Proteger instâncias com o VPC Service Controls

Nesta página, mostramos como proteger as instâncias do Managed Lustre com um perímetro de serviço usando o VPC Service Controls.

O VPC Service Controls protege contra a exfiltração de dados e fornece uma camada extra de segurança para suas instâncias. Para mais informações sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Quando a API Managed Lustre é protegida por um perímetro de serviço, as solicitações da API Managed Lustre que vêm de clientes fora do perímetro precisam ter as regras de nível de acesso apropriadas.

Como proteger instâncias do Google Cloud Managed Lustre usando o VPC Service Controls

  1. Criar um perímetro de serviço.

  2. Adicione a API Managed Lustre ao perímetro de serviço. Para instruções sobre como adicionar um serviço ao seu perímetro de serviço, consulte Como atualizar um perímetro de serviço.

Usar o VPC Service Controls com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)

Ao criar uma instância do Managed Lustre protegida por CMEK em um perímetro do VPC Service Controls, a chave do Cloud KMS precisa estar:

  • No mesmo perímetro do VPC Service Controls; ou
  • Acessível por uma regra de saída.

Quando a instância protegida por CMEK e as chaves do Cloud KMS estão no mesmo perímetro, nenhuma outra configuração é necessária.

Se as chaves do Cloud KMS estiverem fora do perímetro, adicione a seguinte regra ao perímetro do VPC Service Controls perímetro:

{
  "egressFrom": {
    "identityType": "ANY_SERVICE_ACCOUNT",
    "sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
    "sources": [
      {
        "resource": "projects/CONSUMER_PROJECT_NUMBER"
      }
    ]
  },
  "egressTo": {
    "operations": [
      {
        "methodSelectors": [{"method": "*"}],
        "serviceName": "cloudkms.googleapis.com"
      }
    ],
    "resources": [
      "projects/KMS_PROJECT_NUMBER"
    ]
  }
}

Substitua os marcadores de posição da seguinte maneira:

  • CONSUMER_PROJECT_NUMBER é o número do projeto que vai conter a instância do Managed Lustre protegida por CMEK.
  • KMS_PROJECT_NUMBER é o número do projeto que contém as chaves do Cloud Key Management Service.

Saiba como encontrar um número do projeto.

Limitações do VPC Service Controls para instâncias do Managed Lustre

A seguinte limitação se aplica ao uso do VPC Service Controls com o Managed Lustre:

  • Se você usar a VPC compartilhada e o VPC Service Controls, o projeto host que contém a rede e o projeto de serviço que contém a instância do Managed Lustre precisam estar dentro do mesmo perímetro. Separar o projeto de host e o projeto de serviço com um perímetro pode fazer com que as instâncias fiquem indisponíveis e impedir a criação de novas instâncias.