GCP - VPC & Networking

GCP Compute Networking в двох словах

VPCs містять Firewall правила для дозволу вхідного трафіку до VPC. VPCs також містять підмережі, де віртуальні машини будуть підключені. Порівнюючи з AWS, Firewall буде найближчим до AWS Security Groups та NACLs, але в цьому випадку вони визначені у VPC, а не в кожному екземплярі.

VPC, Підмережі та Firewalls у GCP

Compute Instances підключені до підмереж, які є частиною VPCs (Virtual Private Clouds). У GCP немає security groups, є VPC firewalls з правилами, визначеними на рівні мережі, але застосованими до кожного VM Instance.

Підмережі

VPC може мати кілька підмереж. Кожна підмережа знаходиться в 1 регіоні.

Firewalls

За замовчуванням, кожна мережа має два імпліцитні правила firewall: дозволити вихідний та заборонити вхідний.

Коли створюється проект GCP, також створюється VPC під назвою default, з наступними правилами firewall:

• default-allow-internal: дозволити весь трафік від інших екземплярів у мережі default

• default-allow-ssh: дозволити 22 з будь-якого місця

• default-allow-rdp: дозволити 3389 з будь-якого місця

• default-allow-icmp: дозволити ping з будь-якого місця

Більше правил Firewall можна створити для VPC за замовчуванням або для нових VPC. Правила Firewall можуть бути застосовані до екземплярів за допомогою наступних методів:

• Network tags

• Service accounts

• Всі екземпляри в межах VPC

На жаль, немає простого gcloud команди, щоб вивести всі Compute Instances з відкритими портами в інтернеті. Вам потрібно з'єднати точки між правилами firewall, network tags, service accounts та екземплярами.

Цей процес був автоматизований за допомогою цього python скрипта, який експортує наступне:

• CSV файл, що показує екземпляр, публічний IP, дозволені TCP, дозволені UDP

• nmap сканування для всіх екземплярів на портах, дозволених для вхідного трафіку з публічного інтернету (0.0.0.0/0)

• masscan для повного діапазону TCP тих екземплярів, які дозволяють ВСІ TCP порти з публічного інтернету (0.0.0.0/0)

Ієрархічні політики Firewall

Ієрархічні політики firewall дозволяють створювати та забезпечувати послідовну політику firewall у вашій організації. Ви можете призначати ієрархічні політики firewall для всієї організації або для окремих папок. Ці політики містять правила, які можуть явно забороняти або дозволяти з'єднання.

Ви створюєте та застосовуєте політики firewall як окремі кроки. Ви можете створювати та застосовувати політики firewall на рівні організації або папок у ієрархії ресурсів. Правило політики firewall може блокувати з'єднання, дозволяти з'єднання або передавати оцінку правил firewall на нижчі рівні папок або правила firewall, визначені у VPC мережах.

За замовчуванням, всі правила ієрархічної політики firewall застосовуються до всіх VM у всіх проектах під організацією або папкою, де асоційована політика. Однак, ви можете обмежити, які VM отримують певне правило, вказавши цільові мережі або цільові service accounts.

Ви можете прочитати тут, як створити ієрархічну політику Firewall.

Оцінка правил Firewall

1. Org: Політики firewall, призначені для організації

2. Folder: Політики firewall, призначені для папки

3. VPC: Правила firewall, призначені для VPC

4. Global: Інший тип правил firewall, які можуть бути призначені для VPC

5. Regional: Правила firewall, асоційовані з VPC мережею NIC VM та регіоном VM.

VPC Network Peering

Дозволяє з'єднувати дві Virtual Private Cloud (VPC) мережі, щоб ресурси в кожній мережі могли спілкуватися один з одним. З'єднані VPC мережі можуть бути в одному проекті, різних проектах однієї організації або різних проектах різних організацій.

Це необхідні дозволи:

• compute.networks.addPeering

• compute.networks.updatePeering

• compute.networks.removePeering

• compute.networks.listPeeringRoutes

Більше в документації.

Посилання

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/

• https://cloud.google.com/vpc/docs/firewall-policies-overview#rule-evaluation