Sieci VPC i firewall
Sieć w GCP różni się od AWS i Azure jedną ważną cechą: VPC jest globalna, a podsieci są regionalne. Zrozumienie tego modelu i reguł firewall jest kluczowe dla bezpieczeństwa — i to te konfiguracje ZEUS sprawdza pod kątem ekspozycji.
VPC — globalna, podsieci regionalne
W GCP jedna sieć VPC rozciąga się na wszystkie regiony. Podsieci przypisane są do regionów i mają własne zakresy CIDR. Zasoby z różnych regionów w tej samej VPC komunikują się prywatnie bez peeringu.
# VPC w trybie custom (zalecane — pełna kontrola nad podsieciami)
gcloud compute networks create vpc-zeus --subnet-mode=custom
# Podsieć w regionie europe-central2
gcloud compute networks subnets create snet-app \
--network=vpc-zeus --region=europe-central2 \
--range=10.0.1.0/24
Wskazówka: zawsze używaj trybu custom, nie
auto. Tryb auto tworzy podsieci we wszystkich regionach z predefiniowanymi zakresami — to nadmiarowa powierzchnia ataku, którą ZEUS oznacza jako finding.
Reguły firewall
Firewall w GCP działa na poziomie sieci VPC i jest stateful. Reguły mają priorytet (0-65535, niższy wygrywa), kierunek, akcję (allow/deny) oraz selektory celu — najczęściej przez tagi sieciowe lub konta usług.
# Zezwól na HTTPS z internetu do VM z tagiem 'web'
gcloud compute firewall-rules create allow-https \
--network=vpc-zeus --direction=INGRESS --action=ALLOW \
--rules=tcp:443 --source-ranges=0.0.0.0/0 \
--target-tags=web
# Zezwól na SSH TYLKO z zakresu IAP (nie z całego internetu!)
gcloud compute firewall-rules create allow-ssh-iap \
--network=vpc-zeus --direction=INGRESS --action=ALLOW \
--rules=tcp:22 --source-ranges=35.235.240.0/20
| Element reguły | Przykład |
|---|---|
| priorytet | 1000 |
| kierunek | INGRESS / EGRESS |
| akcja | ALLOW / DENY |
| cel | tagi sieciowe / konta usług |
| źródło | zakresy CIDR / tagi |
Najczęstszy krytyczny finding: reguła z --source-ranges=0.0.0.0/0 na porcie
22 lub 3389. Dostęp administracyjny ograniczaj do zakresu IAP
(35.235.240.0/20) albo do znanych adresów.
Private Google Access i prywatne usługi
Private Google Access pozwala VM bez publicznego IP korzystać z usług Google (Storage, BigQuery) prywatnie. Private Service Connect daje prywatny endpoint do usług — odpowiednik Private Link/VPC Endpoint.
Jak to widzi ZEUS
Przez Cloud Asset Inventory i API Compute ZEUS odczytuje całą topologię: sieci VPC, podsieci, wszystkie reguły firewall i konfigurację Private Google Access. Na tej podstawie oznacza zasoby wystawione publicznie i niebezpiecznie otwarte porty zarządzania — dane te trafiają do widoku postawy bezpieczeństwa obok analogicznych z Azure i AWS.
W następnej lekcji: Security Command Center i Workload Identity.