Melindungi Compute Engine menggunakan perimeter Kontrol Layanan VPC

Tutorial ini menunjukkan cara melindungi Compute Engine menggunakan perimeter layanan dan memecahkan masalah pelanggaran ingress untuk mengizinkan akses yang sah ke Compute Engine.

Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di sekitar resource layanan terkelola Google untuk mengontrol komunikasi ke dan di antara layanan tersebut. Anda dapat membuat perimeter zero-trust di sekitar resource sensitif Anda, sehingga membatasi akses ke alamat IP, pengguna, dan perangkat yang sah. Kemampuan ini memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan terkelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan mengurangi risiko pemindahan data yang tidak sah.

Tutorial ini ditujukan bagi Google Cloud administrator organisasi yang ingin mempelajari konsep dasar Kontrol Layanan VPC.

Tujuan

Memahami dasar-dasar Kontrol Layanan VPC.
Membuat perimeter layanan.
Melindungi project menggunakan Kontrol Layanan VPC.
Memecahkan masalah pelanggaran ingress Kontrol Layanan VPC.

Biaya

Di dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Compute Engine VM instance

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Anda perlu memiliki Google Cloud resource organisasi. Jika belum memiliki akun Google Workspace atau Cloud Identity, Anda harus mendapatkannya dan resource organisasi akan otomatis dibuat untuk Anda.
Buat folder, Exercise, pada tingkat organisasi.
Buat dua project, My-Project-1 dan My-Project-2, di folder Exercise dalam organisasi yang sama.
- Verify that billing is enabled for your Google Cloud project.
Pastikan Anda memiliki izin dan peran berikut pada tingkat organisasi:
- Izin dan peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC.
- Izin dan peran yang diperlukan untuk mengelola Compute Engine.

Membuat perimeter layanan

Buat perimeter layanan yang melindungi Compute Engine API di project My-Project-2:

Di konsol Google Cloud , buka halaman VPC Service Controls.

Buka VPC Service Controls

Pastikan Anda berada dalam cakupan organisasi.
Klik Manage policies.
Buat kebijakan akses baru yang dicakup ke folder Exercise.
Buat perimeter baru dengan detail berikut:
- Judul: MyFirstPerimeter
- Jenis perimeter: Regular
- Mode penerapan: Enforced
- Resource yang akan dilindungi: project My-Project-2
- Layanan yang dibatasi: Compute Engine API

Memverifikasi perimeter

Di bagian ini, Anda dapat membuat permintaan akses ke resource dalam project untuk mengonfirmasi apakah perimeter melindungi resource yang dimaksud.

Akses project My-Project-1 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman VM instances.

Buka VM instances

Anda akan dapat mengakses karena My-Project-1 tidak dilindungi oleh perimeter yang Anda buat sebelumnya.
Akses project My-Project-2 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman VM instances.

Anda akan melihat bahwa Kontrol Layanan VPC menolak permintaan Anda untuk mengakses Compute Engine karena perimeter MyFirstPerimeter melindungi My-Project-2 dan Compute Engine API.

Memecahkan masalah pelanggaran

Log audit Kontrol Layanan VPC mencakup detail tentang permintaan ke resource yang dilindungi dan alasan Kontrol Layanan VPC menolak permintaan tersebut. Anda memerlukan informasi ini untuk mengidentifikasi dan memecahkan masalah pelanggaran di project My-Project-2.

Melihat log audit

Temukan ID unik pelanggaran Kontrol Layanan VPC di log audit project My-Project-2:
1. Di konsol Google Cloud , buka halaman Logs Explorer:
  Buka Logs Explorer
  
  Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
2. Pilih project My-Project-2.
3. Untuk menampilkan semua log audit, masukkan kueri berikut ke kolom editor kueri:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Klik Run query.
Kueri ini menampilkan semua log audit Kontrol Layanan VPC. Untuk menemukan detail pelanggaran terkait akses ke Compute Engine API di project My-Project-2, periksa log error terakhir.

Catatan: Untuk memfilter log secara lebih terperinci, Anda dapat menggunakan contoh kueri ini dan menambahkan ID unik Kontrol Layanan VPC yang Anda terima saat memverifikasi perimeter.

Untuk mengetahui informasi selengkapnya, lihat Melihat log.
Di panel Query results, klik VPC Service Controls di samping penolakan yang ingin Anda pecahkan masalahnya, lalu klik Troubleshoot denial.

Halaman VPC Service Controls violation analyzer akan terbuka. Halaman ini menampilkan alasan pelanggaran dan informasi lainnya seperti apakah pelanggaran tersebut merupakan pelanggaran ingress atau egress.

Dalam tutorial ini, cari informasi berikut:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
Alasan pelanggaran adalah "NO_MATCHING_ACCESS_LEVEL". Pelanggaran "NO_MATCHING_ACCESS_LEVEL" terjadi saat alamat IP, jenis perangkat, atau identitas pengguna tidak cocok dengan aturan ingress atau tingkat akses yang terkait dengan perimeter. Jika alamat IP pemanggil tidak ada atau muncul sebagai alamat IP internal dalam log, pelanggaran ini mungkin disebabkan oleh layanan Google Cloud yang tidak didukung oleh Kontrol Layanan VPC.

Untuk memperbaiki penolakan ini di project My-Project-2, Anda memiliki dua opsi:

Buat tingkat akses yang mengizinkan akses ke alamat IP sistem Anda ke project di dalam perimeter.
Buat aturan ingress yang mengizinkan akses ke klien API dari luar perimeter ke resource di dalam perimeter.

Bagian berikut menggambarkan cara memecahkan masalah penolakan ini dengan membuat tingkat akses.

Membuat tingkat akses

Di konsol Google Cloud , buka halaman Access Context Manager di cakupan folder Exercise.

Buka Access Context Manager
Buat tingkat akses dengan detail berikut:
- Untuk Create conditions in, pilih Basic mode.
- Untuk When condition is met, return, pilih True.
- Pilih atribut IP Subnetworks, tentukan alamat IP publik sistem Anda.
- Pilih atribut Geographic locations, tentukan lokasi geografis Anda.
Tingkat akses ini mengizinkan akses hanya jika alamat IP dan lokasi geografis cocok.
Buka halaman VPC Service Controls di cakupan organisasi.

Buka VPC Service Controls
Pilih kebijakan akses yang Anda buat sebelumnya dalam tutorial ini.
Tambahkan tingkat akses yang Anda buat di cakupan folder Exercise ke perimeter MyFirstPerimeter.

Menguji akses

Setelah menambahkan tingkat akses, pastikan Anda dapat mengakses Compute Engine di project My-Project-2 dan membuat instance VM.

Di konsol Google Cloud , buka halaman VM instances.

Buka VM instances
Buat instance VM

Catatan: Pertahankan nilai default di kolom dan buat instance VM berbiaya rendah.

Setelah sekitar satu menit, Compute Engine akan membuat instance VM dan tindakan ini akan memverifikasi bahwa Anda memiliki akses penuh ke Compute Engine yang dilindungi di dalam perimeter.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus masing-masing resource.

Menghapus project

Perhatian: Penghapusan project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika Anda menggunakan project yang ada untuk mengerjakan tugas di dokumen ini, saat Anda menghapusnya, pekerjaan lain dalam project tersebut juga akan dihapus.
Project ID kustom akan hilang. Saat membuat project ini, Anda mungkin juga membuat project ID kustom yang masih ingin digunakan pada masa mendatang. Agar tidak kehilangan URL yang menggunakan project ID tersebut, seperti URL appspot.com hapus resource yang dipilih di dalam project, alih-alih menghapus seluruh project.

Jika berencana mempelajari beberapa arsitektur, tutorial, atau panduan memulai, Anda dapat menggunakan kembali project untuk membantu Anda agar tidak melampaui batas kuota project.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus resource satu per satu

Menghapus instance VM

In the Google Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Menghapus resource Kontrol Layanan VPC

Hapus perimeter layanan.
Hapus tingkat akses yang Anda buat di cakupan folder Exercise.

Langkah berikutnya

Mendiagnosis penolakan akses menggunakan ID unik di penganalisis pelanggaran