Visão geral do VPC Service Controls

Neste tópico, apresentamos uma visão geral do VPC Service Controls e descrevemos as vantagens e os recursos dele.

Quem deve usar o VPC Service Controls

Sua organização pode ter propriedade intelectual na forma de dados altamente sensíveis ou lidar com dados sensíveis sujeitos a outras regulamentações de proteção de dados, como o PCI DSS. A perda ou divulgação não intencional de dados sensíveis pode levar a implicações comerciais significativas e negativas.

Se você estiver migrando da infraestrutura no local para a nuvem, uma das metas talvez seja replicar a arquitetura de segurança baseada em rede local à medida que você move seus dados para o Google Cloud. Para proteger dados altamente sensíveis, é recomendável verificar se seus recursos só poderão ser acessados por redes confiáveis. Algumas organizações podem permitir acesso público a recursos, desde que a solicitação seja proveniente de uma rede confiável, que pode ser identificada com base no endereço IP da solicitação.

Para reduzir os riscos de exfiltração de dados, é recomendável também que sua organização garanta uma troca de dados segura entre os limites organizacionais com controles refinados. Como administrador, convém garantir que:

os clientes com acesso privilegiado também não tenham acesso a recursos do parceiro;
os clientes com acesso a dados sensíveis só possam ler conjuntos de dados públicos, mas não fazer gravações neles.

Como o VPC Service Controls reduz os riscos de exfiltração de dados

O VPC Service Controls ajuda a proteger contra ações acidentais ou segmentadas por entidades externas ou entidades internas, o que ajuda a minimizar os riscos de exfiltração não intencional de serviços do Google Cloud, como o Cloud Storage e o BigQuery. É possível usar o VPC Service Controls para criar perímetros que protejam os recursos e os dados de serviços especificados explicitamente.

O VPC Service Controls protege os serviços do Google Cloud definindo os seguintes controles:

os clientes em um perímetro com acesso particular aos recursos não tenham acesso a recursos não autorizados (possivelmente públicos) fora do perímetro;
Os dados não podem ser copiados para recursos não autorizados fora do perímetro usando operações de serviço, como gsutil cp ou bq mk;
A troca de dados entre clientes e recursos separados por perímetros é protegida por regras de entrada e saída.
O acesso baseado no contexto aos recursos se baseia em atributos de clientes, como tipo de identidade (conta de serviço ou usuário), identidade, dados do dispositivo e origem da rede (endereço IP ou rede VPC). Veja a seguir exemplos de acesso baseado no contexto:
- Clientes fora do perímetro que estão no Google Cloud ou no local estão dentro de recursos de VPC autorizada e usam o Acesso privado do Google para acessar recursos dentro de um perímetro.
- O acesso à Internet a recursos dentro de um perímetro é restrito a um intervalo de endereços IPv4 e IPv6.
Para mais informações, consulte Acesso baseado no contexto usando regras de entrada.

O VPC Service Controls oferece uma camada adicional de defesa de segurança para serviços do Google Cloud, independente do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Ainda que o Cloud IAM permita um controle de acesso baseado em identidade granular, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, incluindo o controle da saída de dados em todo o perímetro. Recomendamos usar o VPC Service Controls e o IAM para defesa em profundidade.

O VPC Service Controls permite monitorar padrões de acesso a recursos entre seus perímetros de serviço usando os Registros de auditoria do Cloud. Para mais informações, consulte Geração de registros de auditoria do VPC Service Controls.

Benefícios de segurança do VPC Service Controls

O VPC Service Controls ajuda a reduzir os seguintes riscos de segurança sem sacrificar as vantagens de desempenho do acesso privado direto aos recursos do Google Cloud:

Acesso por redes não autorizadas usando credenciais roubadas: ao permitir o acesso particular apenas por redes VPC autorizadas, o VPC Service Controls ajuda a proteger contra o risco de exfiltração de dados apresentado por clientes que usam credenciais OAuth ou de contas de serviço roubadas.
Exportação de dados por pessoas com informações privilegiadas mal intencionadas ou código comprometido: o VPC Service Controls complementa os controles de saída de rede impedindo que os clientes nessas redes acessem os recursos dos serviços gerenciados pelo Google fora do perímetro.

O VPC Service Controls também impede a leitura de dados em ou a cópia deles para um recurso fora do perímetro. O VPC Service Controls impede operações de serviço, como uma cópia de comando gsutil cp para um bucket público do Cloud Storage ou uma cópia de comando bq mk para uma tabela externa permanente do BigQuery.

O Google Cloud também fornece um IP virtual restrito usado integrado ao VPC Service Controls. O VIP restrito também permite que solicitações sejam feitas para serviços compatíveis com o VPC Service Controls sem expor essas solicitações à Internet.
Exposição pública de dados particulares causada por políticas do IAM configuradas incorretamente: o VPC Service Controls oferece uma camada adicional de segurança ao negar acesso a partir de redes não autorizadas, mesmo que os dados sejam expostos por políticas do IAM configuradas incorretamente.
Como monitorar o acesso aos serviços: use o VPC Service Controls em modo de teste para monitorar solicitações a serviços protegidos sem impedir o acesso e entender as solicitações de tráfego aos seus projetos. Também é possível criar perímetros de honeypot para identificar tentativas inesperadas ou mal-intencionadas de sondar serviços acessíveis.

É possível usar uma política de acesso à organização e configurar o VPC Service Controls para toda a organização do Google Cloud ou usar políticas com escopo e configurar o VPC Service Controls para uma pasta ou projeto na organização. Você mantém a flexibilidade de processar, transformar e copiar dados dentro do perímetro.

As configurações do VPC Service Controls são gerenciadas no nível da organização por padrão, mas as políticas de acesso com escopo para pastas ou projetos podem ser usadas para delegar a administração de perímetros de serviço mais abaixo na hierarquia de recursos.

VPC Service Controls e metadados

O VPC Service Controls não foi projetado para impor controles abrangentes sobre o movimento de metadados.

Nesse contexto, dados são definidos como conteúdo armazenado em um recurso do Google Cloud. Por exemplo, o conteúdo de um objeto do Cloud Storage. Metadados são definidos como os atributos do recurso ou do pai dele. Por exemplo, nomes de intervalos do Cloud Storage.

O principal objetivo do VPC Service Controls é controlar a movimentação de dados, em vez de metadados, em um perímetro de serviço utilizando serviços compatíveis. O VPC Service Controls também gerencia o acesso a metadados, mas pode haver cenários em que os metadados podem ser copiados e acessados sem as verificações de políticas do VPC Service Controls.

Recomendamos que você confie no IAM, incluindo o uso de papéis personalizados, para garantir o controle adequado do acesso aos metadados.

Recursos

O VPC Service Controls permite definir políticas de segurança que impedem o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloquear o acesso a dados em locais não confiáveis e reduzir os riscos de exfiltração de dados.

É possível usar o VPC Service Controls nos seguintes casos de uso:

isolar recursos do Google Cloud e redes VPC em perímetros de serviço;
Estender perímetros para redes locais usando redes VPC da zona de destino de VPN autorizada ou do Cloud Interconnect.
controlar o acesso aos recursos do Google Cloud pela Internet;
proteger a troca de dados em perímetros e organizações usando regras de entrada e saída;
permitir acesso baseado no contexto a recursos com base nos atributos do cliente usando regras de entrada

Isolar recursos do Google Cloud em perímetros de serviço

Um perímetro de serviço cria um limite de segurança em torno dos recursos do Google Cloud. Um perímetro de serviço permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia a comunicação com os serviços do Google Cloud em todo o perímetro.

O perímetro funciona especificamente com os serviços gerenciados do Google Cloud. O perímetro não bloqueia o acesso a APIs ou serviços de terceiros na Internet.

É possível configurar um perímetro para controlar os seguintes tipos de comunicação:

Da Internet pública a recursos do cliente em serviços gerenciados
De máquinas virtuais (VMs) para um serviço do Google Cloud (API)
Entre serviços do Google Cloud

O VPC Service Controls não exige que você tenha uma rede de nuvem privada virtual (VPC). Para usar o VPC Service Controls sem recursos em uma rede VPC, permita o tráfego de intervalos de IP externos ou de determinados principais do IAM. Para mais informações, consulte Criar e gerenciar níveis de acesso.

Veja alguns exemplos de VPC Service Controls que criam um limite de segurança:

Uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode ler ou gravar em um bucket do Cloud Storage no mesmo perímetro. No entanto, o VPC Service Controls não permite que VMs dentro de redes VPC que estejam fora do perímetro acessem buckets do Cloud Storage dentro do perímetro. É preciso especificar uma política de entrada para permitir que VMs em redes VPC que estejam fora do perímetro acessem os buckets do Cloud Storage que estão dentro do perímetro.
Um projeto host com várias redes VPC tem uma política de perímetro diferente para cada rede VPC no projeto host.
Uma operação de cópia entre dois buckets do Cloud Storage será bem-sucedida se ambos estiverem no mesmo perímetro de serviço, mas se um dos buckets estiver fora do perímetro, a operação de cópia falhará.
O VPC Service Controls não permite que uma VM dentro de uma rede VPC dentro de um perímetro de serviço acesse buckets do Cloud Storage que estão fora do perímetro.

O diagrama a seguir mostra um perímetro de serviço que permite a comunicação entre um projeto de VPC e um bucket do Cloud Storage dentro do perímetro, mas bloqueia toda a comunicação em todo o perímetro:

Estender perímetros para uma VPN autorizada ou Cloud Interconnect

É possível configurar a comunicação particular para recursos do Google Cloud de redes VPC que incluam ambientes híbridos com as extensões locais do Acesso privado do Google. Para acessar de forma particular os recursos do Google Cloud em um perímetro, a rede VPC que contém a zona de destino do local precisa fazer parte do perímetro para recursos na rede local.

As VMs com IPs particulares em uma rede VPC que faz parte de um perímetro de serviço não podem acessar recursos gerenciados fora dele. Se necessário, é possível continuar permitindo o acesso inspecionado e auditado a todas as APIs do Google (por exemplo, o Gmail) pela Internet.

O diagrama a seguir mostra um perímetro de serviço que se estende a ambientes híbridos com o Acesso privado do Google:

Controlar o acesso aos recursos do Google Cloud pela Internet

O acesso da Internet a recursos gerenciados dentro de um perímetro de serviço é negado por padrão. Opcionalmente, é possível ativar o acesso com base no contexto da solicitação. Para fazer isso, crie regras de entrada ou níveis de acesso que permitam o acesso com base em vários atributos, como o endereço IP de origem, a identidade ou o projeto de origem do Google Cloud. Se as solicitações feitas da Internet não atenderem aos critérios definidos na regra de entrada ou no nível de acesso, elas serão negadas.

Para usar o console do Google Cloud para acessar recursos em um perímetro, configure um nível de acesso que permita acesso de um ou mais intervalos IPv4 e IPv6 ou a contas de usuário específicas.

O diagrama a seguir mostra um perímetro de serviço que permite o acesso da Internet a recursos protegidos com base nos níveis de acesso configurados, como endereço IP ou política do dispositivo:

Outros controles para mitigar os riscos de exfiltração de dados

Compartilhamento restrito de domínio: considere configurar uma política organizacional para limitar o compartilhamento de recursos a identidades que pertencem a um recurso específico da organização. Para mais informações, consulte Como restringir identidades por domínio.
Acesso uniforme no nível do bucket: para controlar de maneira uniforme o acesso aos buckets do Cloud Storage, configure permissões do IAM no nível do bucket. O acesso uniforme no nível do bucket permite usar outros recursos de segurança do Google Cloud, como compartilhamento restrito de domínio, federação de identidade de colaboradores e condições do IAM.
Autenticação multifator: recomendamos o uso da autenticação multifator para acessar seus recursos do Google Cloud.
Automação usando ferramentas de infraestrutura como código: recomendamos a implantação dos buckets do Cloud Storage usando uma ferramenta de automação para controlar o acesso a eles. Transmita a infraestrutura como código via análises humanas ou automatizadas antes da implantação.
Verificações pós-implantação: é possível usar as seguintes ferramentas de verificação pós-implantação para verificar os buckets do Cloud Storage abertos:
- Security Command Center
- Inventário de recursos do Cloud para pesquisar o histórico de metadados de recursos e analisar a política do IAM para entender quem tem acesso ao quê.
- Ferramentas de terceiros, como o Prisma Cloud da Palo Alto
Desidentificação de dados sensíveis: use a Proteção de dados sensíveis para descobrir, classificar e desidentificar dados sensíveis dentro e fora do Google Cloud. A desidentificação de dados sensíveis pode ser feita por encoberta, tokenização ou criptografia.

Serviços sem suporte

Para mais informações sobre produtos e serviços com suporte do VPC Service Controls, consulte a página Produtos com suporte.

Aviso: embora seja possível ativar serviços incompatíveis para acessar os dados de produtos e serviços compatíveis, isso não é recomendável. Podem ocorrer problemas inesperados ao tentar acessar um serviço com suporte usando um serviço sem suporte, especialmente no mesmo projeto.

Serviços incompatíveis podem não funcionar quando ativados em um projeto protegido pelo VPC Service Controls, especialmente quando há restrição dos serviços de armazenamento de nível inferior, como Cloud Storage ou Pub/Sub. Recomendamos implantar serviços incompatíveis em projetos fora dos perímetros. Para permitir que esses serviços acessem dados em recursos dentro de um perímetro, crie um nível de acesso que inclua a conta desse serviço e aplique-o aos perímetros conforme necessário.

A tentativa de restringir um serviço sem suporte usando a ferramenta de linha de comando gcloud ou a API Access Context Manager resultará em um erro.

O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Limitações conhecidas

Existem algumas limitações conhecidas com determinados serviços, produtos e interfaces do Google Cloud ao usar o VPC Service Controls. Por exemplo, o VPC Service Controls não é compatível com todos os serviços do Google Cloud. Portanto, não ative serviços incompatíveis do Google Cloud no perímetro. Para mais informações, consulte a lista de produtos compatíveis com o VPC Service Controls. Se você precisar usar um serviço incompatível com o VPC Service Controls, ative-o em um projeto que esteja fora do perímetro.

Recomendamos que você analise as limitações conhecidas antes de incluir os serviços do Google Cloud no perímetro. Para mais informações, consulte as limitações do serviço VPC Service Controls.

Glossário

Neste tópico, você aprendeu sobre vários conceitos novos introduzidos pelo VPC Service Controls:

VPC Service Controls: Tecnologia que permite definir um perímetro de serviço em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços.
perímetro de serviço: Um perímetro de serviço em torno dos recursos gerenciados pelo Google. Permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.
Regra de entrada: Uma regra que permite que um cliente da API que está fora do perímetro acesse recursos dentro de um perímetro. Para mais informações, consulte Regras de entrada e saída.
Regra de saída: Uma regra que permite que um cliente ou recurso de API dentro do perímetro acesse recursos do Google Cloud fora do perímetro. O perímetro não bloqueia o acesso a APIs ou serviços de terceiros na Internet.
ponte do perímetro de serviço: Uma ponte do perímetro permite que projetos em diferentes perímetros de serviço se comuniquem. As pontes do perímetro são bidirecionais, permitindo que os projetos de cada perímetro de serviço tenham acesso igual dentro do escopo da ponte.

Observação :em vez de uma ponte do perímetro, recomendamos o uso de regras de entrada e saída que oferecem controles mais granulares.
Access Context Manager: Um serviço de classificação de solicitação contextual que pode mapear uma solicitação para um nível de acesso com base nos atributos especificados do cliente, como o endereço IP de origem. Consulte mais informações em Visão geral do Access Context Manager.
nível de acesso: Uma classificação de solicitações pela Internet com base em vários atributos, como intervalo de IPs de origem, dispositivo do cliente, geolocalização e outros. Assim como uma regra de entrada, é possível usar um nível de acesso para configurar um perímetro de serviço e conceder acesso da Internet com base no nível de acesso associado a uma solicitação. É possível criar um nível de acesso usando o Access Context Manager.
política de acesso: Um objeto de recurso do Google Cloud que define perímetros de serviço. É possível criar políticas de acesso com escopo para pastas ou projetos específicos com uma política de acesso que pode ser aplicada a toda a organização. Uma organização pode ter apenas uma política de acesso no nível da organização.
política com escopo: Uma política com escopo é uma política de acesso com escopo para pastas ou projetos específicos em conjunto com uma política de acesso que se aplica a toda a organização. Para mais informações, consulte Visão geral de políticas com escopo.
VIP restrito: O VIP restrito fornece uma rota de rede particular para produtos e APIs compatíveis com o VPC Service Controls para tornar dados e recursos usados por esses produtos inacessíveis pela Internet. restricted.googleapis.com é resolvido como 199.36.153.4/30. Esse intervalo de endereços IP não é anunciado para a Internet.

A seguir

Saiba mais sobre a configuração do perímetro de serviço.
Veja como gerenciar redes VPC em perímetros de serviço
Revise as limitações de serviço conhecidas.
Saiba mais sobre como o Google Cloud ajuda a reduzir os riscos de exfiltração de dados.