Questo documento descrive le architetture di deployment consigliate per i Controlli di servizio VPC. Questo documento è rivolto ad amministratori di rete, architetti della sicurezza e professionisti delle operazioni cloud che gestiscono ed eseguono deployment di grandi dimensioni su larga scala su Google Cloud e che vogliono ridurre il rischio di perdita di dati sensibili.
Poiché la protezione dei Controlli di servizio VPC influisce sulla funzionalità dei servizi cloud, ti consigliamo di pianificare in anticipo l'attivazione dei Controlli di servizio VPC e di tenerli in considerazione durante la progettazione dell'architettura. È importante mantenere il design dei Controlli di servizio VPC il più semplice possibile. Ti consigliamo di evitare progetti di perimetro che utilizzano più ponti, progetti di rete perimetrale o un perimetro DMZ, e livelli di accesso complessi.
Utilizzare un perimetro unificato comune
Un unico perimetro di grandi dimensioni, denominato perimetro unificato comune, offre la protezione più efficace contro l'esfiltrazione di dati rispetto all'utilizzo di più perimetri segmentati.
Un perimetro unificato comune offre anche il vantaggio di un minore aggravio di gestione per i team responsabili della creazione e della manutenzione del perimetro. Poiché i servizi e le risorse di rete all'interno di un perimetro possono comunicare liberamente con le autorizzazioni IAM e di controllo della rete necessarie, i team responsabili della gestione del perimetro si occuperanno principalmente dell'accesso nord-sud, ovvero dall'accesso da internet alle risorse all'interno del perimetro.
Quando un'organizzazione utilizza più perimetri più piccoli, i team di gestione dei perimetri devono dedicare risorse alla gestione del traffico est-ovest tra i perimetri di un'organizzazione, oltre al traffico nord-sud dall'esterno dell'organizzazione. A seconda delle dimensioni dell'organizzazione e del numero di perimetri, questo overhead può essere considerevole. Ti consigliamo di applicare più livelli al perimetro con controlli di sicurezza e best practice aggiuntivi, ad esempio assicurarti che le risorse all'interno della rete VPC non abbiano un'uscita diretta su internet.
I perimetri di servizio non sono pensati per sostituire o ridurre la necessità di controlli IAM. Quando definisci i controlli di accesso, ti consigliamo di assicurarti che venga seguito il principio del privilegio minimo e che vengano applicate le best practice IAM.
Per saperne di più, consulta la sezione Creare un perimetro di servizio.
Utilizzare più perimetri in un'organizzazione
Alcuni casi d'uso potrebbero richiedere più perimetri per un'organizzazione. Ad esempio, un'organizzazione che gestisce dati sanitari potrebbe volere un perimetro per i dati ad alta affidabilità non offuscati e un perimetro separato per i dati anonimizzati di livello inferiore per facilitare la condivisione con entità esterne, proteggendo al contempo i dati ad alta affidabilità.
Se la tua organizzazione vuole rispettare standard come il PCI DSS, potrebbe essere consigliabile creare un perimetro separato per i dati regolamentati.
Se la condivisione dei dati è un caso d'uso principale per la tua organizzazione, ti consigliamo di utilizzare più di un perimetro. Se produci e condividi dati di livello inferiore, come i dati sanitari dei pazienti anonimizzati, puoi utilizzare un perimetro separato per semplificare la condivisione con entità esterne. Per saperne di più, consulta i pattern di riferimento per lo scambio di dati sicuri.
Inoltre, se utilizzi la tua organizzazione Google Cloud per ospitare tenant di terze parti indipendenti, come partner o clienti, ti consigliamo di definire un perimetro per ogni tenant. Se ritieni che il trasferimento dei dati da uno di questi tenant a un altro sia un'esfiltrazione, ti consigliamo di implementare un perimetro distinto.
Progettazione del perimetro
Ti consigliamo di attivare tutti i servizi protetti quando crei un perimetro, in modo da ridurre la complessità operativa e ridurre al minimo i potenziali vettori di esfiltrazione. Poiché lasciare le API non protette aumenta i possibili vettori di esfiltrazione, devono essere presenti revisioni e giustificazioni se la tua organizzazione sceglie di proteggere una API e non un'altra.
Tutti i nuovi progetti devono essere sottoposti alla procedura di revisione e qualifica descritta nelle sezioni seguenti. Includi nel perimetro tutti i progetti che soddisfano le condizioni di idoneità.
Assicurati che non esista un percorso per il VIP privato da nessuno dei VPC nel perimetro. Se consenti un percorso di rete a private.googleapis.com, annullerai la protezione di Controlli di servizio VPC dall'esfiltrazione di dati interni. Se devi consentire l'accesso a un servizio non supportato, prova a isolare l'utilizzo di questi servizi in un progetto separato o sposta l'intero carico di lavoro all'esterno del perimetro.
Rivedi e qualifica i progetti
Un'azienda tipica ha molti progetti che rappresentano carichi di lavoro e costrutti di alto livello come piani di controllo, data lake, unità aziendali e fasi del ciclo di vita. Oltre a organizzare questi progetti e componenti in cartelle, consigliamo di classificarli come all'interno o all'esterno di un perimetro di Controlli di servizio VPC. Per ottenere la certificazione, poniti le seguenti domande:
Esiste un componente con una dipendenza rigida da un servizio non supportato da Controlli di servizio VPC?
L'applicazione dei Controlli di servizio VPC è chiara, pertanto questo tipo di dipendenza potrebbe non funzionare in un perimetro. Ti consigliamo di modificare il carico di lavoro per isolare il requisito per i servizi non supportati in un progetto separato o di spostare del tutto il carico di lavoro dal perimetro.
Esiste un componente che non contiene dati sensibili e non utilizza dati sensibili di altri progetti?
Se hai risposto sì a una delle domande precedenti, ti consigliamo di non inserire il progetto in un perimetro. Puoi aggirare il problema, come spiegato nell'argomento Design della lista consentita. Tuttavia, ti consigliamo di ridurre al minimo la complessità del perimetro.
Passaggi successivi
- Scopri come creare un perimetro di servizio.
- Scopri come testare l'impatto di un perimetro utilizzando la modalità di prova.
- Scopri le regole di ingresso e uscita che consentono la comunicazione tra i perimetri di servizio.