Configurar o VPC Service Controls para o serviço de backup e DR

Nesta página, apresentamos uma visão geral do VPC Service Controls e como integrá-lo ao serviço Backup and DR para proteger seus dados e recursos.

Sobre o VPC Service Controls

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados do console de gerenciamento do serviço Backup and DR. É possível usar o VPC Service Controls para criar perímetros de serviço que protejam os recursos e os dados de vários serviços. Se o serviço de Backup e DR estiver protegido por um perímetro, os recursos de fora dele não poderão se comunicar com o console de gerenciamento. No entanto, é possível permitir que recursos de fora do perímetro de serviço acessem o console de gerenciamento e a API. Para mais informações, consulte permitir acesso a recursos protegidos de fora de um perímetro.

Para uma visão geral do VPC Service Controls, dos benefícios de segurança e das funcionalidades nos produtos da Google Cloud CLI, consulte a visão geral do VPC Service Controls.

Antes de começar

Antes de começar a configurar o VPC Service Controls para o Backup e DR Service, faça o seguinte:

  1. No console do Google Cloud , na página Seletor de projetos, selecione criar uma Google Cloud CLI gcloud.
  2. Verifique se o faturamento foi ativado para o projeto Google Cloud . Saiba como verificar se o faturamento está ativado em um projeto.
  3. Siga as instruções na seção Ativar APIs e ative a API Access Context Manager para seu projeto.

Configurar níveis de acesso e políticas de direção para o cofre de backup

Se o appliance de backup/recuperação e o cofre de backup estiverem no mesmo perímetro do VPC Service Controls, não será necessário configurar níveis de acesso e políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o dispositivo de backup/recuperação e o backup vault estiverem em perímetros diferentes:
    • Configure exceções de entrada no perímetro em que os recursos do backup vault estão. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de entrada. A origem pode ser o endereço IP, a rede ou o projeto em que o dispositivo de backup/recuperação está presente.
    • Configure exceções de saída no perímetro em que os dispositivos de backup/recuperação estão localizados. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto em que o recurso do cofre de backup existe. Você pode combinar isso com o endereço IP do dispositivo de backup/recuperação ou qualquer outra propriedade.
  • Se apenas recursos do backup vault estiverem no perímetro: configure exceções de entrada no perímetro em que os recursos do backup vault estão. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de entrada. A origem pode ser o endereço IP, a rede ou o projeto em que o dispositivo de backup/recuperação está presente.
  • Se houver apenas um appliance de backup/recuperação no perímetro: Configure exceções de saída no perímetro em que os appliances de backup/recuperação estão localizados. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto em que o recurso do backup vault existe. Você pode combinar isso com o endereço IP do dispositivo de backup/recuperação ou qualquer outra propriedade.

Configurar níveis de acesso e políticas de direção para o Compute Engine

Se o projeto de administrador e o projeto de carga de trabalho estiverem no mesmo perímetro do VPC Service Controls, não será necessário configurar níveis de acesso e políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o projeto de administrador e o projeto de carga de trabalho estiverem em perímetros de serviço diferentes:
    • O projeto de administrador precisa adicionar uma regra de saída para o agente de serviço do backup vault ao projeto de carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
    • O projeto da carga de trabalho precisa adicionar uma regra de entrada para permitir chamadas do agente de serviço do backup vault e uma regra de saída para o agente de serviço do backup vault no projeto do administrador para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto administrador tiver um perímetro de serviço: o projeto administrador precisa adicionar uma regra de saída para o agente de serviço do cofre de backup ao projeto de carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto de carga de trabalho tiver um perímetro de serviço: O projeto de carga de trabalho precisa adicionar uma regra de entrada para permitir chamadas do agente de serviço do backup vault e uma regra de saída para o agente de serviço do backup vault no projeto de administrador para backupdr.googleapis.com e compute.googleapis.com.

Configurar níveis de acesso e políticas de direção para o Cloud SQL e o AlloyDB

Os projetos de administrador e de carga de trabalho precisam estar no mesmo perímetro do VPC Service Controls.

Configurar o VPC Service Controls para o serviço de Backup e DR

Siga estas etapas para configurar o VPC Service Controls para o serviço de Backup e DR:

  1. Criar um perímetro de serviço
  2. Configurar a conectividade com as APIs e os serviços do Google

As seções a seguir descrevem essas etapas em detalhes.

Criar um perímetro de serviço

Siga estas instruções para criar um perímetro de serviço:

  1. No console Google Cloud , na página do seletor de projetos, selecione o projeto do serviço de backup e DR que você quer que o perímetro de serviço da VPC proteja.
  2. Crie um perímetro de serviço seguindo as instruções descritas em Criar um perímetro de serviço.

  3. Adicione as seguintes APIs ao perímetro de serviço na seção Serviços restritos:

    • Obrigatório: API do serviço Backup e DR: backupdr.googleapis.com
    • Opcional: API Compute Engine: compute.googleapis.com
    • Opcional: API Resource Manager: cloudresourcemanager.googleapis.com
    • Opcional: API Workflows: workflows.googleapis.com
    • Opcional: API Cloud Key Management Service: cloudkms.googleapis.com
    • Opcional: API Identity and Access Management - iam.googleapis.com
    • Opcional: API Cloud Logging: logging.googleapis.com
    • Opcional: API Cloud Storage: storage.googleapis.com
    • Opcional: API Cloud SQL Admin - sqladmin.googleapis.com

  4. Se você estiver usando uma VPC compartilhada, adicione os projetos host e de serviço na seção Adicionar recursos.

Depois de configurar um perímetro, por padrão, o acesso ao console de gerenciamento e à API do serviço de Backup e DR só é permitido de dentro do perímetro de segurança.

Se um dispositivo de backup/recuperação fizer solicitações de API do Google Cloud para fora do perímetro de serviço, por exemplo, para recuperar uma instância do Compute Engine em um projeto ou rede VPC que não esteja no mesmo perímetro, uma violação de acesso do VPC Service Controls poderá aparecer. Para permitir solicitações de API, crie regras de entrada e saída adequadas no perímetro de serviço do VPC Service Controls para a conta de serviço do appliance de backup/recuperação.

Configurar a conectividade com APIs e serviços do Google

Em uma configuração do VPC Service Controls, para controlar o tráfego de rede, configure o acesso a APIs e serviços do Google pelo domínio restricted.googleapis.com. Esse domínio bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Para mais informações, consulte Opções de domínio.

Se você não configurar regras de DNS para APIs e serviços do Google, eles serão resolvidos usando a opção de domínio para domínios padrão.

O serviço de Backup e DR usa os seguintes domínios:

  • *.backupdr.cloud.google.com é usado para acessar o console de gerenciamento.
  • O *.googleapis.com é usado para acessar outros serviços do Google.

Configure a conectividade com os seguintes endpoints restricted.googleapis.com na seção Registro DNS.

Domínio Nome de DNS Registro CNAME Registro A
*.googleapis.com googleapis.com. Nome DNS: *.googleapis.com.
Tipo de registro de recurso: CNAME
Nome canônico: googleapis.com. 		Tipo de registro de recurso: A
Endereços IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nome DNS: *.backupdr.cloud.google.com.
Tipo de registro de recurso: CNAME
Nome canônico: backupdr.cloud.google.com. 		Tipo de registro de recurso: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nome DNS: *.backupdr.googleusercontent.com.
Tipo de registro de recurso: CNAME
Nome canônico: backupdr.googleusercontent.com. 		Tipo de registro de recurso: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Criar um registro DNS

Use as instruções a seguir para criar um registro DNS:

  1. No console do Google Cloud , acesse a página Criar zona de DNS.

    Acessar a página Criar zona de DNS

  2. Em Tipo de zona, selecione Private.

  3. No campo Nome de zona, insira um nome. Por exemplo, backup-dr-new-zone.

  4. No campo Nome do DNS, insira um nome para a zona usando um nome de domínio de sua propriedade. Por exemplo, backupdr.cloud.google.com.

  5. Opcional: adicione uma descrição.

  6. Em Opções, selecione Padrão (privado).

  7. Clique em Criar.

  8. Na página Detalhes da zona, clique em Adicionar padrão.

  9. Na página Criar conjunto de registros, siga estas etapas para adicionar um conjunto de registros para o registro CNAME:

    1. No campo Nome do DNS, digite *.backupdr.cloud.google.com.
    2. Em Tipo de registro de recurso, selecione CNAME.
    3. No campo Nome canônico, insira backupdr.cloud.google.com.
    4. Clique em Criar.

  10. Na página Detalhes da zona, clique em Adicionar padrão e siga estas etapas para adicionar um conjunto de registros com endereços IP:

    1. No campo Nome do DNS, digite *.backupdr.cloud.google.com.
    2. Selecione A como o Tipo de registro de recurso.
    3. No campo Endereços IPv4, insira 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.
    4. Clique em Criar.

Para mais informações, consulte Configurar a conectividade particular com APIs e serviços do Google.

Resolver problemas

O VPC Service Controls para o serviço de backup e DR é compatível com a versão 11.0.5 e mais recentes. Para verificar a versão, acesse Ajuda > Sobre no console de gerenciamento.

Se você encontrar problemas ao configurar o VPC Service Controls para o serviço Backup and DR, consulte a seção de solução de problemas do VPC Service Controls.

Limitações

Se você removeu a rota padrão da Internet do projeto de produtor de serviços usando o comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, talvez não seja possível acessar ou criar o console de gerenciamento. Entre em contato com o Google Cloud Customer Care se encontrar esse problema.

Antes de montar uma imagem de backup do Compute Engine, adicione os projetos de serviço e host ao mesmo perímetro. Caso contrário, talvez as redes disponíveis não apareçam.