設計存取層級

本文說明存取層級的實作方式,並提供建議,說明如何根據允許清單啟動服務重疊範圍強制執行作業。

完成工作負載的試執行後,您會找出需要加入許可清單的 IP 位址和身分識別清單。您也可能會發現某些工作負載需要裝置許可清單。如要授予受保護 Google Cloud 資源的受控存取權,可以使用 VPC Service Controls 存取層級。您可以根據 IP 位址、身分或裝置,實作存取層級。

詳情請參閱「含有輸入規則的情境感知存取權」。

根據來源 IP 授予存取權

您只能在 IP 型許可清單的存取層級中,使用公開 IP CIDR 範圍。由於這個方法允許來自此 IP 範圍的所有受保護 API,因此這些 IP 背後的環境必須受到信任和控管。這份允許清單的典型用途是允許從內部部署網路存取周邊。下圖顯示 IP 位址許可清單如何封鎖及允許存取範圍:

VPC Service Controls 網路和服務範圍可防止不受信任的網路存取有效身分。

在上圖中,有效身分嘗試存取周邊。如果存取嘗試來自任何網際網路 IP 位址,系統會拒絕。不過,如果存取要求來自公司公開 IP 位址,系統就會允許存取。

另一種情況是允許從部署在不同專案或機構的私人資源存取服務範圍。在本使用案例中,來源專案必須有 Cloud NAT 閘道。Cloud NAT私人 Google 存取權整合後,會自動在資源的子網路上啟用私人 Google 存取權,並將 Google API 和服務的流量保留在內部,而不是使用 Cloud NAT 閘道的外部 IP 位址將流量傳送到網際網路。由於流量是在 Google 內部網路中轉送,AuditLog 物件的 RequestMetadata.caller_ip 欄位會經過修訂,顯示為 gce-internal-ip。如要在這種情況下允許存取範圍,您需要設定輸入規則,根據專案或服務帳戶等其他屬性允許存取,而不是根據外部來源 IP 位址設定存取層級。

根據來電者身分授予存取權

如要實作以身分為依據的允許清單,請將服務帳戶和機構超級管理員新增至允許清單。這些身分可從任何 IP 位址存取周邊,因此您必須確保身分受到嚴密保護。此外,請務必避免為已加入許可清單的服務帳戶鑄造金鑰。在周邊新增使用者身分至許可清單並不常見 (群組無法新增至許可清單)。

您可以透過範圍內的 VM、信任的內部部署網路或信任的裝置,存取範圍內的資源。建議使用 Cloud Workstations 存取範圍內的資源,因為 VPC Service Controls 不支援 Cloud Shell

根據來電者裝置屬性授予存取權

裝置信任 (也稱為「受信任的端點」) 的運作方式是讓有效的機構使用者登入 Chrome 瀏覽器或 Chromebook。信任適用於已登入作業系統的工作階段。舉例來說,已登入的 Windows 使用者執行 Chrome 工作階段 (不一定要開啟瀏覽器) 時,可以順利呼叫受保護的周邊 API 上的 gcloud CLI 指令。不過,同一部電腦上的其他 Windows 使用者工作階段無法呼叫受保護的周邊 API 指令。

下列裝置條件有助於建立裝置信任度:

  • 已驗證的 ChromeOS 是一種經過加密驗證的高度安全狀態,表示有效機構使用者已登入安全啟動的 Chromebook。建議使用這個第 1 層信任條件。

    已啟用「已驗證的 Chrome 作業系統」選項的作業系統政策。

  • 裝置存取權須經管理員核准 Cloud Identity 管理員必須先核准裝置,才能授予存取權。根據預設,如果裝置已登入有效的機構使用者,系統就會自動核准裝置。不過,建議您關閉自動核准選項。

  • 「需要公司自有裝置」功能會依據 Chrome 代理程式從 OS 擷取的序號 (通常來自 BIOS) 運作。這個號碼必須與輸入 Cloud Identity 的現有序號相符。

    由於序號在非 ChromeOS 裝置中不具權威性,具備進階管理員權限的使用者可能會偽造序號。建議只將這項條件做為第 2 層檢查。

如要查看根據上述清單中討論的條件授予受控存取權的追蹤器範本,請參閱 VPC Service Controls 上線範本 - 允許清單 (PDF)

啟動強制執行

設計許可清單並更新存取層級後,建議您再次執行工作負載,確認沒有任何違規事項。如果工作負載執行時沒有違規,您就可以啟動 VPC Service Controls 強制執行功能,而不影響應用程式。

規劃違規處置時,請納入下列事項:

  • 選擇強制執行日期,並將該日期告知所有相關團隊。
  • 確保安全營運和事件應變團隊瞭解部署作業。此外,請確保具備適當權限的人員會檢查記錄,並視需要核准其他允許清單。
  • 確保情況應變團隊可以開啟支援案件,以利解決任何問題或疑問。 Google Cloud
  • 使用 Terraform 等自動化工具建立或修改安全防護範圍和存取層級。建議不要手動執行這些工作。

開始強制執行時,請先將與單一工作負載相關聯的專案,從試營運安全防護範圍移至正式安全防護範圍。請務必預留時間讓應用程式正確執行,同時觀察違規記錄。針對其餘工作負載逐一重複上述程序。

如要顯示遭封鎖的違規事項,請設定匯總記錄接收器,將安全防護範圍內所有專案的稽核記錄傳送至 BigQuery。然後執行下列查詢:

SELECT
receiveTimestamp, #time of violation
Resource.labels.service, #protected Google Cloud service being blocked
protopayload_auditlog.methodName, #method name being called
resource.labels.project_id as PROJECT, #protected project blocking the call
protopayload_auditlog.authenticationInfo.principalEmail, #caller identity
protopayload_auditlog.requestMetadata.callerIp, #caller IP
JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.dryRun') as DRYRUN, #dry-run indicator
JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.violationReason') as REASON, #reason for violation
protopayload_auditlog.metadataJson, #raw violation entry
FROM `BQ_DATASOURCE_NAME.cloudaudit_googleapis_com_policy_*`
WHERE JSON_EXTRACT(protopayload_auditlog.metadataJson, '$.dryRun') is null #exclude logs from a dry-run perimeter

後續步驟