Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Kontrol Layanan VPC

Topik ini memberikan ringkasan tentang Kontrol Layanan VPC dan menjelaskan kelebihan serta kemampuannya.

Siapa yang harus menggunakan Kontrol Layanan VPC

Organisasi Anda mungkin memiliki kekayaan intelektual dalam bentuk data yang sangat sensitif, atau organisasi Anda mungkin menangani data sensitif yang tunduk pada peraturan perlindungan data tambahan, seperti PCI DSS. Kehilangan atau pengungkapan data sensitif yang tidak disengaja dapat menyebabkan implikasi bisnis negatif yang signifikan.

Jika Anda bermigrasi dari lokal ke cloud, salah satu sasaran Anda mungkin mereplikasi arsitektur keamanan berbasis jaringan lokal saat Anda memindahkan data ke Google Cloud. Untuk melindungi data yang sangat sensitif, sebaiknya pastikan bahwa resource Anda hanya dapat diakses dari jaringan tepercaya. Beberapa organisasi mungkin mengizinkan akses publik ke resource selama permintaan berasal dari jaringan tepercaya, yang dapat diidentifikasi berdasarkan alamat IP permintaan.

Untuk mengurangi risiko pemindahan data yang tidak sah, organisasi Anda mungkin juga ingin memastikan pertukaran data yang aman di seluruh batas organisasi dengan kontrol yang terperinci. Sebagai administrator, Anda mungkin ingin memastikan hal berikut:

Klien dengan akses dengan hak istimewa juga tidak memiliki akses ke resource partner.
Klien yang memiliki akses ke data sensitif hanya dapat membaca set data publik, tetapi tidak dapat menulis ke set data tersebut.

Cara Kontrol Layanan VPC mengurangi risiko pemindahan data yang tidak sah

Kontrol Layanan VPC membantu melindungi dari tindakan yang tidak disengaja atau ditargetkan oleh entity eksternal atau entity orang dalam, yang membantu meminimalkan risiko pemindahan data yang tidak sah dari layanan Google Cloud seperti Cloud Storage dan BigQuery. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.

Kontrol Layanan VPC mengamankan layanan Google Cloud Anda dengan menentukan kontrol berikut:

Klien dalam perimeter yang memiliki akses pribadi ke resource tidak memiliki akses ke resource tidak sah (berpotensi publik) di luar perimeter.
Data tidak dapat disalin ke resource yang tidak sah di luar perimeter menggunakan operasi layanan seperti gcloud storage cp atau bq mk.
Pertukaran data antara klien dan resource yang dipisahkan oleh perimeter dilindungi dengan menggunakan aturan masuk dan keluar.
Akses kontekstual ke resource didasarkan pada atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan asal jaringan (alamat IP atau jaringan VPC). Berikut adalah contoh akses kontekstual:
- Klien di luar perimeter yang berada di Google Cloud atau lokal berada dalam resource VPC yang diotorisasi dan menggunakan Akses Google Pribadi untuk mengakses resource dalam perimeter.
- Akses internet ke resource dalam perimeter dibatasi untuk rentang alamat IPv4 dan IPv6.
Untuk informasi selengkapnya, lihat Akses kontekstual menggunakan aturan ingress.

Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun IAM memungkinkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, termasuk mengontrol traffic keluar data di seluruh perimeter. Sebaiknya gunakan Kontrol Layanan VPC dan IAM untuk pertahanan menyeluruh.

Kontrol Layanan VPC memungkinkan Anda memantau pola akses resource di seluruh perimeter layanan menggunakan Log Audit Cloud. Untuk mengetahui informasi selengkapnya, lihat logging audit Kontrol Layanan VPC.

Manfaat keamanan Kontrol Layanan VPC

Kontrol Layanan VPC membantu mengurangi risiko keamanan berikut tanpa mengorbankan keunggulan performa akses pribadi langsung ke resource Google Cloud:

Akses dari jaringan yang tidak sah menggunakan kredensial yang dicuri: Dengan mengizinkan akses pribadi hanya dari jaringan VPC yang sah, Kontrol Layanan VPC membantu melindungi dari risiko pemindahan data yang tidak sah yang dilakukan oleh klien menggunakan kredensial OAuth atau akun layanan yang dicuri.
Pemindahan data oleh pihak internal yang berbahaya atau kode yang disusupi: Kontrol Layanan VPC melengkapi kontrol keluar jaringan dengan mencegah klien dalam jaringan tersebut mengakses resource layanan yang dikelola Google di luar perimeter.

Kontrol Layanan VPC juga mencegah pembacaan data dari atau penyalinan data ke resource di luar perimeter. Kontrol Layanan VPC mencegah operasi layanan seperti perintah gcloud storage cp yang disalin ke bucket Cloud Storage publik atau perintah bq mk yang disalin ke tabel BigQuery eksternal permanen.

Google Cloud juga menyediakan IP virtual terbatas yang terintegrasi dengan Kontrol Layanan VPC. VIP terbatas juga memungkinkan permintaan dibuat ke layanan yang didukung oleh Kontrol Layanan VPC tanpa mengekspos permintaan tersebut ke internet.
Eksposur data pribadi kepada publik yang disebabkan oleh salah konfigurasi kebijakan IAM: Kontrol Layanan VPC memberikan lapisan keamanan tambahan dengan menolak akses dari jaringan yang tidak sah, meskipun data diekspos oleh kebijakan IAM yang salah dikonfigurasi.
Memantau akses ke layanan: Gunakan Kontrol Layanan VPC dalam mode uji coba untuk memantau permintaan ke layanan yang dilindungi tanpa mencegah akses dan untuk memahami permintaan traffic ke project Anda. Anda juga dapat membuat perimeter honeypot untuk mengidentifikasi upaya yang tidak terduga atau berbahaya untuk menyelidiki layanan yang dapat diakses.

Anda dapat menggunakan kebijakan akses organisasi dan mengonfigurasi Kontrol Layanan VPC untuk seluruh organisasi Google Cloud, atau menggunakan kebijakan cakupan dan mengonfigurasi Kontrol Layanan VPC untuk folder atau project di organisasi. Anda mempertahankan fleksibilitas untuk memproses, mentransformasi, dan menyalin data dalam perimeter.

Konfigurasi Kontrol Layanan VPC dikelola di tingkat organisasi secara default, tetapi kebijakan akses cakupan untuk folder atau project dapat digunakan untuk mendelegasikan administrasi perimeter layanan lebih jauh ke bawah hierarki resource.

Kontrol Layanan VPC dan metadata

Kontrol Layanan VPC tidak dirancang untuk menerapkan kontrol komprehensif pada pergerakan metadata.

Dalam konteks ini, data didefinisikan sebagai konten yang disimpan di resource Google Cloud. Misalnya, konten objek Cloud Storage. Metadata didefinisikan sebagai atribut resource atau induknya. Misalnya, nama bucket Cloud Storage.

Sasaran utama Kontrol Layanan VPC adalah mengontrol pergerakan data, bukan metadata, di seluruh perimeter layanan melalui layanan yang didukung. Kontrol Layanan VPC juga mengelola akses ke metadata, tetapi mungkin ada skenario saat metadata dapat disalin dan diakses tanpa pemeriksaan kebijakan Kontrol Layanan VPC.

Sebaiknya Anda mengandalkan IAM, termasuk penggunaan peran kustom, untuk memastikan kontrol yang sesuai atas akses ke metadata.

Kemampuan

Kontrol Layanan VPC memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah.

Anda dapat menggunakan Kontrol Layanan VPC untuk kasus penggunaan berikut:

Mengisolasi resource Google Cloud dan jaringan VPC ke dalam perimeter layanan
Luaskan perimeter ke jaringan lokal menggunakan jaringan VPC zona landing VPN atau Cloud Interconnect resmi.
Mengontrol akses ke resource Google Cloud dari internet
Melindungi pertukaran data di seluruh perimeter dan organisasi dengan menggunakan aturan masuk dan keluar
Mengizinkan akses kontekstual ke resource berdasarkan atribut klien menggunakan aturan masuk

Mengisolasi resource Google Cloud ke dalam perimeter layanan

Perimeter layanan membuat batas keamanan di sekitar resource Google Cloud. Perimeter layanan memungkinkan komunikasi bebas di dalam perimeter, tetapi secara default memblokir komunikasi ke layanan Google Cloud di seluruh perimeter.

Perimeter berfungsi secara khusus dengan layanan terkelola Google Cloud. Perimeter tidak memblokir akses ke API atau layanan pihak ketiga apa pun di internet.

Anda dapat mengonfigurasi perimeter untuk mengontrol jenis komunikasi berikut:

Dari internet publik ke resource pelanggan dalam layanan terkelola
Dari virtual machine (VM) ke layanan Google Cloud (API)
Antara layanan Google Cloud

Kontrol Layanan VPC tidak mengharuskan Anda memiliki jaringan Virtual Private Cloud (VPC). Untuk menggunakan Kontrol Layanan VPC tanpa memiliki resource apa pun di jaringan VPC, Anda dapat mengizinkan traffic dari rentang IP eksternal atau akun utama IAM tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola tingkat akses.

Berikut beberapa contoh Kontrol Layanan VPC yang membuat batas keamanan:

VM dalam jaringan VPC yang merupakan bagian dari perimeter layanan dapat membaca dari atau menulis ke bucket Cloud Storage dalam perimeter yang sama. Namun, Kontrol Layanan VPC tidak mengizinkan VM dalam jaringan VPC yang berada di luar perimeter untuk mengakses bucket Cloud Storage yang berada di dalam perimeter. Anda harus menentukan kebijakan traffic masuk untuk mengizinkan VM dalam jaringan VPC yang berada di luar perimeter mengakses bucket Cloud Storage yang berada di dalam perimeter.
Project host yang berisi beberapa jaringan VPC memiliki kebijakan perimeter yang berbeda untuk setiap jaringan VPC dalam project host.
Operasi salin antara dua bucket Cloud Storage akan berhasil jika kedua bucket berada dalam perimeter layanan yang sama, tetapi jika salah satu bucket berada di luar perimeter, operasi salin akan gagal.
Kontrol Layanan VPC tidak mengizinkan VM dalam jaringan VPC yang berada di dalam perimeter layanan untuk mengakses bucket Cloud Storage yang berada di luar perimeter.

Diagram berikut menunjukkan perimeter layanan yang memungkinkan komunikasi antara project VPC dan bucket Cloud Storage di dalam perimeter, tetapi memblokir semua komunikasi di seluruh perimeter:

Memperluas perimeter ke VPN atau Cloud Interconnect resmi

Anda dapat mengonfigurasi komunikasi pribadi ke resource Google Cloud dari jaringan VPC yang mencakup lingkungan hybrid dengan ekstensi lokal Akses Google Pribadi. Untuk mengakses resource Google Cloud secara pribadi dalam perimeter, jaringan VPC yang berisi zona landing dari lokal harus menjadi bagian dari perimeter untuk resource di jaringan lokal.

VM dengan alamat IP pribadi di jaringan VPC yang diamankan oleh perimeter layanan tidak dapat mengakses resource terkelola di luar perimeter layanan. Jika perlu, Anda dapat terus mengaktifkan akses yang diperiksa dan diaudit ke semua Google API (misalnya, Gmail) melalui internet.

Diagram berikut menunjukkan perimeter layanan yang diperluas ke lingkungan hybrid dengan Akses Google Pribadi:

Mengontrol akses ke resource Google Cloud dari internet

Akses dari internet ke resource terkelola dalam perimeter layanan ditolak secara default. Secara opsional, Anda dapat mengaktifkan akses berdasarkan konteks permintaan. Untuk melakukannya, Anda dapat membuat aturan masuk atau tingkat akses untuk mengizinkan akses berdasarkan berbagai atribut, seperti alamat IP sumber, identitas, atau project Google Cloud sumber. Jika permintaan yang dibuat dari internet tidak memenuhi kriteria yang ditentukan dalam aturan ingress atau tingkat akses, permintaan akan ditolak.

Untuk menggunakan konsol Google Cloud guna mengakses resource dalam perimeter, Anda harus mengonfigurasi tingkat akses yang mengizinkan akses dari satu atau beberapa rentang IPv4 dan IPv6, atau ke akun pengguna tertentu.

Diagram berikut menunjukkan perimeter layanan yang mengizinkan akses dari internet ke resource yang dilindungi berdasarkan tingkat akses yang dikonfigurasi, seperti alamat IP atau kebijakan perangkat:

Kontrol lain untuk memitigasi risiko pemindahan data yang tidak sah

Berbagi yang dibatasi domain: Anda dapat mempertimbangkan untuk menyiapkan kebijakan organisasi untuk membatasi berbagi resource ke identitas yang termasuk dalam resource organisasi tertentu. Untuk informasi selengkapnya, lihat Membatasi identitas berdasarkan domain.
Akses level bucket yang seragam: Untuk mengontrol akses ke bucket Cloud Storage secara seragam, sebaiknya siapkan izin IAM level bucket. Dengan menggunakan akses level bucket yang seragam, Anda dapat menggunakan fitur keamanan Google Cloud lainnya seperti berbagi yang dibatasi domain, workforce identity federation, dan kondisi IAM.
Autentikasi multi-faktor: Sebaiknya gunakan autentikasi multi-faktor untuk mengakses resource Google Cloud Anda.
Otomatisasi menggunakan alat infrastruktur sebagai kode: Sebaiknya deployment bucket Cloud Storage menggunakan alat otomatisasi untuk mengontrol akses ke bucket. Teruskan infrastruktur sebagai kode melalui peninjauan manual atau otomatis sebelum deployment.
Pemindaian pasca-deployment: Anda dapat mempertimbangkan untuk menggunakan alat pemindaian pasca-deployment berikut untuk memindai bucket Cloud Storage yang terbuka:
- Security Command Center
- Inventaris Aset Cloud untuk menelusuri histori metadata aset dan menganalisis kebijakan IAM untuk memahami siapa yang memiliki akses ke apa.
- Alat pihak ketiga seperti Palo Alto PrismaCloud
De-identifikasi data sensitif: Anda dapat mempertimbangkan untuk menggunakan Sensitive Data Protection untuk menemukan, mengklasifikasikan, dan melakukan de-identifikasi data sensitif di dalam dan di luar Google Cloud. De-identifikasi data sensitif dapat dilakukan dengan penyamaran, tokenisasi, atau enkripsi.

Layanan yang Tidak Didukung

Untuk informasi selengkapnya tentang produk dan layanan yang didukung oleh Kontrol Layanan VPC, lihat halaman Produk yang didukung.

Peringatan: Meskipun Anda mungkin dapat mengizinkan layanan yang tidak didukung untuk mengakses data produk dan layanan yang didukung, sebaiknya jangan lakukan hal tersebut. Masalah yang tidak terduga mungkin terjadi saat mencoba mengakses layanan yang didukung menggunakan layanan yang tidak didukung, terutama dalam project yang sama.

Layanan yang tidak didukung mungkin tidak berfungsi sama sekali jika diaktifkan di project yang dilindungi oleh Kontrol Layanan VPC, terutama jika layanan penyimpanan tingkat rendah seperti Cloud Storage atau Pub/Sub dibatasi. Sebaiknya deploy layanan yang tidak didukung di project di luar perimeter. Untuk mengizinkan layanan ini mengakses data dalam resource dalam perimeter, buat level akses yang menyertakan akun layanan untuk layanan tersebut dan terapkan ke perimeter sesuai kebutuhan.

Mencoba membatasi layanan yang tidak didukung menggunakan alat command line gcloud atau Access Context Manager API akan menyebabkan error.

Akses lintas project ke data layanan yang didukung akan diblokir oleh Kontrol Layanan VPC. Selain itu, VIP yang dibatasi dapat digunakan untuk memblokir kemampuan beban kerja untuk memanggil layanan yang tidak didukung.

Batasan umum

Ada beberapa batasan yang diketahui pada layanan, produk, dan antarmuka Google Cloud tertentu saat Anda menggunakan Kontrol Layanan VPC. Misalnya, Kontrol Layanan VPC tidak mendukung semua layanan Google Cloud. Oleh karena itu, jangan aktifkan layanan Google Cloud yang tidak didukung di perimeter. Untuk mengetahui informasi selengkapnya, lihat daftar produk yang didukung Kontrol Layanan VPC. Jika Anda perlu menggunakan layanan yang tidak didukung Kontrol Layanan VPC, aktifkan layanan tersebut di project yang berada di luar perimeter.

Sebaiknya tinjau batasan umum sebelum menyertakan layanan Google Cloud dalam perimeter. Untuk mengetahui informasi selengkapnya, lihat batasan layanan Kontrol Layanan VPC.

Glosarium

Dalam topik ini, Anda telah mempelajari beberapa konsep baru yang diperkenalkan oleh Kontrol Layanan VPC:

Kontrol Layanan VPC: Teknologi yang memungkinkan Anda menentukan perimeter layanan di sekitar resource layanan yang dikelola Google untuk mengontrol komunikasi ke dan di antara layanan tersebut.
perimeter layanan: Perimeter layanan di sekitar resource yang dikelola Google. Mengizinkan komunikasi gratis dalam perimeter, tetapi secara default, memblokir semua komunikasi di seluruh perimeter.
aturan traffic masuk: Aturan yang mengizinkan klien API yang berada di luar perimeter untuk mengakses resource dalam perimeter. Untuk informasi selengkapnya, lihat Aturan traffic masuk dan keluar.
aturan traffic keluar: Aturan yang mengizinkan klien API atau resource yang berada di dalam perimeter untuk mengakses resource Google Cloud di luar perimeter. Perimeter ini tidak memblokir akses ke API atau layanan pihak ketiga apa pun di internet.
perantara perimeter layanan: Jembatan perimeter memungkinkan project di perimeter layanan yang berbeda untuk berkomunikasi. Jembatan perimeter bersifat dua arah, sehingga project dari setiap perimeter layanan memiliki akses yang sama dalam cakupan jembatan.

Catatan: Daripada menggunakan jembatan perimeter, sebaiknya gunakan aturan masuk dan keluar yang memberikan kontrol yang lebih terperinci.
Access Context Manager: Layanan klasifikasi permintaan berbasis konteks yang dapat memetakan permintaan ke tingkat akses berdasarkan atribut klien yang ditentukan, seperti alamat IP sumber. Untuk informasi selengkapnya, lihat Ringkasan Access Context Manager.
tingkat akses: Klasifikasi permintaan melalui internet berdasarkan beberapa atribut, seperti rentang IP sumber, perangkat klien, geolokasi, dan lainnya. Sama seperti aturan ingress, Anda dapat menggunakan tingkat akses untuk mengonfigurasi perimeter layanan guna memberikan akses dari internet berdasarkan tingkat akses yang terkait dengan permintaan. Anda dapat membuat tingkat akses menggunakan Access Context Manager.
kebijakan akses: Objek resource Google Cloud yang menentukan perimeter layanan. Anda dapat membuat kebijakan akses yang dicakup untuk folder atau project tertentu bersama dengan kebijakan akses yang dapat diterapkan ke seluruh organisasi. Organisasi hanya dapat memiliki satu kebijakan akses tingkat organisasi.
kebijakan terbatas: Kebijakan cakupan adalah kebijakan akses yang dicakup untuk folder atau project tertentu bersama dengan kebijakan akses yang berlaku untuk seluruh organisasi. Untuk informasi selengkapnya, lihat Ringkasan kebijakan cakupan.
VIP yang dibatasi: VIP yang dibatasi menyediakan rute jaringan pribadi untuk produk dan API yang didukung oleh Kontrol Layanan VPC agar data dan resource yang digunakan oleh produk tersebut tidak dapat diakses dari internet. restricted.googleapis.com diselesaikan menjadi 199.36.153.4/30. Rentang alamat IP ini tidak diumumkan ke internet.

Langkah selanjutnya

Pelajari konfigurasi perimeter layanan.
Memahami cara mengelola jaringan VPC di perimeter layanan
Tinjau batasan layanan umum.