GCP Računarsko Mreženje u Kratkim Crtama

VPC-ovi sadrže Firewall pravila za dozvolu dolaznog saobraćaja u VPC. VPC-ovi takođe sadrže podmreže gde će biti povezane virtuelne mašine. U poređenju sa AWS-om, Firewall bi bio najbliža stvar AWS Security Groups i NACLs, ali u ovom slučaju su definisani u VPC-u a ne u svakom primerku.

VPC, Podmreže & Firewall-ovi u GCP-u

Računarski primeri su povezani podmrežama koje su deo VPC-ova (Virtualne privatne mreže). U GCP-u nema sigurnosnih grupa, postoje VPC firewall-ovi sa pravilima definisanim na ovom nivou mreže ali primenjenim na svaku VM instancu.

Podmreže

Jedan VPC može imati više podmreža. Svaka podmreža je u 1 regionu.

Firewall-ovi

Podrazumevano, svaka mreža ima dva podrazumevana firewall pravila: dozvoli odlazni i zabrani dolazni.

Kada se kreira GCP projekat, VPC nazvan default je takođe kreiran, sa sledećim firewall pravilima:

• default-allow-internal: dozvoli sav saobraćaj od drugih instanci na default mreži

• default-allow-ssh: dozvoli 22 sa bilo kog mesta

• default-allow-rdp: dozvoli 3389 sa bilo kog mesta

• default-allow-icmp: dozvoli ping sa bilo kog mesta

Više Firewall pravila može biti kreirano za podrazumevani VPC ili za nove VPC-ove. Firewall pravila mogu biti primenjena na instance putem sledećih metoda:

• Mrežni tagovi

• Servisni nalozi

• Sve instance unutar VPC-a

Nažalost, ne postoji jednostavna gcloud komanda koja će izlistati sve Računske Instance sa otvorenim portovima na internetu. Morate povezati tačkice između firewall pravila, mrežnih tagova, servisnih naloga i instanci.

Ovaj proces je automatizovan korišćenjem ovog python skripta koji će izvesti sledeće:

• CSV fajl koji prikazuje instancu, javnu IP adresu, dozvoljeni TCP, dozvoljeni UDP

• nmap skeniranje svih instanci na portovima dolaznog saobraćaja dozvoljenog sa javnog interneta (0.0.0.0/0)

• masscan za ciljanje punog TCP opsega tih instanci koje dozvoljavaju SVE TCP portove sa javnog interneta (0.0.0.0/0)

Hijerarhijske Firewall Politike

Hijerarhijske firewall politike vam omogućavaju da kreirate i sprovedete doslednu firewall politiku širom vaše organizacije. Možete dodeliti hijerarhijske firewall politike organizaciji u celini ili pojedinačnim folderima. Ove politike sadrže pravila koja mogu eksplicitno zabraniti ili dozvoliti konekcije.

Kreirate i primenjujete firewall politike kao odvojene korake. Možete kreirati i primeniti firewall politike na čvorovima organizacije ili foldera hijerarhije resursa. Pravilo firewall politike može blokirati konekcije, dozvoliti konekcije ili odložiti evaluaciju pravila firewall-a na nižim nivoima foldera ili VPC firewall pravila definisanih u VPC mrežama.

Podrazumevano, sva pravila hijerarhijske firewall politike se primenjuju na sve VM-ove u svim projektima pod organizacijom ili folderom gde je politika povezana. Međutim, možete ograničiti kojim VM-ovima se dodeljuje dato pravilo specificiranjem ciljnih mreža ili ciljnih servisnih naloga.

Možete pročitati ovde kako kreirati Hijerarhijsku Firewall Politiku.

Evaluacija Firewall Pravila

1. Org: Firewall politike dodeljene Organizaciji

2. Folder: Firewall politike dodeljene Folderu

3. VPC: Firewall pravila dodeljena VPC-u

4. Globalno: Druga vrsta firewall pravila koja mogu biti dodeljena VPC-ovima

5. Regionalno: Firewall pravila povezana sa VPC mrežom NIC-a VM-a i regionom VM-a.

Povezivanje VPC Mreža

Omogućava povezivanje dve Virtualne privatne mreže (VPC) tako da resursi u svakoj mreži mogu komunicirati jedni sa drugima. Povezane VPC mreže mogu biti u istom projektu, različitim projektima iste organizacije, ili različitim projektima različitih organizacija.

Potrebne dozvole su:

• compute.networks.addPeering

• compute.networks.updatePeering

• compute.networks.removePeering

• compute.networks.listPeeringRoutes

Više u dokumentaciji.

Reference

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/

• https://cloud.google.com/vpc/docs/firewall-policies-overview#rule-evaluation