Questo documento descrive le architetture di deployment consigliate per i Controlli di servizio VPC. Questo documento è rivolto agli amministratori di rete, ai security architect e ai professionisti delle operazioni cloud che eseguono e gestiscono deployment su vasta scala in produzione su Google Cloud e vogliono mitigare il rischio di perdita di dati sensibili.
Poiché la protezione dei Controlli di servizio VPC influisce sulla funzionalità dei servizi cloud, ti consigliamo di pianificare in anticipo l'abilitazione di Controlli di servizio VPC e di prendere in considerazione i Controlli di servizio VPC durante la progettazione dell'architettura. È importante mantenere la progettazione dei Controlli di servizio VPC il più semplice possibile. Ti consigliamo di evitare progettazioni perimetrali che utilizzano più bridge, progetti di rete perimetrali o un perimetro DMZ e livelli di accesso complessi.
Utilizza un perimetro unificato comune
Un singolo perimetro di grandi dimensioni, denominato perimetro unificato comune, offre la protezione più efficace contro l'esfiltrazione di dati rispetto all'utilizzo di più perimetri segmentati.
Un perimetro unificato comune offre inoltre il vantaggio di un minore overhead di gestione per i team responsabili della creazione e della manutenzione del perimetro. Poiché i servizi e le risorse di rete all'interno di un perimetro possono comunicare liberamente con le autorizzazioni IAM e di controllo di rete necessarie, i team responsabili della gestione del perimetro si occuperanno principalmente dell'accesso da nord-sud, ovvero l'accesso da internet alle risorse all'interno del perimetro.
Quando un'organizzazione utilizza più perimetri più piccoli, i team di gestione dei perimetri devono dedicare risorse alla gestione del traffico da est-ovest tra i perimetri di un'organizzazione, oltre al traffico da nord a sud proveniente dall'esterno dell'organizzazione. A seconda delle dimensioni dell'organizzazione e del numero di perimetri, questo overhead può essere considerevole. Ti consigliamo di sovrapporre il perimetro con ulteriori controlli di sicurezza e best practice, ad esempio per assicurarti che le risorse all'interno della rete VPC non abbiano traffico in uscita diretto da internet.
I perimetri di servizio non sono pensati per sostituire o ridurre la necessità di controlli IAM. Quando definisci i controlli dell'accesso, ti consigliamo di assicurarti di seguire il principio del privilegio minimo e di applicare le best practice IAM.
Per ulteriori informazioni, consulta la sezione Creazione di un perimetro di servizio.
Utilizza più perimetri in un'unica organizzazione
Alcuni casi d'uso potrebbero richiedere più perimetri per un'organizzazione. Ad esempio, un'organizzazione che gestisce i dati sanitari potrebbe volere un perimetro per i dati non offuscati e di attendibilità elevata e un perimetro separato per i dati anonimizzati di livello inferiore per facilitare la condivisione con entità esterne, proteggendo al contempo i dati ad alta attendibilità.
Se la tua organizzazione vuole rispettare standard come PCI DSS, potresti avere un perimetro separato intorno ai dati regolamentati.
Quando la condivisione dei dati è un caso d'uso principale per la tua organizzazione, valuta la possibilità di utilizzare più di un perimetro. Se produci e condividi dati di livello inferiore come quelli anonimizzati dei pazienti, puoi utilizzare un perimetro separato per facilitare la condivisione con entità esterne. Per ulteriori informazioni, consulta i pattern di riferimento per lo scambio di dati sicuro.
Inoltre, se utilizzi la tua organizzazione Google Cloud per ospitare tenant indipendenti di terze parti, come partner o clienti, valuta la possibilità di definire un perimetro per ogni tenant. Se consideri lo spostamento dei dati da uno di questi tenant a un altro come esfiltrazione, ti consigliamo di implementare un perimetro separato.
Progettazione del perimetro
Ti consigliamo di abilitare tutti i servizi protetti quando crei un perimetro, per ridurre la complessità operativa e ridurre al minimo i potenziali vettori di esfiltrazione. Poiché lasciare le API non protette aumenta possibili vettori di esfiltrazione, dovrebbero essere presenti revisioni e giustificazioni se la tua organizzazione sceglie di proteggere un'API e non un'altra.
Tutti i nuovi progetti devono essere sottoposti alla procedura di revisione e qualifica descritta nelle sezioni seguenti. Includi nel perimetro tutti i progetti che superano le condizioni di qualifica.
Assicurati che non esista un percorso per il VIP privato da nessuno dei VPC nel perimetro. Se consenti una route di rete a private.googleapis.com, neghi la protezione dei Controlli di servizio VPC dall'esfiltrazione di dati provenienti da addetti ai lavori. Se devi consentire l'accesso a un servizio non supportato, prova a isolare l'utilizzo dei servizi non supportati in un progetto separato o a spostare l'intero carico di lavoro all'esterno del perimetro.
Rivedi e qualifica i progetti
Un'azienda tipica ha molti progetti che rappresentano carichi di lavoro e costruzioni di alto livello come piani di controllo, data lake, unità aziendali e fasi del ciclo di vita. Oltre a organizzare questi progetti e componenti in cartelle, ti consigliamo di classificarli all'interno o all'esterno di un perimetro dei Controlli di servizio VPC. Per ottenere la qualifica, poniti le seguenti domande:
Esiste un componente con una dipendenza rigida da un servizio non supportato da Controlli di servizio VPC?
L'applicazione dei Controlli di servizio VPC non è ambigua, quindi questo tipo di dipendenza potrebbe non funzionare in un perimetro. Ti consigliamo di modificare il carico di lavoro per isolare il requisito per i servizi non supportati in un progetto separato o di spostare del tutto il carico di lavoro fuori dal perimetro.
Esiste un componente che non contiene dati sensibili e non consuma dati sensibili di altri progetti?
Se hai risposto sì ad una delle domande precedenti, ti consigliamo di non inserire il progetto in un perimetro. Puoi aggirare il problema, come descritto nell'argomento Progettazione della lista consentita. Tuttavia, consigliamo di ridurre al minimo la complessità del perimetro.
Passaggi successivi
- Scopri come creare un perimetro di servizio.
- Scopri come testare l'impatto di un perimetro utilizzando la modalità di prova.
- Scopri di più sulle regole in entrata e in uscita che consentono la comunicazione tra i perimetri di servizio.