בדף הזה מוסבר איך לצפות בהמלצות לגבי מתי להסיר את טווח כתובות ה-IP של 0.0.0.0/0 מרשתות מורשות, ואיך ליישם את ההמלצות האלה.
מופעים עם 0.0.0.0/0 ברשתות מורשות מקבלים חיבורים מכל כתובות ה-IP באינטרנט. שירות המלצות זה נקרא הסרת גישה ציבורית רחבה.
מדי יום, כלי ההמלצות הזה מזהה באופן יזום מקרים שבהם יש טווחי כתובות IP ציבוריות רחבים, ומספק תובנות והמלצות לשיפור האבטחה של המכונה. אפשר להשתמש במסוף Google Cloud , ב-ה-CLI של gcloud או ב-Recommender API כדי לראות תובנות והמלצות מפורטות לגבי מקרים שבהם מופעלים טווחי כתובות IP ציבוריות במכונות, והמכונות חשופות לפרצות אבטחה.
לפני שמתחילים
מוודאים שהפעלתם את Recommender API.
תפקידים והרשאות נדרשים
כדי לקבל את ההרשאות לצפייה בתובנות ובהמלצות ולעבודה איתן, צריך לוודא שיש לכם את התפקידים הנדרשים בניהול זהויות והרשאות גישה (IAM).
| Tasks | תפקידים |
|---|---|
| לצפייה בהמלצות |
recommender.cloudsqlViewer או
cloudsql.admin.
|
| יישום ההמלצות |
cloudsql.editor
או cloudsql.admin.
|
רשימת ההמלצות
כדי לראות את ההמלצות, פועלים לפי השלבים הבאים:
המסוף
כדי לראות המלצות לגבי אבטחת המופע, פועלים לפי השלבים הבאים:
נכנסים לדף Cloud SQL Instances.
בודקים את העמודה בעיות בטבלת המופעים.
אפשר גם לפעול לפי השלבים הבאים:
עוברים אל Active Assist.
מידע נוסף זמין במאמר המלצות.
בכרטיס All recommendations, לוחצים על Security.
gcloud
מריצים את הפקודה gcloud recommender recommendations list באופן הבא:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: מזהה הפרויקט.
- LOCATION: אזור שבו נמצאים המופעים, כמו us-central1.
API
מבצעים קריאה ל-method recommendations.list באופן הבא:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_BROAD_PUBLIC_IP_RANGE
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: מזהה הפרויקט.
- LOCATION: אזור שבו נמצאים המופעים, למשל
us-central1.
צפייה בתובנות ובהמלצות מפורטות
כדי לראות תובנות והמלצות מפורטות, פועלים לפי השלבים הבאים:
המסוף
אחרי שמוצגת רשימת ההמלצות, לוחצים על המלצה. מוצג חלונית ההמלצות, שכוללת תובנות והמלצות מפורטות.
gcloud
מריצים את הפקודה gcloud recommender insights list באופן הבא:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: מזהה הפרויקט.
- LOCATION : אזור שבו נמצאים המופעים, למשל
us-central1.
API
מבצעים קריאה ל-method insights.list באופן הבא:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=BROAD_AUTHORIZED_NETWORKS
מחליפים את מה שכתוב בשדות הבאים:
- PROJECT_ID: מזהה הפרויקט.
- LOCATION: אזור שבו נמצאים המופעים, למשל
us-central1.
יישום ההמלצה
המסוף
כדי להטמיע את ההמלצה הזו, לוחצים על ניהול רשתות מורשות ומשתמשים באחת מהאפשרויות הבאות:
- מסירים כתובות IP רחבות מרשתות מורשות. מידע נוסף זמין במאמר בנושא מתן הרשאה באמצעות רשתות מורשות.
- משתמשים בשרת proxy ל-Cloud SQL Auth ובמחברים של שפות ל-Cloud SQL.
gcloud
כדי ליישם את ההמלצה הזו, אפשר לבחור באחת מהאפשרויות הבאות:
- מסירים כתובות IP רחבות מרשתות מורשות. מידע נוסף זמין במאמר בנושא מתן הרשאה באמצעות רשתות מורשות.
- משתמשים בשרת proxy ל-Cloud SQL Auth ובמחברים של שפות ל-Cloud SQL.
API
כדי ליישם את ההמלצה הזו, אפשר לבחור באחת מהאפשרויות הבאות:
- מסירים כתובות IP רחבות מרשתות מורשות. מידע נוסף זמין במאמר בנושא מתן הרשאה באמצעות רשתות מורשות.
- משתמשים בשרת proxy ל-Cloud SQL Auth ובמחברים של שפות ל-Cloud SQL.
המאמרים הבאים
- אישור באמצעות רשתות מורשות
- שרת proxy ל-Cloud SQL Auth
- Cloud SQL Language Connectors
- Google Cloud recommenders
- בלוג: איך למקסם את החזר ה-ROI ב-Cloud