ניהול רשתות VPC בהיקפי אבטחה

במסמך הזה מפורטת סקירה כללית על האופן שבו אפשר לנהל רשתות VPC ו-VPC Service Controls.

אפשר ליצור גבולות גזרה נפרדים לכל אחת מרשתות ה-VPC בפרויקט המארח, במקום ליצור גבול גזרה אחד לכל הפרויקט המארח. לדוגמה, אם פרויקט המארח מכיל רשתות VPC נפרדות לסביבות פיתוח, בדיקה וייצור, אפשר ליצור היקפים נפרדים לרשתות הפיתוח, הבדיקה והייצור.

אפשר גם לאפשר גישה למשאבים בתוך גבולות הגזרה מרשת VPC שלא נמצאת בתוך גבולות הגזרה, על ידי ציון כלל כניסה.

בתרשים הבא מוצגת דוגמה לפרויקט מארח של רשתות VPC, ומוסבר איך אפשר להחיל מדיניות היקפית שונה על כל רשת VPC:

מדיניות היקפית לכל רשת VPC

  • פרויקט מארח של רשתות VPC. הפרויקט המארח מכיל את רשת VPC 1 ואת רשת VPC 2, וכל אחת מהן מכילה מכונה וירטואלית – VM A ו-VM B בהתאמה.
  • גבולות גזרה לשירות. היקפי השירות SP1 ו-SP2 מכילים משאבי BigQuery ו-Cloud Storage. כשמוסיפים את רשת VPC 1 לגבולות גזרה SP1, רשת VPC 1 יכולה לגשת למשאבים בגבולות גזרה SP1 אבל לא יכולה לגשת למשאבים בגבולות גזרה SP2. כשמוסיפים את רשת VPC 2 לגבולות גזרה SP2, רשת VPC 2 יכולה לגשת למשאבים בגבולות גזרה SP2 אבל לא למשאבים בגבולות גזרה SP1.

ניהול רשתות VPC בגבולות גזרה לשירות

אפשר לבצע את המשימות הבאות כדי לנהל רשתות VPC בגבולות גזרה:

  • הוספת רשת VPC אחת לגבולות גזרה במקום להוסיף את כל פרויקט המארח לגבולות גזרה.
  • הסרה של רשת VPC מ-perimeter.
  • אפשר לרשת VPC לגשת למשאבים בתוך גבולות גזרה על ידי ציון מדיניות תעבורת נתונים נכנסת (ingress).
  • מעבר מהגדרה של גבולות גזרה אחד להגדרה של כמה גבולות גזרה, ושימוש במצב פרימטר לבדיקות כדי לבדוק את ההעברה.

מגבלות

אלה המגבלות שחלות כשמנהלים רשתות VPC בהיקפי שירות:

  • אפשר להוסיף רשתות VPC מארגון אחר לגבולות גזרה לשירות או לציין אותן כמקור תעבורת נתונים נכנסת רק אם יש לכם את התפקיד roles/compute.networkViewer ברשתות האלה.
  • אם מוחקים רשת VPC שמוגנת על ידי גבולות גזרה ואז יוצרים מחדש רשת VPC עם אותו שם, גבולות גזרה לשירות לא מגן על רשת ה-VPC שנוצרה מחדש. מומלץ לא ליצור מחדש רשת VPC עם אותו שם. כדי לפתור את הבעיה הזו, צריך ליצור רשת VPC עם שם אחר ולהוסיף אותה לגבולות הגזרה.
  • המגבלה על מספר רשתות ה-VPC שאפשר להגדיר בארגון היא 500.
  • אם רשת VPC מוגדרת במצב של תת-רשתות בהתאמה אישית, אבל לא קיימות תת-רשתות, אי אפשר להוסיף את רשת ה-VPC הזו באופן עצמאי ל-VPC Service Controls. כדי להוסיף רשת VPC לגבולות גזרה, רשת ה-VPC צריכה להכיל לפחות רשת משנה אחת.

המאמרים הבאים