

Créer un enregistrement DNS

Suivez les instructions ci-dessous pour créer un enregistrement DNS :

1. Dans la console Google Cloud , accédez à la page Créer une zone DNS.

   Accéder à la page Créer une zone DNS

2. Dans le champ Type de zone, sélectionnez Privé.

3. Dans le champ Nom de la zone, saisissez un nom. Exemple :backup-dr-new-zone

4. Dans le champ Nom DNS, saisissez un nom pour la zone à l'aide d'un nom de domaine que vous possédez, par exemple backupdr.cloud.google.com.

5. Facultatif : ajoutez une description.

6. Dans le champ Options, sélectionnez Par défaut (privé).

7. Cliquez sur Créer.

8. Sur la page Détails de la zone, cliquez sur Ajouter un jeu d'enregistrements standard.

9. Sur la page Créer un ensemble d'enregistrements, procédez comme suit pour ajouter un ensemble d'enregistrements pour l'enregistrement CNAME :

   1. Dans le champ Nom DNS, saisissez *.backupdr.cloud.google.com.
   2. Pour le type d'enregistrement de la ressource, sélectionnez CNAME.
   3. Dans le champ Nom canonique, saisissez backupdr.cloud.google.com.
   4. Cliquez sur Créer.

10. Sur la page Détails de la zone, cliquez sur Ajouter un jeu d'enregistrements standard, puis suivez les étapes ci-dessous pour ajouter un jeu d'enregistrements avec des adresses IP :

    1. Dans le champ Nom DNS, saisissez *.backupdr.cloud.google.com.
    2. Sélectionnez A comme Type d'enregistrement de ressource.
    3. Dans le champ Adresses IPv4, saisissez 199.36.153.4, 199.36.153.5, 199.36.153.6 et 199.36.153.7.
    4. Cliquez sur Créer.

Pour en savoir plus, consultez Configurer une connectivité privée aux API et services Google.

Résoudre les problèmes

VPC Service Controls pour le service de sauvegarde et de reprise après sinistre est compatible avec la version 11.0.5 et les versions ultérieures. Pour vérifier la version, accédez à Aide > À propos dans la console de gestion.

Si vous rencontrez des problèmes lors de la configuration de VPC Service Controls pour le service Backup and DR, consultez la section Dépannage de VPC Service Controls.

Limites

Si vous avez supprimé la route Internet par défaut du projet producteur de services à l'aide de la commande gcloud : gcloud services vpc-peerings enable-vpc-service-controls, vous risquez de ne pas pouvoir accéder à la console de gestion ni la créer. Si vous rencontrez ce problème, contactez l'assistance Google Cloud Customer Care.

Avant de installer une image de sauvegarde Compute Engine, ajoutez les projets de service et hôte au même périmètre. Sinon, il est possible que les réseaux disponibles ne s'affichent pas.