Esta página foi traduzida pela API Cloud Translation.

Configure a segurança para interfaces do Private Service Connect

Esta página descreve como os administradores da rede de produtores podem gerir a segurança em redes VPC que usam interfaces do Private Service Connect.

Uma vez que existe uma interface do Private Service Connect numa rede do Private Service Connect do consumidor, uma organização produtora não controla as regras de firewall que se aplicam diretamente à interface. Se uma organização produtora quiser garantir que as cargas de trabalho do consumidor não podem iniciar tráfego para VMs na rede do produtor ou que apenas cargas de trabalho do consumidor selecionadas podem iniciar tráfego, tem de definir políticas de segurança no SO convidado da VM da respetiva interface.

Bloqueie a entrada de dados do consumidor para o produtor

Pode usar iptables para configurar uma interface do Private Service Connect de modo a bloquear o tráfego de entrada de uma rede de consumidor, mas continuar a permitir o tráfego de saída da rede de produtor. Esta configuração é ilustrada na figura 1.

O tráfego do consumidor é bloqueado na entrada através de uma interface do Private Service Connect, mas o tráfego de saída do produtor é permitido (clique para aumentar).

Para configurar uma interface do Private Service Connect de modo a bloquear o tráfego de entrada da rede do consumidor, mas permitir o tráfego de saída da rede do produtor, faça o seguinte:

Certifique-se de que as regras de firewall estão configuradas para permitir ligações SSH de entrada à VM da interface do Private Service Connect.
Estabeleça ligação à VM.
Se o comando iptables não estiver disponível, instale-o.
Permitir que o tráfego de resposta do consumidor entre na interface do Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Substitua OS_INTERFACE_NAME pelo nome do SO convidado da sua interface do Private Service Connect.
Bloqueie o tráfego iniciado pelo consumidor de entrada através da interface do Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Bloqueie a criação de interfaces do Private Service Connect

Para criar interfaces do Private Service Connect, os utilizadores têm de ter a autorização compute.instances.pscInterfaceCreatede gestão de identidade e de acesso (IAM) . Esta autorização está incluída nas seguintes funções:

Administrador de computação (roles/compute.admin)
Administrador de instâncias do Compute (v1) (roles/compute.instanceAdmin.v1)

Se quiser que um utilizador tenha as autorizações associadas a estas funções, ao mesmo tempo que impede que esse utilizador crie interfaces do Private Service Connect, pode criar uma função personalizada e concedê-la ao utilizador. Adicione as autorizações necessárias à função. Omita a autorização compute.instances.pscInterfaceCreate.

O que se segue?

Faça a gestão da sobreposição de destinos numa rede com uma ligação de interface do Private Service Connect.