Perimetri dei Controlli di servizio VPC e Data Catalog

I controlli di servizio VPC possono aiutare la tua organizzazione a mitigare i rischi di esfiltrazione di dati provenienti da servizi gestiti da Google come Cloud Storage e BigQuery. Questa pagina mostra in che modo Data Catalog interagisce con le risorse all'interno di un perimetro di servizio Controlli di servizio VPC.

Gli esempi seguenti utilizzano BigQuery per dimostrare come Data Catalog interagisce con i perimetri. Tuttavia, Data Catalog rispetta allo stesso modo i perimetri attorno a tutti i sistemi di archiviazione di Google, inclusi Cloud Storage e Pub/Sub.

Esempio

Per comprendere in che modo Data Catalog interagisce con i perimetri, considera il diagramma seguente. Nel diagramma sono presenti due progetti Google Cloud: Progetto A e Progetto B. È stato stabilito un perimetro di servizio attorno al progetto A e il servizio BigQuery è protetto dal perimetro. All'utente non è stato concesso l'accesso al perimetro tramite un IP consentito o un'identità dell'utente. Il progetto B non si trova all'interno del perimetro.

A causa del perimetro VPC attorno al progetto A, l'utente accede solo ai metadati del progetto B tramite Data Catalog.
Figura 1. L'utente ha accesso a Data Catalog al progetto BiqQuery B, ma non al progetto A.

Il risultato di questa configurazione è che:

  • Data Catalog continua a sincronizzare i metadati BigQuery di entrambi i progetti.
  • L'utente può accedere a dati e metadati per il Progetto B da BigQuery e cercare/taggare i relativi metadati con Data Catalog.
  • L'utente non può accedere ai dati del progetto A in BigQuery perché è bloccato dal perimetro. Inoltre, l'utente non può cercare o taggare i propri metadati con Data Catalog.

Tieni presente che il servizio Data Catalog non è stato aggiunto al perimetro. Piuttosto, Data Catalog rispetta il perimetro esistente intorno a Project A e BigQuery.

Asset integrati personalizzati

Data Catalog è in grado di integrare asset da altri cloud e origini dati on-premise. Questi sono chiamati asset integrati personalizzati. Se Data Catalog non è stato aggiunto al perimetro dei Controlli di servizio VPC, gli utenti possono comunque accedere agli asset integrati personalizzati, anche per i progetti all'interno di perimetri in cui non sono stati inseriti nella lista consentita.

Nell'esempio riportato di seguito, gli asset integrati personalizzati sono stati aggiunti sia al progetto A che al progetto B del primo esempio. L'utente di questo esempio non ha ancora accesso al perimetro.

A causa del perimetro VPC attorno al progetto A, l'utente accede solo al progetto B e ai dati integrati personalizzati nei progetti A e B.
Figura 2. L'utente ha accesso a Data Catalog al progetto B di BigQuery e ai metadati personalizzati integrati nei progetti A e B.

Il risultato di questa configurazione è che:

  • L'utente può accedere ai dati e ai metadati per il progetto B da BigQuery, nonché cercare o taggare i metadati con Data Catalog.
  • L'utente non può accedere ai dati o ai metadati del progetto A da BigQuery perché sono bloccati dal perimetro. Inoltre, non possono eseguire ricerche nei metadati o taggarli con Data Catalog.
  • L'utente può utilizzare Data Catalog per cercare o taggare i metadati per gli asset integrati personalizzati sia nel progetto A che nel progetto B.

Limitare l'accesso agli asset integrati personalizzati

Puoi limitare l'accesso agli asset integrati personalizzati utilizzando un perimetro di servizio per proteggere l'API Data Catalog. L'esempio seguente si espande sul secondo esempio aggiungendo un perimetro intorno al servizio Data Catalog per il progetto B:

A causa del perimetro VPC attorno al progetto A e dei dati integrati personalizzati nel progetto B, l'utente accede solo ai dati del progetto B e personalizzati nel progetto A.
Figura 3. L'utente ha accesso a Data Catalog al progetto B e a metadati personalizzati integrati nel progetto A.

Il risultato di questa configurazione è che:

  • Data Catalog non è stato aggiunto al perimetro del progetto A, quindi l'utente può cercare/taggare i metadati per gli asset integrati personalizzati nel progetto A.
  • Data Catalog è stato aggiunto al perimetro del progetto B, quindi l'utente non può cercare/taggare i metadati per gli asset integrati personalizzati nel progetto B.
  • Come nel primo esempio, l'utente non può accedere ai dati/metadati del progetto A da BigQuery perché è bloccato dal perimetro. Inoltre, non possono eseguire ricerche o taggare i metadati di BigQuery con Data Catalog.
  • Anche se è stato stabilito un perimetro di servizio per il Progetto B, al servizio BigQuery non è stato aggiunto. Ciò significa che l'utente può accedere ai dati/metadati del progetto B da BigQuery e cercare/taggare i metadati di BigQuery con Data Catalog.

Supporto per la derivazione dei dati

La derivazione dei dati è supportata da Virtual IP (VIP) limitato. Per ulteriori informazioni, consulta la sezione Servizi supportati dal VIP con limitazioni.