Questo argomento fornisce una panoramica dei Controlli di servizio VPC e ne descrive i vantaggi e capacità.
Chi deve utilizzare i Controlli di servizio VPC
La tua organizzazione potrebbe possedere una proprietà intellettuale sotto forma di sensibili o la tua organizzazione potrebbe gestire dati sensibili ad altre normative sulla protezione dei dati, come PCI DSS. La perdita o la divulgazione involontaria di dati sensibili può avere conseguenze negative significative per l'attività.
Se esegui la migrazione da un ambiente on-premise al cloud, uno dei tuoi obiettivi potrebbe essere replicare l'architettura di sicurezza basata sulla rete on-premise durante il trasferimento dei dati a Google Cloud. Per proteggere i tuoi dati altamente sensibili, ti consigliamo di assicurarti che sia possibile accedere alle tue risorse solo da reti attendibili. Alcune le organizzazioni possono consentire l'accesso pubblico alle risorse purché proviene da una rete attendibile che può essere identificata in base all'indirizzo della richiesta.
Per ridurre i rischi di esfiltrazione dei dati, la tua organizzazione potrebbe anche voler garantire un scambio sicuro dei dati oltre i confini dell'organizzazione con controlli granulari. In qualità di amministratore, ti consigliamo di verificare quanto segue:
- I client con accesso privilegiato non hanno accesso anche alle risorse dei partner.
- I client con accesso a dati sensibili possono leggere solo i set di dati pubblici, ma non possono scrivere.
In che modo i Controlli di servizio VPC riducono i rischi di esfiltrazione di dati
I Controlli di servizio VPC aiutano a proteggere da azioni accidentali o mirate da entità esterne o interne, il che aiuta a ridurre al minimo rischi di esfiltrazione di dati da servizi Google Cloud come Cloud Storage e in BigQuery. Puoi utilizzare i Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi che hai specificato esplicitamente.
I Controlli di servizio VPC proteggono i servizi Google Cloud definendo il i seguenti controlli:
I client all'interno di un perimetro che hanno accesso privato alle risorse hanno accesso a risorse non autorizzate (potenzialmente pubbliche) al di fuori perimetrale.
I dati non possono essere copiati in risorse non autorizzate all'esterno del perimetro utilizzando operazioni di servizio come
gcloud storage cp
obq mk
.Scambio di dati tra client e risorse separati da perimetri è protetta tramite regole in entrata e in uscita.
L'accesso sensibile al contesto alle risorse si basa sugli attributi del client, come tipo di identità (account di servizio o utente), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC). Di seguito sono riportati alcuni esempi l'accesso sensibile al contesto:
I client al di fuori del perimetro che si trovano su Google Cloud le risorse on-premise sono all'interno di risorse VPC autorizzate Accesso privato Google per accedere alle risorse all'interno di un perimetro.
L'accesso a internet alle risorse all'interno di un perimetro è limitato a un intervallo di indirizzi IPv4 e IPv6.
Per ulteriori informazioni, consulta Accesso sensibile al contesto con regole per il traffico in entrata.
I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa della sicurezza per i servizi Google Cloud, indipendente da Identity and Access Management (IAM). Sebbene IAM consenta un controllo di accesso basato sull'identità granulare, i Controlli di servizio VPC consentono una sicurezza del perimetro basata sul contesto più ampia, incluso il controllo dell'uscita dei dati dal perimetro. Ti consigliamo di utilizzare sia i Controlli di servizio VPC sia IAM per una difesa in profondità.
I Controlli di servizio VPC ti consentono di monitorare i pattern di accesso alle risorse nei tuoi perimetri di servizio utilizzando i log di controllo cloud. Per ulteriori informazioni, vedi Audit log dei Controlli di servizio VPC.
Vantaggi in termini di sicurezza dei Controlli di servizio VPC
I Controlli di servizio VPC aiutano a mitigare i rischi per la sicurezza riportati di seguito senza sacrificare i vantaggi in termini di prestazioni dell'accesso privato diretto a Google Cloud di risorse:
Accesso da reti non autorizzate utilizzando credenziali rubate: tramite consentendo l'accesso privato solo da reti VPC autorizzate, Controlli di servizio VPC aiuta a proteggere dal rischio di esfiltrazione di dati presentati dai client che utilizzano OAuth o credenziali di account di servizio rubate.
Esfiltrazione di dati da parte di utenti malintenzionati interni al dominio o codice compromesso: I Controlli di servizio VPC completano i controlli del traffico in uscita dalla rete impedendo ai client all'interno di tali reti di accedere alle risorse dei servizi dei servizi al di fuori del perimetro.
I controlli di servizio VPC impediscono inoltre la lettura o la copia di dati in una risorsa esterna al perimetro. Controlli di servizio VPC impedisce operazioni di servizio come un comando
gcloud storage cp
di copia in un bucket Cloud Storage pubblico o un comandobq mk
di copia in una tabella BigQuery esterna permanente.Google Cloud fornisce anche un indirizzo IP virtuale limitato integrato con i Controlli di servizio VPC. Il VIP con restrizioni consente inoltre le richieste da effettuare ai servizi supportati dai Controlli di servizio VPC senza esporre le richieste a internet.
Esposizione pubblica di dati privati causata da una configurazione IAM errata criteri: i Controlli di servizio VPC forniscono un ulteriore livello di sicurezza negare l'accesso da reti non autorizzate, anche se i dati sono esposti configurazione errata dei criteri IAM.
Monitoraggio dell'accesso ai servizi: utilizza i Controlli di servizio VPC in dry run per monitorare le richieste ai servizi protetti senza impedire l'accesso e comprendere il traffico. richieste ai tuoi progetti. Puoi anche creare perimetri di honeypot per identificare tentativi inaspettati o dannosi di sondare i servizi accessibili.
Puoi utilizzare un criterio di accesso dell'organizzazione e configurare i Controlli di servizio VPC per l'intera organizzazione Google Cloud, oppure usa criteri e configurare Controlli di servizio VPC per una cartella o un progetto nell'organizzazione. L'utente mantiene la flessibilità necessaria per elaborare, trasformare e copiare i dati all'interno del perimetro.
Le configurazioni dei Controlli di servizio VPC sono gestite a livello di organizzazione è possibile utilizzare criteri di accesso predefiniti per cartelle o progetti delegano l'amministrazione dei perimetri di servizio più in basso nella risorsa nella gerarchia.
Controlli di servizio VPC e metadati
Controlli di servizio VPC non è progettato per applicare controlli completi sul movimento dei metadati.
In questo contesto, per dati si intendono i contenuti archiviati in è una risorsa Google Cloud. Ad esempio, i contenuti di un oggetto Cloud Storage. I metadati sono definiti come gli attributi della risorsa o del relativo elemento principale. Ad esempio, i nomi dei bucket Cloud Storage.
L'obiettivo principale dei Controlli di servizio VPC è controllare il movimento di dati, in un perimetro di servizio tramite i servizi supportati. Anche Controlli di servizio VPC gestisce l'accesso ai metadati, ma potrebbero verificarsi scenari in cui è possibile copiare e accedere ai metadati senza controllare i criteri dei Controlli di servizio VPC.
Consigliamo di fare affidamento su IAM, incluso l'uso di ruoli personalizzati, per garantire un controllo appropriato sull'accesso ai metadati.
Funzionalità
Controlli di servizio VPC consente di definire criteri di sicurezza che impediscono l'accesso a servizi gestiti da Google al di fuori di un perimetro attendibile, bloccare l'accesso ai dati da località non attendibili e mitigare i rischi di esfiltrazione di dati.
Puoi utilizzare Controlli di servizio VPC per i seguenti casi d'uso:
Isolare le risorse Google Cloud e le reti VPC nei perimetri di servizio
Estendi i perimetri alle reti on-premise utilizzando le reti autorizzate Reti VPC della zona di destinazione di VPN o Cloud Interconnect.
Controllare l'accesso alle risorse Google Cloud da internet
Proteggi lo scambio di dati tra perimetri e organizzazioni utilizzando le regole per il traffico in entrata e in uscita
Consenti l'accesso sensibile al contesto alle risorse in base agli attributi del client utilizzando le regole per il traffico in entrata
Isolare le risorse Google Cloud nei perimetri di servizio
Un perimetro di servizio crea un confine di sicurezza attorno alle risorse Google Cloud. Un perimetro di servizio consente la libera comunicazione all'interno del perimetro, ma per impostazione predefinita blocca la comunicazione con i servizi Google Cloud all'interno del perimetro.
Il perimetro funziona nello specifico con i servizi gestiti di Google Cloud. Il perimetro non blocca l'accesso ad API o servizi di terze parti su internet.
Puoi configurare un perimetro per controllare i seguenti tipi di comunicazioni:
- Dall'internet pubblico alle risorse del cliente all'interno dei servizi gestiti
- Da macchine virtuali (VM) a un servizio (API) Google Cloud
- Tra servizi Google Cloud
I Controlli di servizio VPC non richiedono un Virtual Private Cloud (VPC). Per utilizzare Controlli di servizio VPC senza avere risorse su una rete VPC, puoi consentire il traffico da intervalli IP esterni o da determinati principali IAM. Per ulteriori informazioni, vedi Crea e gestisci i livelli di accesso.
Ecco alcuni esempi di Controlli di servizio VPC che creano un confine di sicurezza:
Una VM all'interno di una rete VPC che fa parte di un perimetro di servizio può leggere o scrivere in un nello stesso perimetro. Tuttavia, i Controlli di servizio VPC non consentono alle VM all'interno delle reti VPC esterne al perimetro di accedere ai bucket Cloud Storage all'interno del perimetro. Devi specificare un criterio di ingresso per consentire alle VM all'interno delle reti VPC esterne al perimetro di accedere ai bucket Cloud Storage all'interno del perimetro.
Un progetto host che contiene più reti VPC ha un perimetro diverso per ogni rete VPC nel progetto host.
Un'operazione di copia tra due bucket Cloud Storage ha esito positivo se entrambi i bucket si trovano nello stesso perimetro di servizio, ma se uno dei bucket si trova al di fuori del perimetro, l'operazione di copia non va a buon fine.
Controlli di servizio VPC non consente una VM in una rete VPC che si trova all'interno di un il perimetro di servizio per accedere ai bucket Cloud Storage sono fuori dal perimetro.
Il seguente diagramma mostra un perimetro di servizio che consente la comunicazione tra un progetto VPC e il bucket Cloud Storage all'interno del perimetro, ma blocca tutte le comunicazioni all'esterno del perimetro:
Estendi i perimetri a una VPN autorizzata o a Cloud Interconnect
Puoi configurare la comunicazione privata con le risorse Google Cloud dalle reti VPC che coprono ambienti ibridi con le estensioni on-premise di accesso privato Google. Per accedere privatamente alle risorse Google Cloud all'interno di un perimetro, la rete VPC che contiene la zona di destinazione on-premise deve far parte del perimetro per le risorse nella rete on-premise.
VM con indirizzi IP privati in una rete VPC protetta da un il perimetro di servizio non può accedere alle risorse gestite al di fuori del perimetro di servizio. Se necessario, puoi continuare ad abilitare l'accesso ispezionato e controllato a tutti API di Google (ad esempio Gmail) su internet.
Il seguente diagramma mostra un perimetro di servizio che si estende agli ambienti ibridi con accesso privato Google:
Controlla l'accesso alle risorse Google Cloud da internet
L'accesso da internet alle risorse gestite all'interno di un perimetro di servizio è negato per impostazione predefinita. Se vuoi, puoi attivare l'accesso in base al contesto della richiesta. A tale scopo, puoi creare regole di ingresso o livelli di accesso per consentire l'accesso in base a vari attributi, ad esempio l'indirizzo IP di origine, l'identità o il progetto Google Cloud di origine. Se le richieste effettuate da internet non soddisfano le ai criteri definiti nella regola in entrata o nel livello di accesso, le richieste vengono rifiutate.
Per utilizzare la console Google Cloud per accedere alle risorse all'interno di un perimetro, devi configurare un livello di accesso che consenta l'accesso da uno o più IPv4 e IPv6 o ad account utente specifici.
Il seguente diagramma mostra un perimetro di servizio che consente l'accesso da internet alle risorse protette in base ai livelli di accesso configurati, ad esempio l'indirizzo IP o i criteri relativi ai dispositivi:
Altri controlli per ridurre i rischi di esfiltrazione di dati
Condivisione limitata per i domini: puoi valutare la possibilità di configurare un criterio dell'organizzazione per limitare la condivisione delle risorse alle identità che appartengono a una determinata risorsa dell'organizzazione. Per ulteriori informazioni, vedi Limitare le identità per dominio.
Accesso uniforme a livello di bucket: per controllare in modo uniforme l'accesso al tuo Bucket Cloud Storage, valuta la possibilità di configurare a livello di bucket Autorizzazioni IAM. L'accesso uniforme a livello di bucket consente di utilizzare altre funzionalità di sicurezza di Google Cloud, come la condivisione limitata per i domini, federazione delle identità per la forza lavoro e IAM di sicurezza.
Autenticazione a più fattori: consigliamo di utilizzare l'autenticazione a più fattori. per accedere alle risorse Google Cloud.
Automazione mediante strumenti di Infrastructure as Code: ti consigliamo di eseguire il deployment dei bucket Cloud Storage utilizzando uno strumento di automazione per controllare l'accesso ai bucket. Trasmetti l'infrastruttura come codice attraverso una rete umana o automatizzata revisioni prima del deployment.
Scansioni post-deployment: puoi valutare l'utilizzo di quanto segue strumenti di scansione post-deployment per individuare bucket Cloud Storage aperti:
- Security Command Center
- Cloud Asset Inventory per cercare nella cronologia dei metadati delle risorse e analizzare il criterio IAM per capire chi ha accesso a cosa.
- Strumenti di terze parti come Palo Alto PrismaCloud
Anonimizzazione dei dati sensibili: puoi utilizzare l'opzione Sensitive Data Protection per rilevare, classificare e anonimizzare e sensibili all'interno e all'esterno di Google Cloud. L'anonimizzazione dei dati sensibili può essere eseguita tramite oscuramento, tokenizzazione o crittografia.
Servizi non supportati
Per ulteriori informazioni su prodotti e servizi supportati da Controlli di servizio VPC, consulta Pagina Prodotti supportati.
Tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud
oppure
l'API Access Context Manager genererà un errore.
L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC. Inoltre, il VIP con limitazioni può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare servizi non supportati.
Limitazioni note
Esistono alcune limitazioni note ad alcuni servizi Google Cloud, prodotti e interfacce quando utilizzi Controlli di servizio VPC. Ad esempio: Controlli di servizio VPC non supporta tutti i servizi Google Cloud. Pertanto, non attivare i servizi Google Cloud non supportati nel perimetro. Per ulteriori informazioni, consulta l'elenco dei prodotti supportati dai Controlli di servizio VPC. Se devi utilizzare un servizio non supportato da Controlli di servizio VPC, abilitare il servizio in un progetto all'esterno del perimetro.
Ti consigliamo di esaminare le limitazioni note prima di includere ai servizi Google Cloud nel perimetro. Per ulteriori informazioni, consulta Limitazioni del servizio Controlli di servizio VPC.
Glossario
In questo argomento hai appreso diversi nuovi concetti introdotti dal Controlli di servizio VPC:
- Controlli di servizio VPC
- Tecnologia che consente di definire un perimetro di servizio alle risorse dei servizi gestiti da Google per controllare le comunicazioni tra questi servizi.
- perimetro di servizio
- Un perimetro di servizio intorno alle risorse gestite da Google. Consente la libera comunicazione all'interno del perimetro, ma per impostazione predefinita blocca tutte le comunicazioni al di fuori del perimetro.
- regola in entrata
- Una regola che consente a un client API esterno al perimetro di accedere alle risorse all'interno di un perimetro. Per ulteriori informazioni, consulta la sezione Regole di ingresso e uscita.
- regola in uscita
- Una regola che consente a un client API o a una risorsa all'interno del perimetro di accedere alle risorse Google Cloud all'esterno del perimetro. Il perimetro non blocca l'accesso ad API o servizi di terze parti su internet.
- bridge del perimetro di servizio
Un bridge del perimetro consente ai progetti in perimetri di servizio diversi di comunicare. I bridge di perimetro sono bidirezionali e consentono ai progetti di ogni perimetro di servizio di avere lo stesso accesso nell'ambito del bridge.
- Gestore contesto accesso
Un servizio di classificazione delle richieste sensibile al contesto in grado di mappare una richiesta a un livello di accesso basato su attributi specificati del client, come all'indirizzo IP di origine. Per ulteriori informazioni, vedi Panoramica di Gestore contesto accesso.
- livello di accesso
Una classificazione delle richieste su internet in base a diversi attributi, come intervallo IP di origine, dispositivo client, geolocalizzazione e altri. Proprio come una regola in entrata, puoi utilizzare un livello di accesso per configurare per concedere l'accesso da internet in base al livello di accesso associati a una richiesta. Puoi creare un livello di accesso utilizzando Gestore contesto accesso.
- criterio di accesso
Un oggetto risorsa Google Cloud che definisce i perimetri di servizio. Tu possono creare criteri di accesso con ambito a cartelle o progetti specifici insieme a un criterio di accesso applicabile all'intera organizzazione. Un'organizzazione può avere un solo criterio di accesso a livello di organizzazione.
- criterio con ambito
Un criterio con ambito è un criterio di accesso che riguarda cartelle o cartelle specifiche. dei progetti insieme a un criterio di accesso che si applica all'intera organizzazione. Per saperne di più, consulta la panoramica dei criteri con ambito.
- VIP con limitazioni
L'IP pubblico limitato fornisce un percorso di rete privato per i prodotti e le API supportati da VPC Service Controls al fine di rendere inaccessibili da internet i dati e le risorse utilizzati da questi prodotti.
restricted.googleapis.com
restituisce199.36.153.4/30
. Questo intervallo di indirizzi IP non viene annunciato a su internet.
Passaggi successivi
- Scopri di più sulla configurazione del perimetro di servizio.
- Scopri come gestire le reti VPC nei perimetri di servizio
- Consulta le limitazioni note dei servizi.