Proteger instâncias com o VPC Service Controls

Nesta página, mostramos como proteger as instâncias do Managed Lustre com um perímetro de serviço usando o VPC Service Controls.

O VPC Service Controls protege contra a exfiltração de dados e fornece uma camada extra de segurança para suas instâncias. Para mais informações sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Depois que a API Managed Lustre estiver protegida por um perímetro de serviço, as solicitações da API Managed Lustre provenientes de clientes fora do perímetro precisarão ter as regras de nível de acesso adequadas.

Como proteger instâncias do Google Cloud Managed Lustre usando o VPC Service Controls

  1. Criar um perímetro de serviço.

  2. Adicione a API Managed Lustre ao perímetro de serviço. Para instruções sobre como adicionar um serviço ao seu perímetro de serviço, consulte Como atualizar um perímetro de serviço.

Usar o VPC Service Controls com chaves de criptografia gerenciadas pelo cliente (CMEK)

Ao criar uma instância do Managed Lustre protegida por CMEK em um perímetro do VPC Service Controls, a chave do Cloud KMS precisa ser:

  • No mesmo perímetro do VPC Service Controls; ou
  • Acessível por uma regra de saída.

Quando a instância protegida por CMEK e as chaves do Cloud KMS estão no mesmo perímetro, não é necessário fazer mais configurações.

Se as chaves do Cloud KMS estiverem fora do perímetro, adicione a seguinte regra ao perímetro do VPC Service Controls:

{
  "egressFrom": {
    "identityType": "ANY_SERVICE_ACCOUNT",
    "sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
    "sources": [
      {
        "resource": "projects/CONSUMER_PROJECT_NUMBER"
      }
    ]
  },
  "egressTo": {
    "operations": [
      {
        "methodSelectors": [{"method": "*"}],
        "serviceName": "cloudkms.googleapis.com"
      }
    ],
    "resources": [
      "projects/KMS_PROJECT_NUMBER"
    ]
  }
}

Substitua os marcadores da seguinte maneira:

  • CONSUMER_PROJECT_NUMBER é o número do projeto que vai conter a instância gerenciada do Lustre protegida por CMEK.
  • KMS_PROJECT_NUMBER é o número do projeto que contém as chaves do Cloud Key Management Service.

Saiba como encontrar o número de um projeto.

Limitações do VPC Service Controls para instâncias gerenciadas do Lustre

A seguinte limitação se aplica ao usar o VPC Service Controls com o Managed Lustre:

  • Se você usa a VPC compartilhada e o VPC Service Controls, o projeto host que contém a rede e o projeto de serviço que contém a instância do Managed Lustre precisam estar dentro do mesmo perímetro. Separar o projeto host e o de serviço com um perímetro pode fazer com que as instâncias atuais fiquem indisponíveis e impedir a criação de novas instâncias.