Perímetros do VPC Service Controls e Data Catalog

O VPC Service Controls pode ajudar sua organização a reduzir os riscos de exfiltração de dados de serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Nesta página, mostramos como o Data Catalog interage com recursos dentro de um perímetro de serviço do VPC Service Controls.

Os exemplos abaixo usam o BigQuery para demonstrar como o Data Catalog interage com perímetros. No entanto, o Data Catalog respeita os perímetros de todos os sistemas de armazenamento do Google da mesma maneira, incluindo o Cloud Storage e o Pub/Sub.

Exemplo

Para entender como o Data Catalog interage com perímetros, considere o diagrama abaixo. No diagrama, dois projetos do GCP são mostrados: Projeto A e Projeto B. Um perímetro foi estabelecido em torno do serviço {bigquery_name_short}} do BigQuery para o Projeto A. O Projeto B não foi adicionado ao perímetro.

No diagrama abaixo, há dois projetos do Google Cloud: Projeto A e Projeto B. Um perímetro de serviço foi estabelecido em torno do Projeto A, e o serviço BigQuery é protegido pelo perímetro. O usuário não recebeu acesso ao perímetro por meio de um IP permitido ou de uma identidade de usuário. O Projeto B não está dentro do perímetro.

Data Catalog com um perímetro em torno do BigQuery

O resultado dessa configuração é que:

  • O Data Catalog continua a sincronizar os metadados do BigQuery dos dois projetos.
  • O usuário pode acessar dados e metadados do Projeto B no BigQuery e pesquisar/marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados do Projeto A no BigQuery, pois eles são bloqueados pelo perímetro. O usuário também não pode pesquisar ou marcar seus metadados com o Data Catalog.

O serviço Data Catalog não foi adicionado ao perímetro. Em vez disso, o Data Catalog respeita o perímetro existente em torno do Projeto A e do BigQuery.

Recursos integrados personalizados

O Data Catalog é capaz de integrar recursos de outras nuvens e fontes de dados locais. Eles são chamados de recursos integrados personalizados. Se o Data Catalog não tiver sido adicionado ao perímetro do VPC Service Controls, os usuários ainda poderão acessar recursos integrados personalizados, mesmo para projetos em perímetros em que não tenham sido colocados na lista de permissões.

No exemplo abaixo, os recursos integrados personalizados foram adicionados ao Projeto A e ao Projeto B a partir do primeiro exemplo. O usuário neste exemplo ainda não tem acesso ao perímetro.

Catálogo de dados com recursos integrados personalizados

O resultado dessa configuração é que:

  • O usuário pode acessar dados e metadados do Projeto B no BigQuery e pesquisar ou marcar os metadados com o Data Catalog.
  • O usuário não pode acessar os dados ou metadados do Projeto A do BigQuery, pois eles são bloqueados pelo perímetro. Eles também não podem pesquisar ou marcar seus metadados com o Data Catalog.
  • O usuário pode usar o Data Catalog para pesquisar ou marcar metadados para os recursos integrados personalizados no Projeto A e no Projeto B.

Como limitar o acesso a recursos integrados personalizados

É possível limitar o acesso a recursos integrados personalizados usando um perímetro de serviço para proteger a API Data Catalog. O exemplo abaixo se expande no segundo exemplo adicionando um perímetro em torno do serviço Data Catalog para o Projeto B:

Data Catalog com recursos integrados personalizados e um perímetro

O resultado dessa configuração é que:

  • O Data Catalog não foi adicionado ao perímetro do Projeto A, portanto, o usuário pode pesquisar/marcar metadados para os recursos integrados personalizados no Projeto A.
  • O Data Catalog foi adicionado ao perímetro do Projeto B, portanto, o usuário não pode pesquisar/marcar metadados para os recursos integrados personalizados no Projeto B.
  • Como no primeiro exemplo, o usuário não pode acessar os dados/metadados do Projeto A no BigQuery, pois eles são bloqueados pelo perímetro. Eles também não podem pesquisar/marcar metadados do BigQuery com o Data Catalog.
  • Mesmo que um perímetro de serviço tenha sido estabelecido para o Projeto B, o serviço do BigQuery não foi adicionado a ele. Isso significa que o usuário pode acessar os dados/metadados do Projeto B no BigQuery e pesquisar/marcar metadados do BigQuery com o Data Catalog.