Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls

Dieses Thema bietet einen Überblick über VPC Service Controls und beschreibt seine Vorteile und Funktionen.

Wer sollte VPC Service Controls verwenden?

Ihr Unternehmen verfügt möglicherweise über geistiges Eigentum in Form von hochgradig oder Ihre Organisation mit sensiblen Daten umgeht, zusätzliche Datenschutzbestimmungen wie PCI-DSS. Unbeabsichtigter Verlust oder die Offenlegung sensibler Daten kann zu erheblichen negativen Geschäftsergebnissen führen die Auswirkungen.

Bei der Migration von lokalen Umgebungen in die Cloud könnte eines Ihrer Ziele sein: zur Replikation Ihrer lokalen netzwerkbasierten Sicherheitsarchitektur zu Google Cloud übertragen. Zum Schutz Ihrer hochsensiblen Daten damit nur über vertrauenswürdige Netzwerke auf Ihre Ressourcen zugegriffen werden kann. Einige Organisationen den öffentlichen Zugriff auf Ressourcen erlauben, stammt aus einem vertrauenswürdigen Netzwerk, das anhand der IP-Adresse identifiziert werden kann, Adresse des Antrags.

Um das Risiko der Daten-Exfiltration zu minimieren, sollte Ihre Organisation sicherer Datenaustausch über Unternehmensgrenzen hinweg mit fein abgestuften Steuerelementen. Als Administrator sollten Sie auf Folgendes achten:

Kunden mit privilegiertem Zugriff haben keinen Zugriff auf Partnerressourcen.
Clients mit Zugriff auf sensible Daten können nur öffentliche Datasets lesen, aber nicht an sie zu schreiben.

So verringert VPC Service Controls das Risiko der Daten-Exfiltration

VPC Service Controls schützt vor versehentlichen oder gezielten Aktionen durch externe Stellen oder Insider das Risiko einer Daten-Exfiltration durch Google Cloud-Dienste wie Cloud Storage und BigQuery Mit VPC Service Controls können Sie Perimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie explizit angeben.

VPC Service Controls schützt Ihre Google Cloud-Dienste durch Definition der folgende Einstellungen:

Clients innerhalb eines Perimeters, die privaten Zugriff auf Ressourcen haben, haben keinen Zugriff auf nicht autorisierte (potenziell öffentliche) Ressourcen außerhalb des Perimeters.
Mit Dienstvorgängen wie gsutil cp oder bq mk ist es nicht möglich, Daten in nicht autorisierte Ressourcen außerhalb des Perimeters zu kopieren.
Datenaustausch zwischen Clients und Ressourcen, getrennt durch Perimeter wird durch Regeln für eingehenden und ausgehenden Traffic gesichert.
Der kontextsensitive Zugriff auf Ressourcen basiert auf Clientattributen wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkursprung (IP-Adresse oder VPC-Netzwerk). Im Folgenden finden Sie Beispiele für kontextsensitiven Zugriff:
- Clients außerhalb des Perimeters, die sich in Google Cloud befinden oder befinden sich innerhalb autorisierter VPC-Ressourcen und verwenden Privater Google-Zugriff für den Zugriff auf Ressourcen innerhalb eines Perimeters.
- Der Internetzugriff auf Ressourcen innerhalb eines Perimeters ist auf einen Bereich von IPv4- und IPv6-Adressen beschränkt.
Weitere Informationen finden Sie unter Kontextsensitiver Zugriff mit Regeln für eingehenden Traffic

VPC Service Controls bietet eine weitere Sicherheitsebene für Google Cloud-Dienste, die unabhängig von der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von IAM ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, einschließlich der Kontrolle ausgehender Datenübertragungen im gesamten Perimeter. Für einen tiefer greifenden Schutz Ihrer Umgebung empfehlen wir, VPC Service Controls und Cloud IAM zu kombinieren.

Mit VPC Service Controls können Sie Zugriffsmuster für Ressourcen Dienstperimeter mithilfe von Cloud-Audit-Logs erstellt. Weitere Informationen finden Sie unter Audit-Logging für VPC Service Controls

Sicherheitsvorteile von VPC Service Controls

Mit VPC Service Controls können Sie die folgenden Sicherheitsrisiken mindern, ohne die Leistungsvorteile eines direkten privaten Zugriffs auf Google Cloud-Ressourcen zu beeinträchtigen:

Zugriff aus nicht autorisierten Netzwerken mit gestohlenen Anmeldedaten: der privaten Zugriff nur von autorisierten VPC-Netzwerken aus ermöglicht, VPC Service Controls schützt vor Daten-Exfiltration die von Clients mit gestohlenen OAuth- oder Dienstkonto-Anmeldedaten ausgegeben werden.
Daten-Exfiltration durch böswillige Insider oder manipulierten Code: VPC Service Controls verhindert, dass Clients innerhalb eines geschützten Netzwerks auf Ressourcen aus von Google verwalteten Diensten außerhalb des Perimeters zugreifen. Dadurch erhalten Sie zusätzliche Kontrolle über den ausgehenden Netzwerk-Traffic.

VPC Service Controls verhindert auch das Lesen von Daten aus einer Ressource außerhalb des Perimeters oder das Kopieren von Daten in eine solche Ressource. VPC Service Controls verhindert Dienstvorgänge wie das Kopieren mit dem gsutil cp-Befehl in einen öffentlichen Cloud Storage-Bucket oder das Kopieren mit dem bq mk-Befehl in eine permanente externe BigQuery-Tabelle.

Google Cloud bietet auch eine eingeschränkte virtuelle IP-Adresse, die in VPC Service Controls Die eingeschränkte VIP lässt auch Anfragen zu für Dienste, die von VPC Service Controls unterstützt werden ohne dass diese Anfragen im Internet veröffentlicht werden.
Unbeabsichtigte Veröffentlichung privater Daten durch falsch konfigurierte IAM-Richtlinien: VPC Service Controls verweigert den Zugriff aus nicht autorisierten Netzwerken, selbst wenn Daten durch falsch konfigurierte IAM-Richtlinien öffentlich verfügbar gemacht werden und bietet so eine weitere Sicherheitsebene.
Zugriff auf Dienste überwachen: Verwenden Sie VPC Service Controls im Probelauf. zum Überwachen von Anfragen an geschützten Diensten, ohne den Zugriff zu verhindern an Ihre Projekte senden. Sie können auch Umrandungen für einen Honigtopf erstellen, Unerwartete oder böswillige Versuche zur Prüfung zugänglicher Dienste zu identifizieren.

Sie können eine Zugriffsrichtlinie der Organisation verwenden und VPC Service Controls für für Ihre gesamte Google Cloud-Organisation oder Richtlinien und konfigurieren VPC Service Controls für einen Ordner oder ein Projekt in der Organisation. Sie behalten die um Daten innerhalb des Perimeters flexibel zu verarbeiten, zu transformieren und zu kopieren.

VPC Service Controls-Konfigurationen werden auf Organisationsebene Standardzugriffsrichtlinien, aber beschränkte Zugriffsrichtlinien für Ordner oder Projekte können verwendet werden, um Verwaltung von Dienstperimetern weiter unten in der Ressource delegieren Hierarchie.

VPC Service Controls und Metadaten

VPC Service Controls ist nicht dafür konzipiert, umfassende Kontrollen für die Übertragung von Metadaten durchzusetzen.

In diesem Kontext sind Daten definiert als Inhalte, die in eine Google Cloud-Ressource. Beispiel: der Inhalt eines Cloud Storage-Objekts. Metadaten sind die Attribute der Ressource oder deren übergeordnetes Element. z. B. Namen von Cloud Storage-Buckets.

Das primäre Ziel von VPC Service Controls besteht darin, die Übertragung von Daten, nicht von Metadaten, in einem Dienstperimeter mithilfe von unterstützten Diensten zu steuern. VPC Service Controls verwaltet auch den Zugriff auf Metadaten. Es kann jedoch Szenarien geben, in denen Metadaten ohne Richtlinienprüfungen durch VPC Service Controls kopiert und aufgerufen werden können.

Wir empfehlen, dass Sie sich auf IAM verlassen, einschließlich der Verwendung von benutzerdefinierte Rollen, um eine angemessene Kontrolle über den Zugriff auf Metadaten zu gewährleisten.

Leistungsspektrum

Mit VPC Service Controls können Sie Sicherheitsrichtlinien definieren, die den Zugriff verhindern auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters, den Zugriff auf Daten blockieren von nicht vertrauenswürdigen Standorten zu entfernen und das Risiko der Daten-Exfiltration zu minimieren.

Sie können VPC Service Controls für die folgenden Anwendungsfälle verwenden:

Google Cloud-Ressourcen in Dienstperimetern isolieren

Ein Dienstperimeter zieht eine Sicherheitsgrenze um Google Cloud-Ressourcen. Ein Dienstperimeter ermöglicht die uneingeschränkte Kommunikation innerhalb des Perimeters. aber standardmäßig die Kommunikation mit Google Cloud-Diensten im des Perimeters.

Der Perimeter funktioniert speziell mit verwalteten Google Cloud-Diensten. Die der Zugriff auf APIs oder Dienste von Drittanbietern im Internet.

Sie können einen Perimeter konfigurieren, um die folgenden Kommunikationsarten zu steuern:

Vom öffentlichen Internet zu Kundenressourcen in verwalteten Diensten
Von virtuellen Maschinen (VMs) zu einem Google Cloud-Dienst (API)
Zwischen Google Cloud-Diensten

Für VPC Service Controls ist keine Virtual Private Cloud erforderlich (VPC-Netzwerk). Zur Verwendung VPC Service Controls ohne Ressourcen in einer VPC können Sie Traffic von externen IP-Bereichen oder bestimmten IAM-Hauptkonten Weitere Informationen finden Sie unter Zugriffsebenen erstellen und verwalten

Im Folgenden finden Sie einige Beispiele für VPC Service Controls, die eine Sicherheitsgrenze erstellen:

Eine VM in einem VPC-Netzwerk die Teil eines Dienstperimeters sind, können aus Cloud Storage lesen oder in Cloud Storage schreiben. Bucket im selben Perimeter. VPC Service Controls lässt jedoch nicht zu, dass VMs in VPC-Netzwerken, die sich außerhalb des Perimeters befinden, auf Cloud Storage-Buckets zugreifen, die sich innerhalb des Perimeters befinden. Du musst geben Sie eine Richtlinie für eingehenden Traffic an, um VMs in VPC-Netzwerken zuzulassen, die sich außerhalb des Perimeter für den Zugriff auf Cloud Storage-Buckets innerhalb des Perimeters
Ein Hostprojekt, das mehrere VPC-Netzwerke enthält, hat einen anderen Perimeter für jedes VPC-Netzwerk im Hostprojekt.
Ein Kopiervorgang zwischen zwei Cloud Storage-Buckets ist erfolgreich, wenn sich beide Buckets im selben Dienstperimeter befinden. Wenn sich jedoch einer der Buckets außerhalb des Perimeters befindet, schlägt der Kopiervorgang fehl.
VPC Service Controls lässt keine VM in einem VPC-Netzwerk innerhalb eines Dienstperimeters zu, die auf Cloud Storage-Buckets außerhalb des Perimeters zuzugreift.

Das folgende Diagramm zeigt einen Dienstperimeter, der die Kommunikation zwischen einem VPC-Projekt und einem Cloud Storage-Bucket innerhalb des Perimeters ermöglicht, aber die gesamte Kommunikation über den Perimeter blockiert:

Perimeter über autorisierte VPN- oder Cloud Interconnect-Verbindungen ausweiten

Sie können private Kommunikation mit Google Cloud-Ressourcen aus VPC-Netzwerken konfigurieren, die hybride Umgebungen mit lokalen Erweiterungen für privaten Google-Zugriff umfassen. Für den privaten Zugriff Google Cloud-Ressourcen innerhalb eines Perimeters, dem VPC-Netzwerk, die Landing Zone einer lokalen Umgebung enthält, muss Teil des Perimeters für Ressourcen im lokalen Netzwerk.

VMs mit privaten IP-Adressen in einem VPC-Netzwerk, das durch eine Dienstperimeter kann nicht auf verwaltete Ressourcen außerhalb des Dienstperimeters zugreifen. Bei Bedarf können Sie den geprüften und geprüften Zugriff für alle Google APIs (z. B. Gmail) über das Internet

Das folgende Diagramm zeigt einen Dienstperimeter, der auf Hybridumgebungen mit privatem Google-Zugriff erweitert wird:

Zugriff auf Google Cloud-Ressourcen über das Internet steuern

Verwaltete Ressourcen, die sich innerhalb eines Dienstperimeters befinden, können standardmäßig nicht über das Internet aufgerufen werden. Sie können den Zugriff optional auch basierend auf dem Kontext der Anfrage aktivieren. Erstellen Sie dazu Eingangsregeln oder Zugriffsebenen, Zugriff anhand verschiedener Attribute wie Quell-IP-Adresse, Identität oder Google Cloud-Quellprojekt. Entsprechen Anfragen aus dem Internet nicht den Kriterien in der Regel für eingehenden Traffic oder der Zugriffsebene definiert sind, werden die Anfragen abgelehnt.

Wenn Sie für den Zugriff auf Ressourcen innerhalb eines Perimeters die Google Cloud Console verwenden möchten, müssen Sie eine Zugriffsebene konfigurieren, die den Zugriff aus einem oder mehreren IPv4- und IPv6-Bereichen oder von bestimmten Nutzerkonten ermöglicht.

Das folgende Diagramm zeigt einen Dienstperimeter, der den Zugriff aus dem Internet auf geschützte Ressourcen basierend auf den konfigurierten Zugriffsebenen ermöglicht, z. B. IP-Adresse oder Geräterichtlinie:

Weitere Einstellungen, um das Risiko der Daten-Exfiltration zu minimieren

Domaineingeschränkte Freigabe: Sie können eine Organisationseinheit einrichten, um die Ressourcenfreigabe auf Identitäten zu beschränken, die zu einem bestimmten Organisationsressource. Weitere Informationen finden Sie unter Identitäten einschränken nach Domain.
Einheitlicher Zugriff auf Bucket-Ebene: Damit können Sie den Zugriff auf Ihre Cloud Storage-Buckets, erwägen Sie das Einrichten auf Bucket-Ebene IAM-Berechtigungen Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie andere Google Cloud-Sicherheitsfunktionen wie die domaineingeschränkte Freigabe, Mitarbeiteridentitätsföderation und IAM Bedingungen.
Multi-Faktor-Authentifizierung: Wir empfehlen die Verwendung von Multi-Faktor-Authentifizierung. Authentifizierung für den Zugriff auf Ihre Google Cloud-Ressourcen.
Automatisierung mit Infrastruktur-als-Code-Tools: Wir empfehlen, Cloud Storage-Buckets mit einem Automatisierungstool bereitstellen, um den Zugriff auf die Buckets. Sie übergeben die Infrastruktur als Code manuell oder automatisch. vor der Bereitstellung überprüfen.
Scans nach der Bereitstellung: Sie können Folgendes verwenden: Scantools nach der Bereitstellung, um nach offenen Cloud Storage-Buckets zu suchen:
- Security Command Center
- Cloud Asset Inventory zum Durchsuchen und Analysieren von Asset-Metadatenverlauf IAM-Richtlinie, um zu ermitteln, wer worauf Zugriff hat.
- Tools von Drittanbietern wie Palo Alto PrismaCloud
Sensible Daten de-identifizieren: Sie können die Verwendung von Schutz sensibler Daten zum Erkennen, Klassifizieren und De-Identifizieren sensible Daten innerhalb und außerhalb von Google Cloud. De-Identifikation sensibler Daten Daten durch Entfernen, Tokenisierung oder Verschlüsselung erfolgen.

Nicht unterstützte Dienste

Weitere Informationen zu Produkten und Diensten, die von VPC Service Controls unterstützt werden, finden Sie auf der Seite Unterstützte Produkte.

Warnung: Möglicherweise können auch nicht unterstützte Dienste für den Zugriff auf Daten von unterstützten Produkten und Diensten aktiviert werden. Dies wird jedoch nicht empfohlen. Wenn Sie versuchen, mit einem nicht unterstützten Dienst auf einen unterstützten zuzugreifen, können unerwartete Probleme auftreten. Dies gilt insbesondere für Zugriffe innerhalb desselben Projekts.

Bei Aktivierung in einem durch VPC Service Controls geschützten Projekt funktionieren nicht unterstützte Dienste möglicherweise gar nicht, vor allem wenn Speicherdienste auf niedriger Ebene wie Cloud Storage oder Cloud Pub/Sub eingeschränkt sind. Wir empfehlen, nicht unterstützte Dienste in Projekten außerhalb von Perimetern bereitzustellen. Damit diese Dienste auf Daten in Ressourcen innerhalb eines Perimeters zugreifen können, erstellen Sie eine Zugriffsebene, die das Dienstkonto für diesen Dienst enthält und wenden Sie es nach Bedarf auf Perimeter an.

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Bekannte Einschränkungen

Es gibt einige bekannte Einschränkungen bei bestimmten Google Cloud-Diensten. Produkten und Benutzeroberflächen einzubauen, wenn Sie VPC Service Controls verwenden. Beispiel: VPC Service Controls unterstützt nicht alle Google Cloud-Dienste. Aktivieren Sie daher nicht unterstützte Google Cloud-Dienste im Perimeter. Weitere Informationen finden Sie in der Liste der von VPC Service Controls unterstützten Produkte. Wenn Sie einen Dienst verwenden müssen, der von VPC Service Controls nicht unterstützt wird, Aktivieren Sie den Dienst in einem Projekt außerhalb des Perimeters.

Wir empfehlen Ihnen, die bekannten Einschränkungen zu lesen, Google Cloud-Dienste im Perimeter. Weitere Informationen finden Sie unter VPC Service Controls-Diensteinschränkungen.

Glossar

In diesem Thema wurden im Zusammenhang mit VPC Service Controls mehrere neue Begriffe eingeführt:

VPC Service Controls: Technologie, mit der Sie einen Dienstperimeter definieren können zu Ressourcen von von Google verwalteten Diensten, um die Kommunikation mit zwischen diesen Diensten.
Dienstperimeter: Ein Dienstparameter um Google verwaltete Ressourcen. Dieser Bereich ermöglicht die freie Kommunikation innerhalb des Perimeters, unterbindet aber standardmäßig die gesamte Kommunikation über die Perimetergrenzen hinaus.
Regel für eingehenden Traffic: Eine Regel, die einem API-Client außerhalb des Perimeters den Zugriff gewährt Ressourcen innerhalb eines Perimeters. Weitere Informationen finden Sie unter Regeln für eingehenden und ausgehenden Traffic.
Regel für ausgehenden Traffic: Eine Regel, die einem API-Client oder einer Ressource innerhalb des Perimeters den Zugriff auf Google Cloud-Ressourcen außerhalb des Perimeters gewährt. Der Perimeter der Zugriff auf Drittanbieter-APIs oder -Dienste im Internet wird nicht blockiert.
Dienstperimeter-Bridge: Eine Perimeter-Bridge ermöglicht die Kommunikation zwischen Projekten in unterschiedlichen Dienstperimetern. Perimeter-Bridges funktionieren bidirektional. Die Projekte in jedem Dienstperimeter haben die gleichen Zugriffsrechte.

Hinweis: Wir empfehlen, keine Perimeter-Bridge zu verwenden, Regeln für ausgehenden Traffic, die detailliertere Steuerungsmöglichkeiten bieten.
Access Context Manager: Ein kontextsensitiver Dienst zur Anfragenklassifizierung, der eine Anfrage anhand der angegebenen Attribute eines Clients, z. B. der Quell-IP-Adresse, einer Zugriffsebene zuordnen kann. Weitere Informationen finden Sie in der Übersicht über Access Context Manager.
Zugriffsebene: Eine Klassifizierung von Anfragen über das Internet anhand verschiedener Attribute, z. B. Quell-IP-Bereich, Clientgerät und Standortbestimmung. Genau wie Eingangsregel haben, können Sie mit einer Zugriffsebene einen Dienst Perimeter, um Zugriff aus dem Internet basierend auf der Zugriffsebene zu gewähren die mit einer Anfrage verknüpft sind. Sie können mit Access Context Manager eine Zugriffsebene erstellen.
Zugriffsrichtlinie: Ein Google Cloud-Ressourcenobjekt, das Dienstperimeter definiert. Ich kann Zugriffsrichtlinien für bestimmte Ordner oder Projekte erstellen und eine Zugriffsrichtlinie, die für das gesamte Unternehmen gelten kann. Eine Organisation kann nur eine Zugriffsrichtlinie auf Organisationsebene haben.
auf einen Bereich beschränkte Richtlinie: Eine beschränkte Richtlinie ist eine Zugriffsrichtlinie, die für bestimmte Ordner oder zusammen mit einer Zugriffsrichtlinie, die für das gesamte Unternehmen gilt. Weitere Informationen finden Sie unter Übersicht über auf einen Bereich reduzierte Richtlinien.
Eingeschränkte VIP: Die eingeschränkte VIP bietet eine private Netzwerkroute für Produkte und APIs die von VPC Service Controls unterstützt werden, damit die Daten und Ressourcen diese Produkte nicht über das Internet zugänglich sind. restricted.googleapis.com wird in 199.36.153.4/30 aufgelöst. Dieser IP-Adressbereich wird nicht für das Internet freigegeben.