Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei Controlli di servizio VPC

Questo argomento fornisce una panoramica dei Controlli di servizio VPC e ne descrive i vantaggi e le funzionalità.

Chi deve utilizzare i Controlli di servizio VPC

La tua organizzazione potrebbe possedere proprietà intellettuale sotto forma di dati altamente sensibili oppure la tua organizzazione potrebbe gestire dati sensibili soggetti a ulteriori normative sulla protezione dei dati, come PCI DSS. La perdita o la divulgazione involontaria di dati sensibili può portare a significative implicazioni aziendali negative.

Se stai eseguendo la migrazione da un ambiente on-premise al cloud, uno dei tuoi obiettivi potrebbe essere replicare l'architettura di sicurezza basata sulla rete on-premise durante lo spostamento dei dati in Google Cloud. Per proteggere i tuoi dati altamente sensibili, ti consigliamo di assicurarti che le risorse siano accessibili solo da reti attendibili. Alcune organizzazioni potrebbero consentire l'accesso pubblico alle risorse purché la richiesta provenga da una rete attendibile, che può essere identificata in base all'indirizzo IP della richiesta.

Per mitigare i rischi di esfiltrazione di dati, la tua organizzazione potrebbe anche voler garantire uno scambio sicuro di dati oltre i confini dell'organizzazione con controlli granulari. In qualità di amministratore, ti consigliamo di verificare quanto segue:

I client con accesso privilegiato non hanno accesso anche alle risorse dei partner.
I client con accesso a dati sensibili possono solo leggere i set di dati pubblici, ma non possono scrivere.

In che modo i Controlli di servizio VPC riducono i rischi di esfiltrazione di dati

Controlli di servizio VPC contribuisce a proteggere da azioni accidentali o mirate da parte di entità esterne o interne, il che contribuisce a ridurre al minimo i rischi di esfiltrazione di dati ingiustificati dai servizi Google Cloud come Cloud Storage e BigQuery. Puoi utilizzare Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi da te specificati esplicitamente.

I Controlli di servizio VPC proteggono i servizi Google Cloud definendo i seguenti controlli:

I client all'interno di un perimetro con accesso privato alle risorse non hanno accesso a risorse non autorizzate (potenzialmente pubbliche) al di fuori del perimetro.
I dati non possono essere copiati in risorse non autorizzate all'esterno del perimetro utilizzando operazioni di servizio come gsutil cp o bq mk.
Lo scambio di dati tra client e risorse, separato da perimetri, è protetto da regole in entrata e in uscita.
L'accesso sensibile al contesto alle risorse si basa su attributi client, come tipo di identità (utente o account di servizio), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC). Ecco alcuni esempi di accesso sensibile al contesto:
- I client al di fuori del perimetro, su Google Cloud o on-premise, sono all'interno di risorse VPC autorizzate e utilizzano l'accesso privato Google per accedere alle risorse all'interno di un perimetro.
- L'accesso a internet alle risorse all'interno di un perimetro è limitato a un intervallo di indirizzi IPv4 e IPv6.
Per maggiori informazioni, consulta Accesso sensibile al contesto tramite le regole in entrata.

I Controlli di servizio VPC forniscono un ulteriore livello di protezione per i servizi Google Cloud, indipendente da Identity and Access Management (IAM). Mentre IAM consente un controllo dell'accesso basato sull'identità granulare, i Controlli di servizio VPC offrono una più ampia sicurezza perimetrale basata sul contesto, compreso il controllo del traffico in uscita dei dati attraverso il perimetro. Ti consigliamo di utilizzare sia i Controlli di servizio VPC sia IAM per la difesa in profondità.

Controlli di servizio VPC consente di monitorare i pattern di accesso alle risorse tra i perimetri di servizio utilizzando Cloud Audit Logs. Per ulteriori informazioni, consulta Audit log dei Controlli di servizio VPC.

Vantaggi in termini di sicurezza dei Controlli di servizio VPC

I Controlli di servizio VPC aiutano a mitigare i seguenti rischi per la sicurezza senza sacrificare i vantaggi in termini di prestazioni dell'accesso privato diretto alle risorse di Google Cloud:

Accesso da reti non autorizzate utilizzando credenziali rubate: consentendo l'accesso privato solo alle reti VPC autorizzate, Controlli di servizio VPC contribuisce a proteggere dal rischio di esfiltrazione di dati presentati dai client che utilizzano credenziali OAuth rubate o di account di servizio.
Esfiltrazione di dati da parte di utenti malintenzionati interni al dominio o codice compromesso: i Controlli di servizio VPC completano i controlli in uscita dalla rete impedendo ai clienti all'interno di tali reti di accedere alle risorse dei servizi gestiti da Google al di fuori del perimetro.

Controlli di servizio VPC impedisce inoltre di leggere o copiare i dati in una risorsa al di fuori del perimetro. Controlli di servizio VPC impedisce le operazioni di servizio come la copia di un comando gsutil cp in un bucket Cloud Storage pubblico o di un comando bq mk in una tabella BigQuery esterna permanente.

Google Cloud fornisce inoltre un IP virtuale limitato, integrato con i Controlli di servizio VPC. Il VIP limitato consente inoltre di inviare richieste ai servizi supportati dai Controlli di servizio VPC senza esporre le richieste a internet.
Esposizione pubblica di dati privati causata da criteri IAM configurati in modo errato: i Controlli di servizio VPC forniscono un ulteriore livello di sicurezza negando l'accesso da reti non autorizzate, anche se i dati sono esposti da criteri IAM configurati in modo errato.
Monitoraggio dell'accesso ai servizi: utilizza i Controlli di servizio VPC in modalità dry run per monitorare le richieste ai servizi protetti senza impedire l'accesso e per comprendere le richieste di traffico ai tuoi progetti. Puoi anche creare perimetri honeypot per identificare tentativi imprevisti o dannosi di verificare i servizi accessibili.

Puoi utilizzare un criterio di accesso dell'organizzazione e configurare Controlli di servizio VPC per l'intera organizzazione Google Cloud oppure utilizzare criteri con ambito e configurare Controlli di servizio VPC per una cartella o un progetto nell'organizzazione. Manterrai la flessibilità per elaborare, trasformare e copiare i dati all'interno del perimetro.

Le configurazioni dei Controlli di servizio VPC sono gestite a livello di organizzazione per impostazione predefinita, ma è possibile utilizzare criteri di accesso con ambito per cartelle o progetti per delegare l'amministrazione dei perimetri di servizio più in basso nella gerarchia delle risorse.

Controlli di servizio VPC e metadati

Controlli di servizio VPC non è progettato per applicare controlli completi sullo spostamento dei metadati.

In questo contesto, per dati si intendono i contenuti archiviati in una risorsa Google Cloud. ad esempio i contenuti di un oggetto Cloud Storage. I metadati sono definiti come gli attributi della risorsa o della risorsa principale. Ad esempio, i nomi dei bucket Cloud Storage.

L'obiettivo principale dei Controlli di servizio VPC è controllare il movimento dei dati, anziché dei metadati, attraverso un perimetro di servizio tramite i servizi supportati. Anche i Controlli di servizio VPC gestiscono l'accesso ai metadati, ma potrebbero verificarsi scenari in cui è possibile copiare e accedere ai metadati senza che siano stati controllati i criteri dei Controlli di servizio VPC.

Ti consigliamo di fare affidamento su IAM, incluso l'uso di ruoli personalizzati, per garantire un controllo appropriato sull'accesso ai metadati.

Funzionalità

Controlli di servizio VPC consente di definire criteri di sicurezza che impediscono l'accesso ai servizi gestiti da Google al di fuori di un perimetro attendibile, bloccano l'accesso ai dati da località non attendibili e riducono i rischi di esfiltrazione di dati.

Puoi utilizzare Controlli di servizio VPC per i seguenti casi d'uso:

Isolare le risorse Google Cloud e le reti VPC nei perimetri di servizio
Estendi i perimetri alle reti on-premise utilizzando VPN autorizzate o reti VPC delle zone di destinazione di Cloud Interconnect.
Controlla l'accesso alle risorse Google Cloud da internet
Proteggi lo scambio di dati attraverso perimetri e organizzazioni utilizzando regole in entrata e in uscita
Consenti l'accesso sensibile al contesto alle risorse in base agli attributi del client utilizzando le regole in entrata

Isolare le risorse Google Cloud nei perimetri di servizio

Un perimetro di servizio crea un confine di sicurezza attorno alle risorse Google Cloud. Un perimetro di servizio consente la comunicazione gratuita all'interno del perimetro, ma per impostazione predefinita blocca le comunicazioni con i servizi Google Cloud attraverso il perimetro.

Il perimetro funziona nello specifico con i servizi gestiti di Google Cloud. Il perimetro non blocca l'accesso ad API o servizi di terze parti su internet.

Puoi configurare un perimetro per controllare i seguenti tipi di comunicazione:

Dalla rete internet pubblica alle risorse per i clienti all'interno dei servizi gestiti
Da macchine virtuali (VM) a un servizio Google Cloud (API)
Tra i servizi Google Cloud

I Controlli di servizio VPC non richiedono una rete Virtual Private Cloud (VPC). Per utilizzare Controlli di servizio VPC senza avere risorse su una rete VPC, puoi consentire il traffico proveniente da intervalli IP esterni o da determinate entità IAM. Per ulteriori informazioni, vedi Creare e gestire i livelli di accesso.

Di seguito sono riportati alcuni esempi di controlli di servizio VPC che creano un confine di sicurezza:

Una VM all'interno di una rete VPC che fa parte di un perimetro di servizio può leggere o scrivere in un bucket Cloud Storage nello stesso perimetro. Tuttavia, Controlli di servizio VPC non consente alle VM all'interno di reti VPC che si trovano all'esterno del perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro. Devi specificare un criterio in entrata per consentire alle VM all'interno delle reti VPC che si trovano all'esterno del perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro.
Un progetto host che contiene più reti VPC ha un criterio perimetrale diverso per ogni rete VPC nel progetto host.
Un'operazione di copia tra due bucket Cloud Storage ha esito positivo se entrambi i bucket si trovano nello stesso perimetro di servizio, ma se uno dei bucket si trova all'esterno del perimetro, l'operazione di copia non riesce.
Controlli di servizio VPC non consente a una VM all'interno di una rete VPC all'interno di un perimetro di servizio di accedere ai bucket Cloud Storage al di fuori di tale perimetro.

Il seguente diagramma mostra un perimetro di servizio che consente la comunicazione tra un progetto VPC e un bucket Cloud Storage all'interno del perimetro, ma blocca tutte le comunicazioni attraverso il perimetro:

Estendi i perimetri a una VPN autorizzata o a Cloud Interconnect

Puoi configurare la comunicazione privata con le risorse Google Cloud da reti VPC che coprono ambienti ibridi con estensioni on-premise di Accesso privato Google. Per accedere privatamente alle risorse Google Cloud all'interno di un perimetro, la rete VPC che contiene la zona di destinazione dagli ambienti on-premise deve far parte del perimetro per le risorse nella rete on-premise.

Le VM con indirizzi IP privati in una rete VPC protetta da un perimetro di servizio non possono accedere alle risorse gestite al di fuori di questo perimetro. Se necessario, puoi continuare ad abilitare l'accesso controllato e controllato a tutte le API di Google (ad esempio, Gmail) su internet.

Il seguente diagramma mostra un perimetro di servizio che si estende agli ambienti ibridi con accesso privato Google:

Controlla l'accesso alle risorse Google Cloud da internet

L'accesso da internet alle risorse gestite all'interno di un perimetro di servizio è negato per impostazione predefinita. Facoltativamente, puoi abilitare l'accesso in base al contesto della richiesta. Per farlo, puoi creare regole o livelli di accesso in entrata per consentire l'accesso in base a vari attributi, come l'indirizzo IP di origine, l'identità o il progetto Google Cloud di origine. Le richieste effettuate da internet non soddisfano i criteri definiti nella regola in entrata o nel livello di accesso.

Per utilizzare la console Google Cloud per accedere alle risorse all'interno di un perimetro, devi configurare un livello di accesso che consenta l'accesso da uno o più intervalli IPv4 e IPv6 o ad account utente specifici.

Il seguente diagramma mostra un perimetro di servizio che consente l'accesso da internet alle risorse protette in base ai livelli di accesso configurati, ad esempio l'indirizzo IP o i criteri relativi ai dispositivi:

Altri controlli per mitigare i rischi di esfiltrazione di dati

Condivisione limitata per il dominio: puoi impostare un criterio dell'organizzazione per limitare la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. Per ulteriori informazioni, consulta la sezione Limitazione delle identità per dominio.
Accesso uniforme a livello di bucket: per controllare in modo uniforme l'accesso ai bucket Cloud Storage, valuta la possibilità di impostare autorizzazioni IAM a livello di bucket. L'accesso uniforme a livello di bucket consente di utilizzare altre funzionalità di sicurezza di Google Cloud, come la condivisione limitata del dominio, la federazione delle identità per la forza lavoro e le condizioni IAM.
Autenticazione a più fattori: ti consigliamo di utilizzare l'autenticazione basata su più fattori per accedere alle risorse Google Cloud.
Automazione con strumenti Infrastructure as Code: ti consigliamo di eseguire il deployment dei bucket Cloud Storage utilizzando uno strumento di automazione per controllare l'accesso ai bucket. Passa l'infrastruttura come codice tramite revisioni da parte di persone fisiche o automatizzate prima del deployment.
Scansioni post-deployment: puoi valutare l'utilizzo dei seguenti strumenti di scansione post-deployment per individuare bucket Cloud Storage aperti:
- Security Command Center
- Cloud Asset Inventory per eseguire ricerche nella cronologia dei metadati delle risorse e analizzare il criterio IAM per capire chi ha accesso a cosa.
- Strumenti di terze parti come Palo Alto PrismaCloud
Anonimizzazione dei dati sensibili: puoi valutare l'utilizzo della protezione dei dati sensibili per rilevare, classificare e anonimizzare i dati sensibili all'interno e all'esterno di Google Cloud. L'anonimizzazione dei dati sensibili può essere effettuata tramite oscuramento, tokenizzazione o crittografia.

Servizi non supportati

Per ulteriori informazioni su prodotti e servizi supportati dai Controlli di servizio VPC, consulta la pagina Prodotti supportati.

Avviso: sebbene possa essere possibile abilitare servizi non supportati per accedere ai dati di prodotti e servizi supportati, ti consigliamo di non farlo. Potrebbero verificarsi problemi imprevisti quando si tenta di accedere a un servizio supportato utilizzando un servizio non supportato, in particolare all'interno dello stesso progetto.

I servizi non supportati potrebbero non funzionare se abilitati in un progetto protetto dai Controlli di servizio VPC, soprattutto quando i servizi di archiviazione di basso livello come Cloud Storage o Pub/Sub sono limitati. Consigliamo di eseguire il deployment di servizi non supportati in progetti esterni ai perimetri. Per consentire a questi servizi di accedere ai dati nelle risorse all'interno di un perimetro, crea un livello di accesso che includa l'account di servizio per il servizio e applicalo ai perimetri in base alle esigenze.

Se provi a limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud o l'API Access Context Manager, verrà visualizzato un errore.

L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC. Inoltre, il VIP limitato può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare servizi non supportati.

Limitazioni note

Esistono alcune limitazioni note relative a determinati servizi, prodotti e interfacce Google Cloud quando utilizzi Controlli di servizio VPC. Ad esempio, Controlli di servizio VPC non supporta tutti i servizi Google Cloud. Pertanto, non abilitare servizi Google Cloud non supportati nel perimetro. Per ulteriori informazioni, consulta l'elenco dei prodotti supportati da Controlli di servizio VPC. Se devi utilizzare un servizio non supportato da Controlli di servizio VPC, abilita il servizio in un progetto all'esterno del perimetro.

Ti consigliamo di esaminare le limitazioni note prima di includere i servizi Google Cloud nel perimetro. Per ulteriori informazioni, consulta Limitazioni del servizio Controlli di servizio VPC.

Glossario

In questo argomento hai appreso diversi nuovi concetti introdotti da Controlli di servizio VPC:

Controlli di servizio VPC: Tecnologia che consente di definire un perimetro di servizio intorno alle risorse dei servizi gestiti da Google per controllare le comunicazioni con questi servizi.
perimetro di servizio: Un perimetro di servizio che circonda le risorse gestite da Google. Consente comunicazioni gratuite all'interno del perimetro, ma, per impostazione predefinita, blocca tutte le comunicazioni attraverso il perimetro.
regola in entrata: Una regola che consente a un client API esterno al perimetro di accedere alle risorse all'interno di un perimetro. Per maggiori informazioni, consulta la sezione Regole in entrata e in uscita.
regola in uscita: Una regola che consente a un client API o a una risorsa all'interno del perimetro di accedere alle risorse Google Cloud all'esterno del perimetro. Il perimetro non blocca l'accesso ad API o servizi di terze parti su internet.
bridge del perimetro di servizio: Un bridge del perimetro consente la comunicazione tra progetti in perimetri di servizio diversi. I bridge del perimetro sono bidirezionali, in modo che ai progetti di ogni perimetro di servizio venga applicato lo stesso accesso nell'ambito del bridge.

Nota: anziché utilizzare un bridge del perimetro, consigliamo di utilizzare regole in entrata e in uscita che offrono controlli più granulari.
Gestore contesto accesso: Un servizio di classificazione delle richieste sensibile al contesto in grado di mappare una richiesta a un livello di accesso in base a determinati attributi del client, come l'indirizzo IP di origine. Per saperne di più, consulta Panoramica di Gestore contesto accesso.
livello di accesso: Una classificazione delle richieste su internet in base a diversi attributi, come intervallo IP di origine, dispositivo client, geolocalizzazione e altri. Come per una regola in entrata, puoi utilizzare un livello di accesso per configurare un perimetro di servizio al fine di concedere l'accesso da internet in base al livello di accesso associato a una richiesta. Puoi creare un livello di accesso utilizzando Gestore contesto accesso.
criterio di accesso: Un oggetto risorsa Google Cloud che definisce i perimetri di servizio. Puoi creare criteri di accesso con ambito a cartelle o progetti specifici, oltre a un criterio di accesso applicabile all'intera organizzazione. Un'organizzazione può avere un solo criterio di accesso a livello di organizzazione.
criterio con ambito: Un criterio con ambito è un criterio di accesso che ha come ambito cartelle o progetti specifici, insieme a un criterio di accesso valido all'intera organizzazione. Per saperne di più, consulta la Panoramica dei criteri con ambito.
VIP con limitazioni: Il VIP limitato fornisce una route di rete privata per i prodotti e le API supportati dai Controlli di servizio VPC al fine di rendere inaccessibili da internet i dati e le risorse utilizzati da questi prodotti. restricted.googleapis.com risolve in 199.36.153.4/30. Questo intervallo di indirizzi IP non viene annunciato su internet.

Passaggi successivi

Scopri di più sulla configurazione del perimetro di servizio.
Scopri come gestire le reti VPC nei perimetri di servizio
Consulta le limitazioni note dei servizi.
Scopri di più su come Google Cloud aiuta a ridurre i rischi di esfiltrazione di dati.