【網路安全】VPC Network 基礎安全防護與操作設定

在 Google Cloud Platform (簡稱 GCP) 的世界中，Virtual Private Cloud（簡稱 VPC）為使用者提供了全球性、可擴展且靈活的虛擬私有網絡，在 GCP 中是一項非常重要的基礎服務，它能夠讓使用者部署像是 Google Compute Engine、Google Kubernetes Engine 和 Google App Engine 等 GCP 服務到雲端。提醒您，越複雜的架構到後期更會無法輕易地去進行變動，因此會建議使用者應在一開始時就對 VPC Network 的設計進行規劃。本篇文章我們將會實作 Custom VPC Network 與 Firewall 建立。

雖然在 GCP 中已經有預設的 VPC 與 Firewalls 可以用來進行資源的部署，但其實這不是最正確的做法。我們會建議您使用 Custom 模式的 VPC Network，特別是在正式環境之中。此外，根據 GCP 官方給出的 Best Practices，當您建立了自己的網路後，也應該刪除 GCP 預設的網路。在以下的情況中您可以考慮使用 Custom VPC  [1]

1. 不需要每個 Region 中都有一個自動創建的子網段 (Subnet)。
2. 避免因為衝突而干擾到您整體的網絡規劃 (像是新 Region 推出時其自動創建的新網段與既有的網段 IP 有重疊)。
3. 需要完全控制在 VPC Network 中所創建的子網段，包括其區域與 IP 範圍。
4. 未來有計劃要使用 VPC Network Peering 或 Cloud VPN 等服務來連接不同的 VPC 網絡。(Auto 模式下的 VPC Network 其子網段具有相同的 IP 地址，會產生衝突)。
5. 您需要擁有 IPv6 範圍的子網段。

接下來將開始一個涵蓋了 Custom VPC Network 與 Firewall 建立的範例。在開始前有一點需要向您提醒，如果您使用非 Free Tier 的 GCP 帳號做測試，以 1 個小時的時間來計算大約需要花費 USD 1.04，主要的費用由 Compute Engine 的機器類型、使用資源 (CPU、Memory) 所產生，詳情還請參考 GCP Pricing Calculator [2]。

使用者需要先在專案層級 (Project Level) 中的 IAM 內擁有 2 個由 GCP 所事先定義好的 Predefined Role：

• 「Compute Network Admin」 [3] 這個 Role 能授予使用者具備建立、修改和刪除網絡相關資源的權限，但只能讓您對 Firewalls 進行讀取，並不包含其餘的操作，因此還需與下述第 2 個 Role 搭配使用。
• 「Compute Security Admin」 [4] 這個 Role 能夠讓使用者擁有對 Firewalls 進行操作的所有權限 (像是建立、修改和刪除)。

當您進入到 VPC networks 的頁面後應該可以發現 GCP 已經幫您自動建立了一個模式為 Auto 的網路，但我們將嘗試手動後續範例所需要的 Custom VPC。

1. 首先您需要進入 VPC 的 Console，並點擊上方「CREATE VPC NETWORK」的按鈕來開始建立 Custom VPC [5]。

進入到 Firewall 的頁面後，可以發現 GCP 已經自動產生了 6 條以 default 名稱為開頭的防火牆規則，但我們將手動為已建立完的 Custom VPC 添加對應的 22 Port 規則。

a. 重新回到 VPC 的 Console，並點擊左側 Firewall 的選單，接著點擊上方「CREATE FIREWALL RULE」的按鈕 [8]。

b. 將此 Firewall 命名為「demo-custom-vpc-network-allow-22」，並將 Network 的欄位更改成稍早建立的 Custom VPC「demo-custom-vpc-network」。Priority 是用於決定此 Firewall 的優先程度，數字越小會越優先被判斷。

c. 您可以選擇此 Firewall 的類型（Ingress / Egress）和允許的動作（Allow / Deny），由於此範例是想要通過 22 Port 順利連進去 VM，因此還請分別選擇 Ingress 及 Allow 的選項。

d. 在下方 Targets 的部分，請選擇「All instances in the network」的選項 (在設定上更為嚴謹的做法是為 VM 添加不同的 Network tags，這樣您就可以針對不同的 VM 利用「Specified target tags」的選項去做防火牆的控制)。

e. 在 Source IPv4 ranges 的欄位需決定那些網段可以透過此 Firewall 來連進您的 VM 中，舉例來說像是您的個人 / 企業 IP 位址。本範例中將以 "35.74.166.229" 此 IP 來做示範，還請記得更換為您自身的 IP。

f. 最後則是決定哪些 Port 要被開放使用，此範例因為要使用 SSH，您需要先將「TCP」做勾選的動作，並在下方填入「22」。到這裡為止 Firewall 的設定就已經完成了，還請記得按「CREATE」來完成操作。

g. 為了測試 Firewall 是否建立成功，請再回到 GCE 的 Console，點擊相同的「SSH」按鈕，此時應該已經可以順利連進去 VM 了，如果仍然是連線失敗的狀態，還請檢查上述步驟是否有設定錯誤的情況。

在進行任何部署之前，請先替您的 VPC 網絡設計規劃仔細地考慮，VPC 的配置可能會對其路由、規模和安全性產生重大的影響。雖然使用預設的 VPC Networks 與 Firewall 是很方便又快速，但其實這是非常不安全的方式，建議還是事先規劃好相關網路的架構，採用客製化的做法，也利於自己日後能較方便的去維護。如果想了解更多與 VPC Network 或是 Firewall 的介紹，還請參考官方文件 [9,10]，或是您也可以瀏覽官方針對 VPC 所提出的最佳建議（Best Practices）  [11]。

撰文者：Oaklynn Lin, Cloud Support Engineer

協助客戶調查、解決有關雲端環境上的疑難雜症，並負責 MSP 客戶專案環境的代管。

參考資料

[1] Considerations for auto mode VPC networks

https://cloud.google.com/vpc/docs/vpc#auto-mode-considerations

[2] Google Cloud Pricing Calculator

https://cloud.google.com/products/calculator/#id=97db5e22-dbc0-4387-88c9-6270b956f60f

[3] Compute Network Admin

https://cloud.google.com/iam/docs/understanding-roles#compute.networkAdmin

[4] Compute Security Admin

https://cloud.google.com/iam/docs/understanding-roles#compute.securityAdmin

[5] Create a custom mode VPC network with only IPv4 subnets

https://cloud.google.com/vpc/docs/create-modify-vpc-networks#create-custom-network

[6] Compute Engine Overview

https://cloud.google.com/compute

[7] Create a VM instance from an image

https://cloud.google.com/compute/docs/instances/create-start-instance#startinginstancewithimage

[8] Create VPC firewall rules

https://cloud.google.com/vpc/docs/using-firewalls#creating_firewall_rules

[9] VPC networks

https://cloud.google.com/vpc/docs/vpc

[10] VPC firewall rules

https://cloud.google.com/vpc/docs/firewalls

[11] Best practice and reference architectures for VPC design

https://cloud.google.com/architecture/best-practices-vpc-design