Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls

Dieses Thema bietet eine Übersicht über VPC Service Controls und seine Vorteile und Funktionen.

Wer sollte VPC Service Controls verwenden?

Ihre Organisation besitzt möglicherweise geistiges Eigentum in Form von hochsensiblen Daten oder Ihre Organisation verarbeitet sensible Daten, die zusätzlichen Datenschutzbestimmungen wie dem PCI-DSS unterliegen. Der unbeabsichtigte Verlust oder die unbeabsichtigte Offenlegung sensibler Daten kann zu erheblichen negativen geschäftlichen Auswirkungen führen.

Wenn Sie von einer lokalen Umgebung zur Cloud migrieren, besteht eines Ihrer Ziele möglicherweise darin, Ihre lokale netzwerkbasierte Sicherheitsarchitektur zu replizieren, während Sie Ihre Daten zu Google Cloud verschieben. Zum Schutz Ihrer hochsensiblen Daten sollten Sie dafür sorgen, dass nur von vertrauenswürdigen Netzwerken auf Ihre Ressourcen zugegriffen werden kann. Einige Organisationen lassen den öffentlichen Zugriff auf Ressourcen zu, solange die Anfrage von einem vertrauenswürdigen Netzwerk stammt, das anhand der IP-Adresse der Anfrage identifiziert werden kann.

Um das Risiko der Daten-Exfiltration zu minimieren, sollte Ihre Organisation auch für einen sicheren Datenaustausch über Unternehmensgrenzen hinweg mit detaillierten Kontrollen sorgen. Als Administrator möchten Sie möglicherweise Folgendes sicherstellen:

Kunden mit privilegiertem Zugriff haben keinen Zugriff auf Partnerressourcen.
Clients mit Zugriff auf sensible Daten können öffentliche Datasets nur lesen, aber nicht in diese schreiben.

So verringert VPC Service Controls das Risiko der Daten-Exfiltration

VPC Service Controls schützt vor versehentlichen oder gezielten Aktionen externer Entitäten oder Insiderentitäten. Dadurch wird das Risiko einer unbefugten Daten-Exfiltration aus Google Cloud-Diensten wie Cloud Storage und BigQuery minimiert. Mit VPC Service Controls können Sie Perimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie explizit angeben.

VPC Service Controls definiert die folgenden Kontrollen zum Schutz Ihrer Google Cloud-Dienste:

Clients innerhalb eines Perimeters, die privaten Zugriff auf Ressourcen haben, haben keinen Zugriff auf nicht autorisierte (potenziell öffentliche) Ressourcen außerhalb des Perimeters.
Mit Dienstvorgängen wie gsutil cp oder bq mk ist es nicht möglich, Daten in nicht autorisierte Ressourcen außerhalb des Perimeters zu kopieren.
Der Datenaustausch zwischen Clients und Ressourcen, die durch Perimeter getrennt sind, wird mithilfe von Regeln für eingehenden und ausgehenden Traffic geschützt.
Der kontextsensitive Zugriff auf Ressourcen basiert auf Clientattributen wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkursprung (IP-Adresse oder VPC-Netzwerk). Im Folgenden finden Sie Beispiele für kontextsensitiven Zugriff:
- Clients außerhalb des Perimeters, die sich in Google Cloud oder lokal befinden, befinden sich in autorisierten VPC-Ressourcen und verwenden den privater Google-Zugriff, um auf Ressourcen innerhalb eines Perimeters zuzugreifen.
- Der Internetzugriff auf Ressourcen innerhalb eines Perimeters ist auf einen Bereich von IPv4- und IPv6-Adressen beschränkt.
Weitere Informationen finden Sie unter Kontextsensitiver Zugriff mit Regeln für eingehenden Traffic.

VPC Service Controls bietet eine weitere Sicherheitsebene für Google Cloud-Dienste, die unabhängig von der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von IAM ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, einschließlich der Kontrolle ausgehender Datenübertragungen im gesamten Perimeter. Für einen tiefer greifenden Schutz Ihrer Umgebung empfehlen wir, VPC Service Controls und Cloud IAM zu kombinieren.

Mit VPC Service Controls können Sie Ressourcenzugriffsmuster in Ihren Dienstperimetern mithilfe von Cloud-Audit-Logs überwachen. Weitere Informationen finden Sie unter Audit-Logging für VPC Service Controls.

Sicherheitsvorteile von VPC Service Controls

Mit VPC Service Controls können Sie die folgenden Sicherheitsrisiken mindern, ohne die Leistungsvorteile eines direkten privaten Zugriffs auf Google Cloud-Ressourcen zu beeinträchtigen:

Zugriff aus nicht autorisierten Netzwerken mit gestohlenen Anmeldedaten: VPC Service Controls erlaubt nur privaten Zugriff aus autorisierten VPC-Netzwerken und schützt vor dem Risiko einer Daten-Exfiltration durch Clients, die gestohlene OAuth- oder Dienstkonto-Anmeldedaten verwenden.
Daten-Exfiltration durch böswillige Insider oder manipulierten Code: VPC Service Controls verhindert, dass Clients innerhalb eines geschützten Netzwerks auf Ressourcen aus von Google verwalteten Diensten außerhalb des Perimeters zugreifen. Dadurch erhalten Sie zusätzliche Kontrolle über den ausgehenden Netzwerk-Traffic.

VPC Service Controls verhindert auch das Lesen von Daten aus einer Ressource außerhalb des Perimeters oder das Kopieren von Daten in eine solche Ressource. VPC Service Controls verhindert Dienstvorgänge wie das Kopieren mit dem gsutil cp-Befehl in einen öffentlichen Cloud Storage-Bucket oder das Kopieren mit dem bq mk-Befehl in eine permanente externe BigQuery-Tabelle.

Google Cloud bietet außerdem eine eingeschränkte virtuelle IP-Adresse, die in VPC Service Controls eingebunden ist. Mit der eingeschränkten VIP können auch Anfragen an von VPC Service Controls unterstützte Dienste gesendet werden, ohne diese Anfragen im Internet verfügbar zu machen.
Unbeabsichtigte Veröffentlichung privater Daten durch falsch konfigurierte IAM-Richtlinien: VPC Service Controls verweigert den Zugriff aus nicht autorisierten Netzwerken, selbst wenn Daten durch falsch konfigurierte IAM-Richtlinien öffentlich verfügbar gemacht werden und bietet so eine weitere Sicherheitsebene.
Zugriff auf Dienste überwachen: Verwenden Sie VPC Service Controls im Probelaufmodus, um Anfragen an geschützte Dienste zu überwachen, ohne den Zugriff zu verhindern, und um Traffic-Anfragen für Ihre Projekte zu verstehen. Sie können auch Honeypot-Perimeter erstellen, um unerwartete oder böswillige Versuche zu identifizieren, zugängliche Dienste zu prüfen.

Sie können eine Zugriffsrichtlinie für eine Organisation verwenden und VPC Service Controls für Ihre gesamte Google Cloud-Organisation konfigurieren oder Richtlinien mit Geltungsbereich verwenden und VPC Service Controls für einen Ordner oder ein Projekt in der Organisation konfigurieren. So behalten Sie die Flexibilität, Daten innerhalb des Perimeters zu verarbeiten, umzuwandeln und zu kopieren.

VPC Service Controls-Konfigurationen werden standardmäßig auf Organisationsebene verwaltet. Mit bereichsspezifischen Zugriffsrichtlinien für Ordner oder Projekte können Sie die Verwaltung von Dienstperimetern jedoch in der Ressourcenhierarchie delegieren.

VPC Service Controls und Metadaten

VPC Service Controls ist nicht dafür konzipiert, umfassende Kontrollen für die Übertragung von Metadaten durchzusetzen.

In diesem Kontext sind Daten als Inhalte definiert, die in einer Google Cloud-Ressource gespeichert sind. Beispiel: der Inhalt eines Cloud Storage-Objekts. Metadaten werden als Attribute der Ressource oder ihrer übergeordneten Ressource definiert. z. B. Namen von Cloud Storage-Buckets.

Das primäre Ziel von VPC Service Controls besteht darin, die Übertragung von Daten, nicht von Metadaten, in einem Dienstperimeter mithilfe von unterstützten Diensten zu steuern. VPC Service Controls verwaltet auch den Zugriff auf Metadaten. Es kann jedoch Szenarien geben, in denen Metadaten ohne Richtlinienprüfungen durch VPC Service Controls kopiert und aufgerufen werden können.

Sie sollten IAM einschließlich benutzerdefinierter Rollen verwenden, um den Zugriff auf Metadaten angemessen zu steuern.

Funktionen

Mit VPC Service Controls können Sie Sicherheitsrichtlinien definieren, die den Zugriff auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters verhindern, den Zugriff auf Daten von nicht vertrauenswürdigen Standorten blockieren und das Risiko der Daten-Exfiltration minimieren.

Sie können VPC Service Controls für die folgenden Anwendungsfälle verwenden:

Google Cloud-Ressourcen in Dienstperimetern isolieren

Ein Dienstperimeter zieht eine Sicherheitsgrenze um Google Cloud-Ressourcen. Ein Dienstperimeter ermöglicht die uneingeschränkte Kommunikation innerhalb des Perimeters, blockiert jedoch standardmäßig die Kommunikation mit Google Cloud-Diensten im Perimeter.

Der Perimeter funktioniert speziell mit verwalteten Google Cloud-Diensten. Der Perimeter blockiert nicht den Zugriff auf APIs oder Dienste von Drittanbietern im Internet.

Sie können einen Perimeter konfigurieren, um die folgenden Kommunikationsarten zu steuern:

Vom öffentlichen Internet zu Kundenressourcen in verwalteten Diensten
Von virtuellen Maschinen (VMs) zu einem Google Cloud-Dienst (API)
Zwischen Google Cloud-Diensten

Für VPC Service Controls ist kein VPC-Netzwerk (Virtual Private Cloud) erforderlich. Wenn Sie VPC Service Controls ohne Ressourcen in einem VPC-Netzwerk verwenden möchten, können Sie Traffic von externen IP-Bereichen oder bestimmten IAM-Hauptkonten zulassen. Weitere Informationen finden Sie unter Zugriffsebenen erstellen und verwalten.

Im Folgenden finden Sie einige Beispiele für VPC Service Controls, die eine Sicherheitsgrenze erstellen:

Eine VM in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, kann Daten aus einem Cloud Storage-Bucket im selben Perimeter lesen oder in diesen schreiben. VPC Service Controls lässt jedoch nicht zu, dass VMs in VPC-Netzwerken, die sich außerhalb des Perimeters befinden, auf Cloud Storage-Buckets zugreifen, die sich innerhalb des Perimeters befinden. Sie müssen eine Richtlinie für eingehenden Traffic angeben, damit VMs in VPC-Netzwerken außerhalb des Perimeters auf Cloud Storage-Buckets innerhalb des Perimeters zugreifen können.
Ein Hostprojekt, das mehrere VPC-Netzwerke enthält, hat für jedes VPC-Netzwerk im Hostprojekt eine andere Perimeterrichtlinie.
Ein Kopiervorgang zwischen zwei Cloud Storage-Buckets ist erfolgreich, wenn sich beide Buckets im selben Dienstperimeter befinden. Wenn sich jedoch einer der Buckets außerhalb des Perimeters befindet, schlägt der Kopiervorgang fehl.
VPC Service Controls lässt keine VM in einem VPC-Netzwerk innerhalb eines Dienstperimeters zu, die auf Cloud Storage-Buckets außerhalb des Perimeters zuzugreift.

Das folgende Diagramm zeigt einen Dienstperimeter, der die Kommunikation zwischen einem VPC-Projekt und einem Cloud Storage-Bucket innerhalb des Perimeters ermöglicht, aber die gesamte Kommunikation über den Perimeter blockiert:

Perimeter auf ein autorisiertes VPN oder Cloud Interconnect erweitern

Sie können private Kommunikation mit Google Cloud-Ressourcen aus VPC-Netzwerken konfigurieren, die hybride Umgebungen mit lokalen Erweiterungen für privaten Google-Zugriff umfassen. Für den privaten Zugriff auf Google Cloud-Ressourcen innerhalb eines Perimeters muss das VPC-Netzwerk, das die Landing Zone aus dem lokalen Netzwerk enthält, Teil des Perimeters für Ressourcen im lokalen Netzwerk sein.

VMs mit privaten IP-Adressen in einem durch einen Dienstperimeter gesicherten VPC-Netzwerk können nicht auf verwaltete Ressourcen außerhalb des Dienstperimeters zugreifen. Bei Bedarf können Sie den geprüften und geprüften Zugriff auf alle Google APIs (z. B. Gmail) über das Internet weiterhin aktivieren.

Das folgende Diagramm zeigt einen Dienstperimeter, der auf Hybridumgebungen mit privatem Google-Zugriff erweitert wird:

Zugriff auf Google Cloud-Ressourcen über das Internet steuern

Verwaltete Ressourcen, die sich innerhalb eines Dienstperimeters befinden, können standardmäßig nicht über das Internet aufgerufen werden. Sie können den Zugriff optional auch basierend auf dem Kontext der Anfrage aktivieren. Dazu können Sie Eingangsregeln oder Zugriffsebenen erstellen, um den Zugriff anhand verschiedener Attribute wie der Quell-IP-Adresse, der Identität oder dem Google Cloud-Quellprojekt zuzulassen. Wenn Anfragen aus dem Internet die in der Eingangsregel oder Zugriffsebene definierten Kriterien nicht erfüllen, werden sie abgelehnt.

Wenn Sie für den Zugriff auf Ressourcen innerhalb eines Perimeters die Google Cloud Console verwenden möchten, müssen Sie eine Zugriffsebene konfigurieren, die den Zugriff aus einem oder mehreren IPv4- und IPv6-Bereichen oder von bestimmten Nutzerkonten ermöglicht.

Das folgende Diagramm zeigt einen Dienstperimeter, der den Zugriff aus dem Internet auf geschützte Ressourcen basierend auf den konfigurierten Zugriffsebenen ermöglicht, z. B. IP-Adresse oder Geräterichtlinie:

Weitere Einstellungen zum Minimieren des Risikos der Daten-Exfiltration

Domaineingeschränkte Freigabe: Sie können eine Organisationsrichtlinie einrichten, um die Ressourcenfreigabe auf Identitäten zu beschränken, die zu einer bestimmten Organisationsressource gehören. Weitere Informationen finden Sie unter Identitäten nach Domain einschränken.
Einheitlicher Zugriff auf Bucket-Ebene: Um den Zugriff auf Ihre Cloud Storage-Buckets einheitlich zu steuern, sollten Sie IAM-Berechtigungen auf Bucket-Ebene einrichten. Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie andere Google Cloud-Sicherheitsfeatures wie die domaineingeschränkte Freigabe, die Mitarbeiteridentitätsföderation und IAM-Bedingungen verwenden.
Multi-Faktor-Authentifizierung: Wir empfehlen, die Multi-Faktor-Authentifizierung für den Zugriff auf Ihre Google Cloud-Ressourcen zu verwenden.
Automatisierung mit Infrastruktur-als-Code-Tools: Wir empfehlen, dass Sie Cloud Storage-Buckets mit einem Automatisierungstool bereitstellen, um den Zugriff auf die Buckets zu steuern. Sie müssen die Infrastruktur als Code vor der Bereitstellung manuell oder automatisch überprüfen lassen.
Scans nach der Bereitstellung: Sie können die folgenden Scantools nach der Bereitstellung verwenden, um nach offenen Cloud Storage-Buckets zu suchen:
- Security Command Center
- Cloud Asset Inventory zum Durchsuchen des Asset-Metadatenverlaufs und Analysieren der IAM-Richtlinie, um zu verstehen, wer worauf Zugriff hat.
- Drittanbietertools wie Palo Alto PrismaCloud
De-Identifikation sensibler Daten: Sie können den Schutz sensibler Daten verwenden, um sensible Daten innerhalb und außerhalb von Google Cloud zu ermitteln, zu klassifizieren und zu de-identifizieren. Die De-Identifikation sensibler Daten kann durch Entfernen, Tokenisierung oder Verschlüsselung erfolgen.

Nicht unterstützte Dienste

Weitere Informationen zu Produkten und Diensten, die von VPC Service Controls unterstützt werden, finden Sie auf der Seite Unterstützte Produkte.

Warnung: Möglicherweise können auch nicht unterstützte Dienste für den Zugriff auf Daten von unterstützten Produkten und Diensten aktiviert werden. Dies wird jedoch nicht empfohlen. Wenn Sie versuchen, mit einem nicht unterstützten Dienst auf einen unterstützten zuzugreifen, können unerwartete Probleme auftreten. Dies gilt insbesondere für Zugriffe innerhalb desselben Projekts.

Bei Aktivierung in einem durch VPC Service Controls geschützten Projekt funktionieren nicht unterstützte Dienste möglicherweise gar nicht, vor allem wenn Speicherdienste auf niedriger Ebene wie Cloud Storage oder Cloud Pub/Sub eingeschränkt sind. Wir empfehlen, nicht unterstützte Dienste in Projekten außerhalb von Perimetern bereitzustellen. Damit diese Dienste auf Daten in Ressourcen innerhalb eines Perimeters zugreifen können, erstellen Sie eine Zugriffsebene, die das Dienstkonto für diesen Dienst enthält und wenden Sie es nach Bedarf auf Perimeter an.

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Bekannte Einschränkungen

Bei der Verwendung von VPC Service Controls gelten einige bekannte Einschränkungen bei bestimmten Google Cloud-Diensten, -Produkten und -Schnittstellen. VPC Service Controls unterstützt beispielsweise nicht alle Google Cloud-Dienste. Aktivieren Sie daher nicht unterstützte Google Cloud-Dienste im Perimeter. Weitere Informationen finden Sie in der Liste der von VPC Service Controls unterstützten Produkte. Wenn Sie einen Dienst verwenden müssen, der von VPC Service Controls nicht unterstützt wird, aktivieren Sie den Dienst in einem Projekt außerhalb des Perimeters.

Wir empfehlen, bekannte Einschränkungen zu prüfen, bevor Sie Google Cloud-Dienste in den Perimeter aufnehmen. Weitere Informationen finden Sie unter VPC Service Controls-Diensteinschränkungen.

Glossar

In diesem Thema wurden im Zusammenhang mit VPC Service Controls mehrere neue Begriffe eingeführt:

VPC Service Controls: Eine Technologie, mit der Sie einen Dienstperimeter für Ressourcen aus von Google verwalteten Diensten definieren können, um die Kommunikation mit und zwischen diesen Diensten zu steuern.
Dienstperimeter: Ein Dienstparameter um Google verwaltete Ressourcen. Dieser Bereich ermöglicht die freie Kommunikation innerhalb des Perimeters, unterbindet aber standardmäßig die gesamte Kommunikation über die Perimetergrenzen hinaus.
Regel für eingehenden Traffic: Eine Regel, die einem API-Client, der sich außerhalb des Perimeters befindet, den Zugriff auf Ressourcen innerhalb eines Perimeters ermöglicht. Weitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.
Regel für ausgehenden Traffic: Eine Regel, die einem API-Client oder einer Ressource innerhalb des Perimeters den Zugriff auf Google Cloud-Ressourcen außerhalb des Perimeters gewährt. Der Perimeter blockiert nicht den Zugriff auf APIs oder Dienste von Drittanbietern im Internet.
Dienstperimeter-Bridge: Eine Perimeter-Bridge ermöglicht die Kommunikation zwischen Projekten in unterschiedlichen Dienstperimetern. Perimeter-Bridges funktionieren bidirektional. Die Projekte in jedem Dienstperimeter haben die gleichen Zugriffsrechte.

Hinweis: Anstatt eine Perimeter-Bridge zu verwenden, empfehlen wir die Verwendung von Regeln für eingehenden und ausgehenden Traffic, die detailliertere Kontrollen bieten.
Access Context Manager: Ein kontextsensitiver Dienst zur Anfragenklassifizierung, der eine Anfrage anhand der angegebenen Attribute eines Clients, z. B. der Quell-IP-Adresse, einer Zugriffsebene zuordnen kann. Weitere Informationen finden Sie in der Übersicht über Access Context Manager.
Zugriffsebene: Eine Klassifizierung von Anfragen über das Internet, die auf mehreren Attributen basiert, z. B. Quell-IP-Bereich, Clientgerät, Standortbestimmung usw. Genau wie bei einer Regel für eingehenden Traffic können Sie mit einer Zugriffsebene einen Dienstperimeter so konfigurieren, dass Zugriff aus dem Internet basierend auf der mit der Anfrage verknüpften Zugriffsebene gewährt wird. Sie können eine Zugriffsebene mit Access Context Manager erstellen.
Zugriffsrichtlinie: Ein Google Cloud-Ressourcenobjekt, das Dienstperimeter definiert. Neben einer Zugriffsrichtlinie, die für die gesamte Organisation gelten kann, können Sie Zugriffsrichtlinien erstellen, die auf bestimmte Ordner oder Projekte beschränkt sind. Eine Organisation kann nur eine Zugriffsrichtlinie auf Organisationsebene haben.
beschränkte Richtlinie: Eine beschränkte Richtlinie ist eine Zugriffsrichtlinie, die neben einer Zugriffsrichtlinie für die gesamte Organisation auf bestimmte Ordner oder Projekte beschränkt ist. Weitere Informationen finden Sie unter Übersicht über Bereichsrichtlinien.
Eingeschränkte VIP: Die eingeschränkte VIP stellt eine private Netzwerkroute für Produkte und APIs bereit, die von VPC Service Controls unterstützt werden. So können die von diesen Produkten verwendeten Daten und Ressourcen nicht über das Internet zugänglich gemacht werden. restricted.googleapis.com wird in 199.36.153.4/30 aufgelöst. Dieser IP-Adressbereich wird nicht für das Internet freigegeben.