Autoriser l'accès aux ressources protégées depuis une adresse IP interne

Cette page explique comment autoriser le trafic provenant d'adresses IP internes d'un réseau VPC vers des périmètres de service à l'aide de règles d'entrée et de sortie.

Présentation

VPC Service Controls vous permet de spécifier des conditions pour autoriser des plages d'adresses IP spécifiques du réseau VPC à accéder aux projets et réseaux VPC protégés. Cette fonctionnalité vous permet d'effectuer les tâches suivantes :

  • Prendre en charge les conditions de niveau d'accès de base afin d'autoriser les plages d'adresses IP internes des réseaux VPC.

  • Autoriser l'utilisation de ces conditions de niveau d'accès pour les appels d'API d'entrée ou de sortie vers ou depuis la limite du périmètre de service.

Cette fonctionnalité présente les avantages suivants :

  • Vous pouvez spécifier des conditions dans les configurations VPC Service Controls pour autoriser l'accès à partir d'une adresse IP interne dans un réseau VPC.

  • Les workflows qui nécessitent que les appels d'API passent par plusieurs périmètres de service peuvent restreindre l'accès pour n'autoriser que quelques sous-réseaux au lieu de l'ensemble du réseau ou du projet VPC.

  • Vous pouvez configurer différentes ressources de votre environnement sur site pour n'autoriser l'accès qu'à des ressources Google Cloud spécifiques. Vous devez utiliser la plage d'adresses IP du sous-réseau associée à ces ressources sur site et au réseau VPC de la zone de destination au titre du niveau d'accès.

La figure 1 montre un exemple de configuration qui permet d'accéder à un service protégé spécifique à partir d'une adresse IP interne autorisée.

Limites de l'utilisation d'adresses IP internes

Lorsque vous utilisez une adresse IP interne dans VPC Service Controls, les limites suivantes s'appliquent :

  • Vous ne pouvez activer une adresse IP interne qu'avec des niveaux d'accès de base, et non avec des niveaux d'accès personnalisés.

  • Nous vous déconseillons de nier les niveaux d'accès avec des conditions basées sur des adresses IP internes, car cela peut entraîner des comportements inattendus.

  • Les limitations concernant l'ajout de réseaux VPC aux périmètres de service s'appliquent également.

  • Lorsque VPC Service Controls enregistre un journal d'audit de refus de règle, il masque le nom du réseau VPC en le remplaçant par __UNKNOWN__ dans le journal d'audit.

  • Les réseaux VPC pour lesquels le paramètre SUBNET_MODE est défini sur custom, mais qui ne comportent pas de sous-réseaux, ne sont pas acceptés. Pour activer les adresses IP internes, un réseau VPC doit contenir au moins un sous-réseau.

  • Vous ne pouvez spécifier que 500 réseaux VPC pour tous les niveaux d'accès de votre règle d'accès.

  • Lorsque vous supprimez un réseau VPC référencé par un niveau d'accès ou un périmètre de service, puis que vous recréez un autre réseau VPC portant le même nom, VPC Service Controls n'active pas automatiquement les adresses IP internes sur le réseau VPC recréé. Pour surmonter cette limitation, créez un réseau VPC avec un nom différent et ajoutez-le au périmètre.

  • Vous ne pouvez pas utiliser d'adresse IP interne pour autoriser l'accès depuis des services gérés par Google. Par exemple, Cloud SQL.

  • Si vous utilisez un niveau d'accès qui comporte des conditions basées sur des adresses IP internes avec une règle de sortie, nous vous recommandons de ne pas ajouter d'autres conditions (type d'appareil, identité de l'utilisateur, etc.) au niveau d'accès.

  • L'adresse IP interne ne correspond pas aux niveaux d'accès faisant référence aux régions géographiques.

Utiliser une adresse IP interne dans les niveaux d'accès

  1. Spécifiez le nom du réseau VPC et la plage d'adresses IP dans le champ vpcNetworkSources de la condition de niveau d'accès de base.

    • Nom du réseau VPC. Vous devez définir le nom du réseau VPC au format suivant :

      //compute.googleapis.com/projects/PROJECT_ID/global/networks/NETWORK_NAME

      Par exemple, //compute.googleapis.com/projects/my-project/global/networks/my-vpc.

    • Plage d'adresses IP. La plage d'adresses IP spécifiée dans le champ VpcSubNetwork de VpcNetworkSource doit respecter les spécifications du sous-réseau d'adresses IP du bloc CIDR. Vous pouvez utiliser n'importe quelle plage d'adresses IP qui est une plage IPv4 valide pour les sous-réseaux.

  2. Utilisez ce niveau d'accès avec des conditions d'autorisation dans IngressSource ou EgressSource.

À l'aide d'un scénario d'exemple, les sections suivantes expliquent comment effectuer ces étapes pour activer une adresse IP interne.

Exemple d'utilisation d'une adresse IP interne pour configurer l'accès au sous-réseau

Dans l'exemple suivant, vous avez deux projets :

  1. Projet hôte du réseau : Project1 héberge un réseau VPC : default. Les deux VM de Project1, VM1 et VM2, utilisent ce réseau comme interface réseau pour envoyer du trafic.

  2. Projet Cloud Storage : Project2 contient un bucket Cloud Storage.

Vous pouvez utiliser VPC Service Controls pour autoriser uniquement VM1 à accéder au bucket Cloud Storage dans Project2 à l'aide d'une adresse IP interne.Project1 Pour ce faire, procédez comme suit :

  1. Vous créez un périmètre de service sp1 autour de Project1 et un autre périmètre de service sp2 autour de Project2.

  2. Vous pouvez ensuite ajouter des règles d'entrée et de sortie aux périmètres de service pour autoriser l'accès au bucket Cloud Storage uniquement au sous-réseau de VM1.

Le schéma suivant illustre la configuration décrite dans cet exemple.

Configurer une règle d'accès au niveau de l'organisation

  1. Assurez-vous de disposer d'une règle d'accès au niveau de l'organisation. Si vous ne disposez pas de règle d'accès à ce niveau, exécutez la commande gcloud CLI suivante :

    gcloud access-context-manager policies create \
    --organization=ORGANIZATION_ID --title=POLICY_TITLE

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID numérique de votre organisation.

    • POLICY_TITLE : titre de votre règle d'accès, présenté dans un format lisible par l'humain.

    Pour en savoir plus, consultez Créer une règle d'accès au niveau de l'organisation.

  2. Récupérez le nom de votre règle d'accès.

  3. Pour définir cette règle comme règle d'accès par défaut, exécutez la commande gcloud CLI suivante :

    gcloud config set access_context_manager/policy POLICY_NAME

    Remplacez POLICY_NAME par le nom numérique de votre règle d'accès.

    Pour en savoir plus, consultez Définir la règle d'accès par défaut de l'outil de ligne de commande gcloud.

Créer des périmètres pour protéger le projet hôte du réseau et le projet Cloud Storage

  1. Pour créer un périmètre sp1 autour de Project1, exécutez la commande gcloud CLI suivante :

    gcloud access-context-manager perimeters create sp1 --title="sp1" --resources=PROJECT_NUMBER \
    --restricted-services=storage.googleapis.com --policy=POLICY_NAME

    Remplacez les éléments suivants :

    • PROJECT_NUMBER : numéro du projet hôte du réseau. Par exemple, projects/111.

    • POLICY_NAME : nom au format numérique de votre règle d'accès. Par exemple, 1234567890.

  2. Pour créer un périmètre sp2 autour de Project2 qui limite le service Cloud Storage, exécutez la commande gcloud CLI suivante :

    gcloud access-context-manager perimeters create sp2 --title="sp2" --resources=PROJECT_NUMBER \
    --restricted-services=storage.googleapis.com --policy=POLICY_NAME

    Remplacez les éléments suivants :

    • PROJECT_NUMBER : numéro de projet Cloud Storage. Par exemple, projects/222.

    • POLICY_NAME : nom au format numérique de votre règle d'accès. Par exemple, 1234567890.

Pour en savoir plus sur la création d'un périmètre de service, consultez Créer un périmètre de service.

Une fois ces deux périmètres créés, le bucket Cloud Storage n'est plus accessible depuis les deux VM.

Créer un niveau d'accès avec une condition d'accès basée sur une adresse IP interne

Créez un niveau d'accès qui n'autorise que le trafic provenant du sous-réseau VM1.

  1. Créez un fichier YAML qui définit vos conditions d'accès. L'exemple suivant n'affiche que les attributs dont vous avez besoin pour activer une adresse IP interne :

    echo """
- vpcNetworkSources:
  - vpcSubnetwork:
      network: VPC_NETWORK_NAME
      vpcIpSubnetworks:
      - IP_RANGE

""" > level.yaml

    Remplacez les éléments suivants :

    • VPC_NETWORK_NAME : nom du réseau VPC dans lequel réside VM1. Par exemple, //compute.googleapis.com/projects/Project1/global/networks/default.

    • IP_RANGE : plage d'adresses IP du sous-réseau. Par exemple, 10.10.0.0/24.

    Utilisez le nom du réseau VPC et les formats de plage d'adresses IP expliqués précédemment.

    Pour en savoir plus sur le fichier YAML, consultez fichier YAML basic-level-spec.

  2. Pour créer un niveau d'accès à l'aide du fichier YAML, exécutez la commande gcloud CLI suivante :

    gcloud access-context-manager levels create LEVEL_NAME \
    --title="TITLE" --basic-level-spec=FILE_NAME

    Remplacez les éléments suivants :

    • LEVEL_NAME : nom unique du niveau d'accès. Par exemple, allowvm1.

    • TITLE : titre court du niveau d'accès, présenté dans un format lisible par l'humain. Par exemple, allowvm1.

    • FILE_NAME : fichier YAML qui définit vos conditions d'accès pour le niveau d'accès. Par exemple, level.yaml.

    Pour en savoir plus, consultez Créer un niveau d'accès de base.

Configurer une règle d'entrée pour autoriser le trafic d'API entrant vers le bucket Cloud Storage

Pour n'autoriser l'accès qu'à partir de VM1, configurez une règle d'entrée dans le périmètre sp2 pour autoriser le trafic de l'API Cloud Storage à entrer dans le périmètre.

  1. Créez un fichier YAML qui définit votre règle d'entrée.

    echo """
- ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME
  ingressTo:
    operations:
    - methodSelectors:
      - method: '*'
      serviceName: storage.googleapis.com
    resources:
    - '*'

""" > ingress.yaml

    Remplacez les éléments suivants :

    • POLICY_NAME : nom au format numérique de votre règle d'accès. Exemple : 1234567890.

    • ACCESS_LEVEL_NAME : nom de votre niveau d'accès. Par exemple, allowvm1.

    Pour en savoir plus sur le fichier YAML, consultez la documentation de référence sur les règles d'entrée.

  2. Pour mettre à jour la règle d'entrée d'un périmètre de service, exécutez la commande gcloud CLI suivante :

    gcloud access-context-manager perimeters update PERIMETER --set-ingress-policies=FILE_NAME

    Remplacez les éléments suivants :

    • PERIMETER : nom de votre périmètre de service qui protège le projet Cloud Storage. Par exemple, sp2.

    • FILE_NAME : fichier YAML qui définit votre règle d'entrée. Par exemple, ingress.yaml.

    Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Configurer une règle de sortie pour autoriser le trafic d'API sortant vers le bucket Cloud Storage

Configurez également une règle de sortie dans le périmètre sp1 pour autoriser le trafic de l'API Cloud Storage à quitter le périmètre.

  1. Créez un fichier YAML qui définit votre règle de sortie. Assurez-vous de définir le champ sourceRestriction sur SOURCE_RESTRICTION_ENABLED dans le fichier YAML.

    echo """
- egressFrom:
    identityType: ANY_IDENTITY
    sourceRestriction: SOURCE_RESTRICTION_ENABLED
    sources:
    - accessLevel: accessPolicies/POLICY_NAME/accessLevels/ACCESS_LEVEL_NAME
  egressTo:
    operations:
    - methodSelectors:
      - method: '*'
      serviceName: storage.googleapis.com
    resources:
    - '*'

""" > egress.yaml

    Remplacez les éléments suivants :

    • POLICY_NAME : nom au format numérique de votre règle d'accès. Exemple : 1234567890.

    • ACCESS_LEVEL_NAME : nom de votre niveau d'accès. Par exemple, allowvm1.

    Pour en savoir plus sur le fichier YAML, consultez la documentation de référence sur les règles de sortie.

  2. Pour mettre à jour la règle de sortie d'un périmètre de service, exécutez la commande suivante :

    gcloud access-context-manager perimeters update PERIMETER --set-egress-policies=FILE_NAME

    Remplacez les éléments suivants :

    • PERIMETER : nom de votre périmètre de service qui protège le projet hôte du réseau. Par exemple, sp1.

    • FILE_NAME : fichier YAML qui définit votre règle de sortie. Par exemple, egress.yaml.

    Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie pour un périmètre de service.

Une fois que vous avez configuré les règles d'entrée et de sortie, le bucket Cloud Storage est accessible à partir de VM1, mais pas à partir de VM2.

Recommandations

  • Lorsque vous activez une adresse IP interne, nous vous recommandons de désactiver le transfert IP pour vos VM. Le transfert IP permet à une VM du même réseau VPC d'envoyer des requêtes à l'aide d'une autre adresse IP, ce qui présente un risque de spoofing d'adresse IP.

  • Si vous souhaitez activer le transfert IP, nous vous recommandons d'utiliser les configurations suivantes pour réduire le risque de spoofing d'adresse IP :

    • Utilisez la contrainte de règle d'administration Restrict VM IP Forwarding (constraints/compute.vmCanIpForward) pour vous assurer que seules les VM autorisées peuvent activer le transfert IP.

    • Utilisez des sources pour les règles de pare-feu afin de limiter les adresses IP pouvant communiquer avec les VM pour lesquelles le transfert IP est activé. Effectuez les tâches suivantes :

      • Configurez des règles de pare-feu d'entrée pour autoriser le trafic entrant uniquement à partir d'une plage d'adresses IP spécifique vers les VM pour lesquelles le transfert IP est activé.

      • Configurez des règles de pare-feu de sortie pour autoriser le trafic sortant uniquement vers une plage d'adresses IP spécifique à partir des VM pour lesquelles le transfert IP est activé.