Configurare i Controlli di servizio VPC per il servizio di backup e DR

Questa pagina offre una panoramica dei Controlli di servizio VPC e di come puoi integrarli con il servizio Backup and DR per proteggere i tuoi dati e le tue risorse.

Informazioni sui Controlli di servizio VPC

I Controlli di servizio VPC contribuiscono a mitigare il rischio di esfiltrazione di dati dalla console di gestione del servizio di backup e DR. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse e i dati di vari servizi. Se il servizio di backup e RE è protetto da un perimetro, le risorse esterne al perimetro non possono comunicare con la console di gestione. Tuttavia, puoi consentire alle risorse esterne al perimetro di servizio di accedere alla console di gestione e all'API. Per saperne di più, consulta Consenti l'accesso alle risorse protette dall'esterno di un perimetro.

Per una panoramica generale dei Controlli di servizio VPC, dei suoi vantaggi in termini di sicurezza e delle sue funzionalità nei prodotti Google Cloud CLI, consulta la panoramica dei Controlli di servizio VPC.

Prima di iniziare

Prima di iniziare a configurare i Controlli di servizio VPC per il servizio di Backup e DR, esegui le seguenti operazioni:

  1. Nella console Google Cloud , nella pagina Selettore progetto, seleziona Crea un progetto Google Cloud CLI.
  2. Verifica che la fatturazione sia abilitata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata per un progetto.
  3. Segui le istruzioni nella sezione Abilita API e abilita l'API Access Context Manager per il tuo progetto.

Configura i livelli di accesso e le policy di direzione per il vault di backup

Se l'appliance di backup/recupero e il vault di backup si trovano nello stesso perimetro dei Controlli di servizio VPC, non è necessario configurare i livelli di accesso e le policy di direzione. Altrimenti, scegli uno dei seguenti scenari di configurazione in base ai requisiti di configurazione del perimetro di sicurezza.

  • Se l'appliance di backup/ripristino e il vault di backup si trovano in perimetri, ma in perimetri diversi:
    • Configura le eccezioni in entrata nel perimetro in cui esistono le risorse del backup vault. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com nella regola di ingresso. L'origine può essere l'indirizzo IP, la rete o il progetto in cui è presente l'appliance di backup/recupero.
    • Configura le eccezioni di uscita nel perimetro in cui esistono le appliance di backup/ripristino. Aggiungi sia backupdr.googleapis.com sia storage.googleapis.com alla regola di uscita. La destinazione è il progetto in cui esiste la risorsa vault di backup. Puoi combinarlo con l'indirizzo IP dell'appliance di backup/recupero o con qualsiasi altra proprietà.
  • Se nel perimetro sono presenti solo risorse del vault di backup: Configura le eccezioni in entrata nel perimetro in cui esistono le risorse del vault di backup. Aggiungi sia backupdr.googleapis.com sia storage.googleapis.com alla regola di ingresso. L'origine può essere l'indirizzo IP, la rete o il progetto in cui è presente l'appliance di backup/recupero.
  • Se nel perimetro esiste solo l'appliance di backup/ripristino: Configura le eccezioni di uscita nel perimetro in cui esistono le appliance di backup/ripristino. Aggiungi sia backupdr.googleapis.com che storage.googleapis.com alla regola in uscita. La destinazione è il progetto in cui esiste la risorsa vault di backup. Puoi combinarlo con l'indirizzo IP dell'appliance di backup/recupero o con qualsiasi altra proprietà.

Configura i livelli di accesso e le policy di direzione per Compute Engine

Se il progetto amministratore e il progetto del workload si trovano nello stesso perimetro Controlli di servizio VPC, non devi configurare i livelli di accesso e le policy di direzione. Altrimenti, scegli uno dei seguenti scenari di configurazione in base ai requisiti di configurazione del perimetro di sicurezza.

  • Se sia il progetto amministratore sia il progetto workload esistono in perimetri di servizio diversi:
    • Il progetto amministratore deve aggiungere una regola di uscita per il service agent del vault di backup al progetto dei workload sia per backupdr.googleapis.com che per compute.googleapis.com.
    • Il progetto del workload deve aggiungere una regola di ingresso per consentire le chiamate dal service agent del vault di backup e una regola di uscita per il service agent del vault di backup al progetto amministratore sia per backupdr.googleapis.com che per compute.googleapis.com.
  • Se solo il progetto amministratore ha un perimetro di servizio: Il progetto amministratore deve aggiungere una regola di uscita per il service agent del vault di backup al progetto del workload sia per backupdr.googleapis.com che per compute.googleapis.com.
  • Se solo il progetto del workload ha un perimetro di servizio: Il progetto del workload deve aggiungere una regola di ingresso per consentire le chiamate dal service agent del vault di backup e una regola di uscita per il service agent del vault di backup al progetto amministratore sia per backupdr.googleapis.com che per compute.googleapis.com.

Configura i livelli di accesso e le policy di direzione per Cloud SQL e AlloyDB

Sia il progetto amministratore sia il progetto dei workload devono trovarsi all'interno dello stesso perimetro dei Controlli di servizio VPC.

Configura i Controlli di servizio VPC per il servizio di Backup e DR

Per configurare i Controlli di servizio VPC per il servizio di Backup e DR:

  1. Crea un perimetro di servizio
  2. Configura la connettività ai servizi e alle API di Google

Le sezioni seguenti descrivono in dettaglio questi passaggi.

Crea un perimetro di servizio

Segui queste istruzioni per creare un perimetro di servizio:

  1. Nella console Google Cloud , nella pagina di selezione del progetto, seleziona il progetto del servizio di backup e DR che vuoi che il perimetro di servizio VPC protegga.
  2. Crea un perimetro di servizio seguendo le istruzioni descritte in Crea un perimetro di servizio.

  3. Aggiungi le seguenti API al perimetro di servizio nella sezione Servizi limitati:

    • Obbligatorio: API del servizio di backup e DR - backupdr.googleapis.com
    • (Facoltativo) API Compute Engine - compute.googleapis.com
    • (Facoltativo) API Resource Manager - cloudresourcemanager.googleapis.com
    • (Facoltativo) API Workflows - workflows.googleapis.com
    • (Facoltativo) API Cloud Key Management Service - cloudkms.googleapis.com
    • (Facoltativo) API Identity and Access Management - iam.googleapis.com
    • (Facoltativo) API Cloud Logging - logging.googleapis.com
    • (Facoltativo) API Cloud Storage - storage.googleapis.com
    • (Facoltativo) API Cloud SQL Admin - sqladmin.googleapis.com

  4. Se utilizzi un VPC condiviso, aggiungi i progetti host e di servizio nella sezione Aggiungi risorse.

Una volta configurato un perimetro, per impostazione predefinita l'accesso alla console di gestione e all'API del servizio Backup e DR è consentito solo dall'interno del perimetro di sicurezza.

Se un'appliance di backup/recupero effettua richieste API cloud all'esterno del perimetro di servizio, ad esempio per recuperare un'istanza Compute Engine in un progetto o una rete VPC che non si trova nello stesso perimetro, potresti visualizzare una violazione dell'accesso ai Controlli di servizio VPC. Per consentire le richieste API, devi creare regole in entrata e in uscita appropriate nel perimetro di servizio Controlli di servizio VPC per l'account di servizio dell'appliance di backup/recupero.

Configura la connettività ai servizi e alle API di Google

In una configurazione dei Controlli di servizio VPC, per controllare il traffico di rete, configura l'accesso alle API e ai servizi Google tramite il dominio restricted.googleapis.com. Questo dominio blocca l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. Per saperne di più, vedi opzioni di dominio.

Se non configuri le regole DNS per le API e i servizi Google, questi vengono risolti utilizzando l'opzione di dominio per i domini predefiniti.

Il servizio di Backup e DR utilizza i seguenti domini:

  • *.backupdr.cloud.google.com viene utilizzato per accedere alla console di gestione.
  • *.googleapis.com viene utilizzato per accedere ad altri servizi Google.

Configura la connettività ai seguenti endpoint restricted.googleapis.com nella sezione Record DNS.

Dominio Nome DNS Record CNAME Record A
*.googleapis.com googleapis.com. Nome DNS: *.googleapis.com.
Tipo di record di risorse: CNAME
Nome canonico: googleapis.com. 		Tipo di record di risorse: A
Indirizzi IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nome DNS: *.backupdr.cloud.google.com.
Tipo di record di risorse: CNAME
Nome canonico: backupdr.cloud.google.com. 		Tipo di record di risorse: A
Indirizzi IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nome DNS: *.backupdr.googleusercontent.com.
Tipo di record di risorse: CNAME
Nome canonico: backupdr.googleusercontent.com. 		Tipo di record di risorse: A
Indirizzi IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crea un record DNS

Per creare un record DNS, segui queste istruzioni:

  1. Nella console Google Cloud , vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. Per Tipo di zona, seleziona Privata.

  3. Nel campo Nome zona, inserisci un nome. Ad esempio, backup-dr-new-zone.

  4. Nel campo Nome DNS, inserisci un nome per la zona utilizzando un nome di dominio di tua proprietà, ad esempio backupdr.cloud.google.com.

  5. (Facoltativo) Aggiungi una descrizione.

  6. Nella sezione Opzioni, seleziona Predefinito (privato).

  7. Fai clic su Crea.

  8. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

  9. Nella pagina Crea set di record, segui questi passaggi per aggiungere un set di record per il record CNAME:

    1. Nel campo Nome DNS, inserisci *.backupdr.cloud.google.com.
    2. Per il Tipo di record risorsa, seleziona CNAME.
    3. Nel campo Nome canonico, inserisci backupdr.cloud.google.com.
    4. Fai clic su Crea.

  10. Nella pagina Dettagli zona, fai clic su Aggiungi standard e segui i passaggi seguenti per aggiungere un set di record con indirizzi IP:

    1. Nel campo Nome DNS, inserisci *.backupdr.cloud.google.com.
    2. Seleziona A come Tipo di record di risorse.
    3. Nel campo Indirizzi IPv4, inserisci 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.
    4. Fai clic su Crea.

Per ulteriori informazioni, consulta Configura la connettività privata ai servizi e alle API di Google.

Risoluzione dei problemi

I Controlli di servizio VPC per il servizio di backup e DR sono supportati dalla versione 11.0.5 e successive. Puoi controllare la versione dalla sezione Guida > Informazioni della console di gestione.

Se riscontri problemi durante la configurazione dei Controlli di servizio VPC per Backup and DR Service, consulta la sezione Risoluzione dei problemi dei Controlli di servizio VPC.

Limitazioni

Se hai rimosso la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, potresti non essere in grado di accedere o creare la console di gestione. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Prima di montare un'immagine di backup di Compute Engine, aggiungi i progetti di servizio e host allo stesso perimetro. In caso contrario, potresti non vedere le reti disponibili.