שיפור האבטחה של מופע על ידי השבתה של כתובת IP ציבורית

בדף הזה מוסבר איך לצפות בהמלצות לגבי השבתת גישה באמצעות כתובת IP ציבורית למופעים שמפירים את מדיניות הארגון constraints/sql.restrictPublicIp שנאכפת על ידי האדמין, ואיך ליישם את ההמלצות האלה. המדיניות הזו מגבילה את ההגדרה של כתובת IP ציבורית במופעים. הפרת המדיניות מתרחשת כשיש כבר גישה לכתובת IP ציבורית למופע בזמן האכיפה של האילוץ. שירות המלצות זה נקרא השבתה של כתובת IP ציבורית.

מערכת ההמלצות הזו מזהה מדי יום את המקרים שבהם יש הפרה של מדיניות הארגון constraints/sql.restrictPublicIp ומספקת תובנות והמלצות לשיפור האבטחה של המקרים האלה. אפשר לראות תובנות והמלצות מפורטות לגבי המכונות האלה באמצעות מסוף Google Cloud ,‏ ה-CLI של gcloud או Recommender API.

מידע נוסף על מדיניות הארגון זמין במאמר מדיניות הארגון ב-Cloud SQL.

לפני שמתחילים

מוודאים שהפעלתם את Recommender API.

תפקידים והרשאות נדרשים

כדי לקבל את ההרשאות לצפייה בתובנות ובהמלצות ולעבודה איתן, צריך לוודא שיש לכם את התפקידים הנדרשים בניהול זהויות והרשאות גישה (IAM).

Tasks תפקידים
לצפייה בהמלצות recommender.cloudsqlViewer או cloudsql.admin.
יישום ההמלצות cloudsql.editor או cloudsql.admin.
מידע נוסף על תפקידי IAM זמין במאמרים תפקידים בסיסיים ומוגדרים מראש ב-IAM וניהול הגישה לפרויקטים, לתיקיות ולארגונים.

רשימת ההמלצות

כדי לראות את ההמלצות, פועלים לפי השלבים הבאים:

המסוף

כדי לראות המלצות לגבי אבטחת המופע, פועלים לפי השלבים הבאים:

  1. נכנסים לדף Cloud SQL Instances.

    כניסה לדף Cloud SQL Instances

  2. בודקים את העמודה בעיות בטבלת המופעים.

אפשר גם לפעול לפי השלבים הבאים:

  1. עוברים אל Active Assist.

    כניסה אל Active Assist

    מידע נוסף זמין במאמר המלצות.

  2. בכרטיס All recommendations, לוחצים על Security.

gcloud

מריצים את הפקודה gcloud recommender recommendations list באופן הבא:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • LOCATION: אזור שבו נמצאים המופעים, כמו us-central1.

API

מבצעים קריאה ל-method‏ recommendations.list באופן הבא:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • LOCATION: אזור שבו נמצאים המופעים, למשל us-central1.

צפייה בתובנות ובהמלצות מפורטות

כדי לראות תובנות והמלצות מפורטות, פועלים לפי השלבים הבאים:

המסוף

אחרי שמוצגת רשימת ההמלצות, לוחצים על המלצה. מוצג חלונית ההמלצות, שכוללת תובנות והמלצות מפורטות.

gcloud

מריצים את הפקודה gcloud recommender insights list באופן הבא:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • LOCATION : אזור שבו נמצאים המופעים, למשל us-central1.

API

מבצעים קריאה ל-method‏ insights.list באופן הבא:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • LOCATION: אזור שבו נמצאים המופעים, למשל us-central1.

יישום ההמלצה

המסוף

כדי ליישם את ההמלצה:

  1. לוחצים על Manage instance IP assignment.

  2. מגדירים את הלקוחות להתחבר למופע באמצעות כתובת IP פרטית.

  3. משביתים את כתובת ה-IP הציבורית במופע.

gcloud

כדי ליישם את ההמלצה:

  1. מגדירים את הלקוחות להתחבר למופע באמצעות כתובת IP פרטית.

  2. משביתים את כתובת ה-IP הציבורית במופע.

API

כדי ליישם את ההמלצה:

  1. מגדירים את הלקוחות להתחבר למופע באמצעות כתובת IP פרטית.

  2. משביתים את כתובת ה-IP הציבורית במופע.

המאמרים הבאים