Δικτύωση Υπολογιστών στο GCP σε Λίγα Λόγια

Τα VPCs περιέχουν κανόνες Firewall για να επιτρέπουν την εισερχόμενη κίνηση στο VPC. Τα VPC περιέχουν επίσης υποδίκτυα όπου οι εικονικές μηχανές θα συνδεθούν. Συγκρίνοντας με το AWS, το Firewall θα ήταν το πλησιέστερο πράγμα στα Security Groups και NACLs του AWS, αλλά σε αυτήν την περίπτωση αυτά ορίζονται στο VPC και όχι σε κάθε παρουσία.

VPC, Υποδίκτυα & Firewalls στο GCP

Οι Υπολογιστικές Ενότητες συνδέονται με υποδίκτυα που ανήκουν σε VPCs (Εικονικά Ιδιωτικά Δίκτυα). Στο GCP δεν υπάρχουν ομάδες ασφαλείας, υπάρχουν Firewalls του VPC με κανόνες που ορίζονται σε αυτό το επίπεδο δικτύου αλλά εφαρμόζονται σε κάθε εικονική μηχανή.

Υποδίκτυα

Ένα VPC μπορεί να έχει πολλαπλά υποδίκτυα. Κάθε υποδίκτυο βρίσκεται σε 1 περιοχή.

Firewalls

Από προεπιλογή, κάθε δίκτυο έχει δύο υπονοούμενους κανόνες firewall: επιτρέπει εξερχόμενη και απαγορεύει εισερχόμενη κίνηση.

Όταν δημιουργείται ένα έργο GCP, δημιουργείται επίσης ένα VPC με το όνομα default, με τους ακόλουθους κανόνες firewall:

• default-allow-internal: επιτρέπει όλη την κίνηση από άλλες εικονικές μηχανές στο δίκτυο default

• default-allow-ssh: επιτρέπει την πόρτα 22 από οπουδήποτε

• default-allow-rdp: επιτρέπει την πόρτα 3389 από οπουδήποτε

• default-allow-icmp: επιτρέπει το ping από οπουδήποτε

Μπορούν να δημιουργηθούν περισσότεροι κανόνες Firewall για το προεπιλεγμένο VPC ή για νέα VPC. Οι κανόνες Firewall μπορούν να εφαρμοστούν σε εικονικές μηχανές μέσω των ακόλουθων μεθόδων:

• Ετικέτες δικτύου

• Λογαριασμοί υπηρεσιών

• Όλες οι εικονικές μηχανές εντός ενός VPC

Δυστυχώς, δεν υπάρχει μια απλή εντολή gcloud για να εμφανίσει όλες τις Εικονικές Μηχανές με ανοιχτές πόρτες στο διαδίκτυο. Πρέπει να συνδέσετε τα σημεία μεταξύ κανόνων firewall, ετικετών δικτύου, λογαριασμών υπηρεσιών και εικονικών μηχανών.

Αυτή η διαδικασία αυτοματοποιήθηκε χρησιμοποιώντας αυτό το σενάριο python το οποίο θα εξάγει τα ακόλουθα:

• Αρχείο CSV που δείχνει την εικονική μηχανή, τη δημόσια IP, τις επιτρεπόμενες TCP, τις επιτρεπόμενες UDP

• σάρωση nmap για να στοχεύσει όλες τις εικονικές μηχανές σε πόρτες εισόδου που επιτρέπονται από το δημόσιο διαδίκτυο (0.0.0.0/0)

• masscan για να στοχεύσει την πλήρη εύρος TCP αυτών των εικονικών μηχανών που επιτρέπουν ΟΛΕΣ τις πόρτες TCP από το δημόσιο διαδίκτυο (0.0.0.0/0)

Ιεραρχικές Πολιτικές Firewall

Οι ιεραρχικές πολιτικές firewall σάς επιτρέπουν να δημιουργήσετε και να επιβάλετε μια συνεπή πολιτική firewall σε ολόκληρο τον οργανισμό σας. Μπορείτε να αναθέσετε ιεραρχικές πολιτικές firewall στον οργανισμό συνολικά ή σε μεμονωμένες φακέλους. Αυτές οι πολιτικές περιέχουν κανόνες που μπορούν ρητά να απορρίψουν ή να επιτρέψουν συνδέσεις.

Δημιουργείτε και εφαρμόζετε πολιτικές firewall ως ξεχωριστά βήματα. Μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές firewall στους κόμβους οργανισμού ή φακέλων της ιεραρχίας πόρων. Ένας κανόνας πολιτικής firewall μπορεί να αποκλείσει συνδέσεις, να επιτρέψει συνδέσεις ή να αναβάλει την αξιολόγηση κανόνων firewall σε χαμηλότερα επίπεδα φακέλων ή κανόνες firewall VPC που έχουν οριστεί σε δίκτυα VPC.

Από προεπιλογή, όλοι οι κανόνες πολιτικής firewall ιεραρχίας ισχύουν για όλες τις Εικονικές Μηχανές σε όλα τα έργα υπό τον οργανισμό ή το φάκελο όπου συσχετίζεται η πολιτική. Ωστόσο, μπορείτε να περιορίσετε ποιες Εικονικές Μηχανές λαμβάνουν έναν συγκεκριμένο κανόνα με την καθορισμένη στόχευση δικτύων ή στόχευση λογαριασμών υπηρεσιών.

Μπορείτε να διαβάσετε εδώ πώς να δημιουργήσετε μια Ιεραρχική Πολιτική Firewall.

Αξιολόγηση Κανόνων Firewall

1. Οργ: Κανόνες πολιτικής firewall που ανατίθενται στον Οργανισμό

2. Φάκ: Κανόνες πολιτικής firewall που ανατίθενται στον Φάκελο

3. VPC: Κανόνες firewall που ανατίθ