In diesem Dokument werden die empfohlenen VPC Service Controls-Bereitstellungsarchitekturen beschrieben. Dieses Dokument richtet sich an Netzwerkadministratoren, Sicherheitsarchitekten und Cloud-Experten, die in Google Cloud große Bereitstellungen in Produktionsumgebungen ausführen und betreiben und das Risiko des Verlusts sensibler Daten minimieren möchten.
Da der Schutz von VPC Service Controls Auswirkungen auf die Funktionalität von Cloud-Diensten hat, empfehlen wir, die Aktivierung von VPC Service Controls im Voraus zu planen und VPC Service Controls während der Architekturgestaltung in Betracht zu ziehen. Es ist wichtig, VPC Service Controls so einfach wie möglich zu halten. Vermeiden Sie Perimeterentwürfe, die mehrere Bridges, Perimeternetzwerkprojekte oder einen DMZ-Perimeter und komplexe Zugriffsebenen verwenden.
Gemeinsamen einheitlichen Perimeter verwenden
Ein einzelner großer Perimeter, der als gemeinsamer einheitlicher Perimeter bezeichnet wird, bietet im Vergleich zur Verwendung mehrerer segmentierter Perimeter den effektivsten Schutz vor Daten-Exfiltration.
Ein gemeinsamer einheitlicher Perimeter bietet auch den Vorteil eines geringeren Verwaltungsaufwands für die Teams, die für die Erstellung und Wartung des Perimeters verantwortlich sind. Da Dienste und Netzwerkressourcen innerhalb eines Perimeters mit den erforderlichen IAM- und Netzwerksteuerungsberechtigungen frei kommunizieren können, kümmern sich die für die Perimeterverwaltung zuständigen Teams hauptsächlich um den Nord-Süd-Zugriff, also den Zugriff über das Internet auf Ressourcen innerhalb des Perimeters.
Wenn eine Organisation mehrere kleinere Perimeter verwendet, müssen die Perimeterverwaltungsteams neben dem Nord-Süd-Traffic von außerhalb der Organisation auch Ressourcen für die Verwaltung des Ost-West-Traffics zwischen den Perimetern der Organisation aufwenden. Je nach Größe der Organisation und Anzahl der Perimeter kann dieser Overhead beträchtlich sein. Wir empfehlen, Ihren Perimeter mit zusätzlichen Sicherheitskontrollen und Best Practices zu versehen, z. B. dafür zu sorgen, dass Ressourcen innerhalb des VPC-Netzwerk keinen direkten Internet-Ausgang haben.
Dienstperimeter sollen IAM-Kontrollen nicht ersetzen oder deren Notwendigkeit verringern. Wenn Sie Zugriffssteuerungen definieren, sollten Sie darauf achten, dass das Prinzip der geringsten Berechtigung eingehalten und IAM-Best Practices angewendet werden.
Weitere Informationen finden Sie unter Dienstperimeter erstellen.
Mehrere Perimeter in einer Organisation verwenden
Bestimmte Anwendungsfälle erfordern möglicherweise mehrere Perimeter für eine Organisation. Eine Organisation, die mit Gesundheitsdaten arbeitet, kann beispielsweise einen Perimeter für vertrauliche, nicht verschleierte Daten und einen separaten Perimeter für de-identifizierte Daten auf niedrigerer Stufe verwenden, um die Freigabe an externe Entitäten zu erleichtern und gleichzeitig die vertraulichen Daten zu schützen.
Wenn Ihre Organisation Standards wie den PCI DSS einhalten möchte, sollten Sie einen separaten Perimeter für Ihre regulierten Daten festlegen.
Wenn die Datenfreigabe für Ihre Organisation der primäre Anwendungsfall ist, sollten Sie mehr als einen Perimeter verwenden. Wenn Sie Daten auf niedrigerer Stufe wie de-identifizierte Patientendaten erstellen und freigeben, können Sie einen separaten Perimeter verwenden, um die Freigabe an externe Entitäten zu erleichtern. Weitere Informationen finden Sie in den Referenzmustern für den sicheren Datenaustausch.
Wenn Sie Ihre Google Cloud-Organisation nutzen, um unabhängige dritte Mandanten wie Partner oder Kunden zu hosten, sollten Sie außerdem für jeden Mandanten einen Perimeter definieren. Wenn Sie die Datenübertragung von einem dieser Mandanten zu einem anderen als Exfiltration betrachten, sollten Sie einen separaten Perimeter implementieren.
Perimeterdesign
Wir empfehlen, beim Erstellen eines Perimeters alle geschützten Dienste zu aktivieren, um die Komplexität der Betriebsabläufe zu verringern und potenzielle Exfiltrationsvektoren zu minimieren. Da APIs, die nicht geschützt sind, die Anzahl der möglichen Exfiltrationsvektoren erhöhen, sollten Überprüfungen und Begründungen erfolgen, wenn Ihr Unternehmen eine API schützt und eine andere nicht.
Alle neuen Projekte sollten das in den folgenden Abschnitten beschriebene Prüfungs- und Qualifikationsverfahren durchlaufen. Fügen Sie alle Projekte, die die Qualifikationsbedingungen erfüllen, in den Perimeter ein.
Achten Sie darauf, dass von keiner der VPCs im Perimeter ein Pfad zur privaten VIP führt. Wenn Sie eine Netzwerkroute zu private.googleapis.com zulassen, heben Sie den VPC Service Controls-Schutz vor Insider-Daten-Exfiltration auf. Wenn Sie den Zugriff auf einen nicht unterstützten Dienst zulassen müssen, versuchen Sie, die Verwendung nicht unterstützter Dienste in einem separaten Projekt zu isolieren, oder verschieben Sie die gesamte Arbeitslast aus dem Perimeter.
Projekte prüfen und qualifizieren
Ein typisches Unternehmen hat viele Projekte, die Arbeitslasten und übergeordnete Strukturen wie Steuerungsebenen, Data Lakes, Geschäftseinheiten und Lebenszyklusphasen darstellen. Zusätzlich zum Organisieren dieser Projekte und Komponenten in Ordnern empfehlen wir Ihnen, sie in oder außerhalb eines Perimeters von VPC Service Controls zu qualifizieren. Berücksichtigen Sie dabei die folgenden Fragen:
Gibt es eine Komponente, die zwingend von einem Dienst abhängt, der von VPC Service Controls nicht unterstützt wird?
Die Durchsetzung von VPC Service Controls ist eindeutig. Diese Art von Abhängigkeit funktioniert daher möglicherweise nicht in einem Perimeter. Wir empfehlen, die Arbeitslast so zu ändern, dass die Anforderung für nicht unterstützte Dienste in einem separaten Projekt isoliert, oder die Arbeitslast vollständig aus dem Perimeter zu verschieben.
Gibt es eine Komponente, die keine sensiblen Daten enthält und keine sensiblen Daten aus anderen Projekten nutzt?
Wenn Sie eine der vorherigen Fragen mit „Ja“ beantwortet haben, empfehlen wir, das Projekt nicht in einen Perimeter zu verschieben. Sie können dieses Problem umgehen, wie im Abschnitt Zulassungsliste-Design beschrieben. Wir empfehlen jedoch, die Perimeter-Komplexität zu minimieren.
Nächste Schritte
- Dienstperimeter erstellen.
- Weitere Informationen zum Testen der Auswirkungen eines Perimeters mit dem Modus „Probelauf“
- Regeln für eingehenden und ausgehenden Traffic, die die Kommunikation zwischen Dienstperimetern ermöglichen