GCP - VPC & Networking
Δικτύωση Υπολογιστών στο GCP σε Λίγα Λόγια
Τα VPCs περιέχουν κανόνες Firewall για να επιτρέπουν την εισερχόμενη κίνηση στο VPC. Τα VPC περιέχουν επίσης υποδίκτυα όπου οι εικονικές μηχανές θα συνδεθούν. Συγκρίνοντας με το AWS, το Firewall θα ήταν το πλησιέστερο πράγμα στα Security Groups και NACLs του AWS, αλλά σε αυτήν την περίπτωση αυτά ορίζονται στο VPC και όχι σε κάθε παρουσία.
VPC, Υποδίκτυα & Firewalls στο GCP
Οι Υπολογιστικές Ενότητες συνδέονται με υποδίκτυα που ανήκουν σε VPCs (Εικονικά Ιδιωτικά Δίκτυα). Στο GCP δεν υπάρχουν ομάδες ασφαλείας, υπάρχουν Firewalls του VPC με κανόνες που ορίζονται σε αυτό το επίπεδο δικτύου αλλά εφαρμόζονται σε κάθε εικονική μηχανή.
Υποδίκτυα
Ένα VPC μπορεί να έχει πολλαπλά υποδίκτυα. Κάθε υποδίκτυο βρίσκεται σε 1 περιοχή.
Firewalls
Από προεπιλογή, κάθε δίκτυο έχει δύο υπονοούμενους κανόνες firewall: επιτρέπει εξερχόμενη και απαγορεύει εισερχόμενη κίνηση.
Όταν δημιουργείται ένα έργο GCP, δημιουργείται επίσης ένα VPC με το όνομα default
, με τους ακόλουθους κανόνες firewall:
default-allow-internal: επιτρέπει όλη την κίνηση από άλλες εικονικές μηχανές στο δίκτυο
default
default-allow-ssh: επιτρέπει την πόρτα 22 από οπουδήποτε
default-allow-rdp: επιτρέπει την πόρτα 3389 από οπουδήποτε
default-allow-icmp: επιτρέπει το ping από οπουδήποτε
Όπως μπορείτε να δείτε, οι κανόνες firewall τείνουν να είναι πιο επιεικείς για τις εσωτερικές διευθύνσεις IP. Το προεπιλεγμένο VPC επιτρέπει όλη την κίνηση μεταξύ των Υπολογιστικών Ενοτήτων.
Μπορούν να δημιουργηθούν περισσότεροι κανόνες Firewall για το προεπιλεγμένο VPC ή για νέα VPC. Οι κανόνες Firewall μπορούν να εφαρμοστούν σε εικονικές μηχανές μέσω των ακόλουθων μεθόδων:
Όλες οι εικονικές μηχανές εντός ενός VPC
Δυστυχώς, δεν υπάρχει μια απλή εντολή gcloud
για να εμφανίσει όλες τις Εικονικές Μηχανές με ανοιχτές πόρτες στο διαδίκτυο. Πρέπει να συνδέσετε τα σημεία μεταξύ κανόνων firewall, ετικετών δικτύου, λογαριασμών υπηρεσιών και εικονικών μηχανών.
Αυτή η διαδικασία αυτοματοποιήθηκε χρησιμοποιώντας αυτό το σενάριο python το οποίο θα εξάγει τα ακόλουθα:
Αρχείο CSV που δείχνει την εικονική μηχανή, τη δημόσια IP, τις επιτρεπόμενες TCP, τις επιτρεπόμενες UDP
σάρωση nmap για να στοχεύσει όλες τις εικονικές μηχανές σε πόρτες εισόδου που επιτρέπονται από το δημόσιο διαδίκτυο (0.0.0.0/0)
masscan για να στοχεύσει την πλήρη εύρος TCP αυτών των εικονικών μηχανών που επιτρέπουν ΟΛΕΣ τις πόρτες TCP από το δημόσιο διαδίκτυο (0.0.0.0/0)
Ιεραρχικές Πολιτικές Firewall
Οι ιεραρχικές πολιτικές firewall σάς επιτρέπουν να δημιουργήσετε και να επιβάλετε μια συνεπή πολιτική firewall σε ολόκληρο τον οργανισμό σας. Μπορείτε να αναθέσετε ιεραρχικές πολιτικές firewall στον οργανισμό συνολικά ή σε μεμονωμένες φακέλους. Αυτές οι πολιτικές περιέχουν κανόνες που μπορούν ρητά να απορρίψουν ή να επιτρέψουν συνδέσεις.
Δημιουργείτε και εφαρμόζετε πολιτικές firewall ως ξεχωριστά βήματα. Μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές firewall στους κόμβους οργανισμού ή φακέλων της ιεραρχίας πόρων. Ένας κανόνας πολιτικής firewall μπορεί να αποκλείσει συνδέσεις, να επιτρέψει συνδέσεις ή να αναβάλει την αξιολόγηση κανόνων firewall σε χαμηλότερα επίπεδα φακέλων ή κανόνες firewall VPC που έχουν οριστεί σε δίκτυα VPC.
Από προεπιλογή, όλοι οι κανόνες πολιτικής firewall ιεραρχίας ισχύουν για όλες τις Εικονικές Μηχανές σε όλα τα έργα υπό τον οργανισμό ή το φάκελο όπου συσχετίζεται η πολιτική. Ωστόσο, μπορείτε να περιορίσετε ποιες Εικονικές Μηχανές λαμβάνουν έναν συγκεκριμένο κανόνα με την καθορισμένη στόχευση δικτύων ή στόχευση λογαριασμών υπηρεσιών.
Μπορείτε να διαβάσετε εδώ πώς να δημιουργήσετε μια Ιεραρχική Πολιτική Firewall.
Αξιολόγηση Κανόνων Firewall
Οργ: Κανόνες πολιτικής firewall που ανατίθενται στον Οργανισμό
Φάκ: Κανόνες πολιτικής firewall που ανατίθενται στον Φάκελο
VPC: Κανόνες firewall που ανατίθ
Last updated