Configurer VPC Service Controls pour Duet AI

Ce document explique comment configurer VPC Service Controls pour utiliser Duet AI, un collaborateur de Google Cloud alimenté par l'IA. Pour terminer cette configuration, procédez comme suit:

  1. Mettez à jour le périmètre de service de votre organisation pour inclure Duet AI. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez la page Détails et configuration du périmètre de service.

  2. Dans les projets pour lesquels vous avez activé l'accès à Duet AI, configurez des réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic vers la plage IP virtuelle restreinte.

Avant de commencer

  1. Assurez-vous que Duet AI est configuré pour votre compte utilisateur et votre projet Google Cloud.

  2. Assurez-vous de disposer des rôles IAM (Identity and Access Management) requis pour configurer et administrer VPC Service Controls.

  3. Assurez-vous de disposer d'un périmètre de service au niveau de l'organisation permettant de configurer Duet AI. Si vous n'avez pas de périmètre de service à ce niveau, vous pouvez en créer un.

Ajouter Duet AI à votre périmètre de service

Pour utiliser VPC Service Controls avec Duet AI, vous devez ajouter Duet AI au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les services que vous utilisez avec Duet AI, ainsi que d'autres services Google Cloud que vous souhaitez protéger.

Pour ajouter Duet AI à votre périmètre de service, procédez comme suit:

  1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  2. Sélectionnez votre organisation.

  3. Sur la page VPC Service Controls, cliquez sur le nom de votre périmètre.

  4. Cliquez sur Add Resources (Ajouter des ressources), puis procédez comme suit:

    1. Pour chaque projet dans lequel vous avez activé Duet AI, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:

      1. Dans la boîte de dialogue Add projects (Ajouter des projets), sélectionnez les projets que vous souhaitez ajouter.

        Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.

      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

    2. Pour chaque réseau VPC de vos projets, dans le volet Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:

      1. Dans la liste des projets, cliquez sur le projet contenant le réseau VPC.

      2. Dans la boîte de dialogue Ajouter des ressources, cochez la case du réseau VPC.

      3. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans la section Réseaux VPC.

  5. Cliquez sur Services restreints, puis procédez comme suit:

    1. Dans le volet Services restreints, cliquez sur Ajouter des services.

    2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez Duet AI comme service que vous souhaitez sécuriser au sein du périmètre.

    3. Cliquez sur Ajouter des services n, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.

  6. Facultatif: Si vos développeurs doivent utiliser Duet AI dans le périmètre du plug-in Cloud Code dans leurs IDE, configurez la règle d'entrée.

    L'activation de VPC Service Controls pour Duet AI empêche tout accès extérieur au périmètre, y compris l'exécution d'extensions IDE Cloud Code à partir de machines situées en dehors du périmètre, telles que les ordinateurs portables d'une entreprise. Par conséquent, vous devez configurer la règle d'entrée si vous souhaitez utiliser Duet AI avec le plug-in Cloud Code.

    1. Cliquez sur Règle d'entrée.

    2. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.

    3. Dans Attributs "De" du client API, spécifiez les sources extérieures au périmètre qui nécessitent un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC en tant que sources.

    4. Dans le champ Attributs des ressources/services Google Cloud, spécifiez le nom du service de Duet AI.

      Pour obtenir la liste des attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.

  7. Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez fournir aux développeurs un accès à des ressources protégées depuis l'extérieur du périmètre, définissez des niveaux d'accès:

    1. Cliquez sur Niveaux d'accès.

    2. Dans le volet Règle d'entrée: niveaux d'accès, sélectionnez le champ Sélectionner le niveau d'accès.

    3. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre.

  8. Cliquez sur Enregistrer.

Une fois ces étapes effectuées, VPC Service Controls vérifie tous les appels à l'API Duet AI pour s'assurer qu'ils proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC de sorte que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard soient automatiquement acheminées vers la plage d'adresses IP virtuelles (VIP) restreintes, 199.36.153.4/30 (restricted.googleapis.com), où votre service Duet AI est diffusé. Vous n'avez pas besoin de modifier les configurations dans les extensions IDE de Cloud Code.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage IP virtuelle restreinte:

  1. Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.

  2. Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

    1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.

    2. Créez une règle de sortie autorisée qui autorise le trafic vers 199.36.153.4/30 sur le port TCP 443. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus de sortie que vous venez de créer. Ainsi, la sortie vers la plage VIP restreinte sera autorisée uniquement.

  3. Créez une stratégie de réponse Cloud DNS.

  4. Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes:

    • Nom DNS: *.googleapis.com.

    • Données locales: restricted.googleapis.com.

    • Type d'enregistrement: A

    • Valeur TTL: 300

    • Données RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      La plage d'adresses IP de restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes effectuées, les requêtes provenant du réseau VPC ne peuvent pas quitter ce réseau, ce qui empêche la sortie en dehors du périmètre de service. Ces requêtes ne peuvent atteindre que les API et services Google qui vérifient VPC Service Controls, ce qui empêche l'exfiltration via les API Google.

Configurations supplémentaires

En fonction des produits Google Cloud que vous utilisez avec Duet AI, vous devez prendre en compte les éléments suivants:

  • Machines clientes connectées au périmètre. Les machines situées à l'intérieur du périmètre VPC Service Controls peuvent accéder à toutes les expériences Duet AI. Vous pouvez également étendre le périmètre à un réseau Cloud VPN ou Cloud Interconnect autorisé à partir d'un réseau externe.

  • Machines clientes situées en dehors du périmètre. Lorsque vous disposez de machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé au service Duet AI restreint.

  • Duet AI pour les développeurs. Pour assurer la conformité avec VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via des stratégies de pare-feu.

  • Cloud Workstations. Si vous utilisez Cloud Workstations, suivez les instructions de la section Configurer VPC Service Controls et des clusters privés.

Étapes suivantes