VPC Service Controls

Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration durch von Google verwaltete Dienste wie Cloud Storage und BigQuery verringern. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Für alle von Google verwalteten Dienste, die mit VPC Service Controls gesichert werden, können Sie Folgendes gewährleisten:

  • Ressourcen innerhalb eines Perimeters können nur mit privatem Zugriff von Clients in autorisierten VPC-Netzwerken aufgerufen werden. Dazu kann in der Google Cloud oder einer lokalen Infrastruktur der private Google-Zugriff genutzt werden.

  • Clients innerhalb eines Perimeters, die privaten Zugriff auf Ressourcen haben, haben keinen Zugriff auf nicht autorisierte (potenziell öffentliche) Ressourcen außerhalb des Perimeters.

  • Mit Dienstvorgängen wie gsutil cp oder bq mk können keine Daten in nicht autorisierte Ressourcen außerhalb des Perimeters kopiert werden.

  • Der Internetzugriff (wenn aktiviert) auf Ressourcen innerhalb eines Perimeters wird über eine weiße Liste von IPv4- und IPv6-Bereichen eingeschränkt.

VPC Service Controls bietet eine zusätzliche Sicherheitsebene für Google Cloud-Dienste, die unabhängig von Cloud Identity and Access Management (Cloud IAM) ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von Cloud IAM ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, einschließlich der Kontrolle ausgehender Datenübertragungen im gesamten Perimeter. Für einen tief greifenden Schutz Ihrer Umgebung empfehlen wir, VPC Service Controls und Cloud IAM zu kombinieren.

Sicherheitsvorteile von VPC Service Controls

VPC Service Controls hilft, die folgenden Sicherheitsrisiken zu minimieren, ohne die Leistungsvorteile des direkten privaten Zugriffs auf Google Cloud-Ressourcen zu beeinträchtigen:

  1. Zugriff aus nicht autorisierten Netzwerken mit gestohlenen Anmeldedaten: VPC Service Controls lässt ausschließlich private Zugriffe aus autorisierten VPC-Netzwerken zu. Das verhindert den Diebstahl von OAuth-Anmeldedaten oder Anmeldedaten für Dienstkonten.

  2. Daten-Exfiltration durch böswillige Insider oder manipulierten Code: VPC Service Controls verhindert, dass Clients innerhalb eines geschützten Netzwerks auf Ressourcen aus von Google verwalteten Diensten außerhalb des Perimeters zugreifen. Dadurch erhalten Sie zusätzliche Kontrolle über den ausgehenden Netzwerk-Traffic.

    VPC Service Controls verhindert auch das Lesen von Daten aus oder das Kopieren von Daten in eine Ressource außerhalb des Perimeters mithilfe von Dienstvorgängen, z. B. dem Kopieren in einen öffentlichen Cloud Storage-Bucket mit dem Befehl gsutil cp oder zu einer permanenten externen BigQuery-Tabelle mithilfe des Befehls bq mk.

    Mit eingeschränkten VIPs können Sie dafür sorgen, dass von einem vertrauenswürdigen Netzwerk kein Zugriff auf Speicherdienste erfolgt, die nicht in VPC Service Controls eingebunden sind.

  3. Unbeabsichtigte Veröffentlichung privater Daten durch falsch konfigurierte Cloud IAM-Richtlinien: VPC Service Controls verweigert den Zugriff von nicht autorisierten Netzwerken, selbst wenn Daten durch falsch konfigurierte Cloud IAM-Richtlinien öffentlich verfügbar gemacht werden. Dies sorgt für eine zusätzliche Sicherheitsebene.

    Mit der Rolle "Access Context Manager-Richtlinienadministrator" für Cloud IAM können Sie einem Nutzer ermöglichen, VPC Service Controls zu konfigurieren, auch wenn er kein Cloud IAM-Richtlinienadministrator ist.

VPC Service Controls ist für Ihre Google Cloud-Organisation so konfiguriert, dass eine umfassende, einheitliche Richtlinie erstellt wird, die einheitlich auf alle geschützten Ressourcen innerhalb des Perimeters angewendet wird. Dabei behalten Sie genug Flexibilität, um Daten innerhalb des Perimeters verarbeiten, umwandeln und kopieren zu können. Die Sicherheitseinstellungen werden automatisch auf alle neuen Ressourcen angewendet, die in einem Perimeter erstellt werden.

VPC Service Controls und Metadaten

VPC Service Controls ist nicht dafür konzipiert, umfassende Kontrollen für die Übertragung von Metadaten durchzusetzen.

"Daten" sind in diesem Zusammenhang definiert als Inhalte, die in einer Google Cloud-Ressource gespeichert sind. Zum Beispiel die Inhalte eines Cloud Storage-Objekts. "Metadaten" sind definiert als die Attribute der Ressource oder ihres übergeordneten Elements. z. B. Namen von Cloud Storage-Buckets.

Das primäre Designziel dieser Version von VPC Service Controls besteht darin, die Übertragung von Daten, nicht von Metadaten, in einem Dienstperimeter mithilfe von unterstützten Diensten zu steuern. In der Regel wird mit VPC Service Controls zwar auch der Zugriff auf Metadaten gesteuert, doch es kann Szenarien geben, in denen Metadaten ohne VPC Service Controls-Richtlinienprüfungen kopiert und aufgerufen werden können.

Damit Sie den Zugriff auf Metadaten bedarfsgerecht steuern können, sollten Sie Cloud IAM und benutzerdefinierte Rollen verwenden.

Rechte

Mit VPC Service Controls können Sie Sicherheitsrichtlinien festlegen, die den Zugriff auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters verhindern, den Zugriff auf Daten von nicht vertrauenswürdigen Standorten blockieren und das Risiko der Daten-Exfiltration verringern. Diese Version von VPC Service Controls bietet Ihnen folgende Möglichkeiten:

GCP-Ressourcen in Dienstperimetern isolieren

Ein Dienstperimeter zieht eine Sicherheitsgrenze um Google Cloud-Ressourcen. Sie können einen Dienstperimeter konfigurieren, um die Kommunikation von virtuellen Maschinen (VMs) zu einem Google Cloud-Dienst (API) und zwischen Google Cloud-Diensten zu steuern. Dienstperimeter ermöglichen die uneingeschränkte Kommunikation innerhalb der Sicherheitsgrenzen, blockieren jedoch standardmäßig die gesamte grenzüberschreitende Kommunikation.

Beispiel:

  • Eine VM in einem VPC-Netzwerk (Virtual Private Cloud), das Teil eines Dienstperimeters ist, kann Lese- oder Schreibzugriffe auf einen Cloud Storage-Bucket im selben Perimeter vornehmen. Jeder versuchte Zugriff auf den Bucket von VPC-Netzwerken, die sich nicht innerhalb des Perimeters befinden, wird jedoch verweigert.

  • Ein Kopiervorgang zwischen zwei Cloud Storage-Buckets ist erfolgreich, wenn sich beide Buckets im selben Dienstperimeter befinden. Der gleiche Vorgang schlägt jedoch fehl, wenn sich einer der Buckets außerhalb des Perimeters befindet.

  • Eine VM in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, kann private Zugriffe auf alle Cloud Storage-Buckets im selben Perimeter vornehmen. Der Zugriff auf Cloud Storage-Buckets außerhalb des Perimeters wird der VM jedoch verweigert.

Perimeter über autorisierte VPN- oder Cloud Interconnect-Verbindungen ausweiten

Sie können private Kommunikation mit Google Cloud-Ressourcen von VPC-Netzwerken konfigurieren, die hybride Umgebungen mit lokalen Erweiterungen von privatem Google-Zugriff umfassen. Ein VPC-Netzwerk muss Teil eines Dienstperimeters sein, damit VMs aus diesem Netzwerk den privaten Zugriff nutzen können, um verwaltete Google Cloud-Ressourcen innerhalb des Dienstperimeters aufzurufen.

VMs mit privaten IP-Adressen in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, können nicht auf verwaltete Ressourcen außerhalb des Dienstperimeters zugreifen. Bei Bedarf können Sie den überwachten und geprüften Zugriff auf alle Google APIs (z. B. Gmail) über das Internet dauerhaft aktivieren.

Beispiel: Eine VM in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, kann private Zugriffe auf einen Cloud Storage-Bucket im selben Perimeter vornehmen. Der Zugriff auf Cloud Storage-Buckets außerhalb des Perimeters wird der VM jedoch verweigert.

Zugriff auf GCP-Ressourcen über das Internet steuern

Verwaltete Ressourcen, die sich innerhalb eines Dienstperimeters befinden, können standardmäßig nicht über das Internet aufgerufen werden. Optional können Sie den Zugriff basierend auf dem Kontext der Anfrage aktivieren. Dazu können Sie Zugriffsebenen erstellen, die den Zugriff basierend auf einer Reihe von Attributen steuern, z. B. der Quell-IP-Adresse. Anfragen aus dem Internet werden abgelehnt, wenn sie die in der Zugriffsebene festgelegten Kriterien nicht erfüllen.

Um mit der Cloud Console auf Ressourcen innerhalb eines Perimeters zuzugreifen, müssen Sie eine Zugriffsebene konfigurieren, die den Zugriff aus einem oder mehreren IPv4- oder IPv6-Bereichen oder auf bestimmte Nutzerkonten zulässt.

Nicht unterstützte Dienste

Weitere Informationen zu Produkten und Diensten, die von VPC Service Controls unterstützt werden, finden Sie auf der Seite Unterstützte Produkte.

Der Versuch, einen nicht unterstützten Dienst mit dem Befehlszeilentool gcloud oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Arbeitslasten zu blockieren.

Terminologie

In diesem Thema wurden im Zusammenhang mit VPC Service Controls mehrere neue Begriffe eingeführt:

VPC Service Controls
Eine Technologie, mit der Sie einen Sicherheitsbereich für Ressourcen aus von Google verwalteten Diensten festlegen können, um die Kommunikation mit und zwischen diesen Diensten zu steuern.
Eingeschränkte VIP
Der eingeschränkte VIP stellt eine private Netzwerkroute für Produkte und APIs bereit, die von VPC Service Controls unterstützt werden, um Daten und Ressourcen für diese Produkte aus dem Internet unzugänglich zu machen. restricted.googleapis.com wird in 199.36.153.4/30 aufgelöst. Dieser IP-Adressbereich wird nicht für das Internet freigegeben.
Dienstperimeter
Ein Sicherheitsbereich um von Google verwaltete Ressourcen, der die freie Kommunikation innerhalb des Perimeters ermöglicht, aber die gesamte Kommunikation über die Perimetergrenzen hinaus standardmäßig unterbindet.
Dienstperimeter-Bridge
Eine Perimeter-Bridge ermöglicht die Kommunikation zwischen Projekten in unterschiedlichen Perimetern. Perimeter-Bridges funktionieren bidirektional. Die Projekte in jedem Dienstperimeter haben die gleichen Zugriffsrechte.
Access Context Manager
Ein kontextsensitiver Dienst zur Anfragenklassifizierung, der eine Anfrage anhand der angegebenen Attribute eines Clients, z. B. der Quell-IP-Adresse, einer Zugriffsebene zuordnen kann.
Zugriffsebene
Eine Klassifizierung von Anfragen über das Internet, die auf einer Reihe von Attributen wie Quell-IP-Bereich, Clientgerät und Standortbestimmung basiert. Ein Dienstperimeter kann so konfiguriert werden, dass er basierend auf der mit einer Anfrage verknüpften Zugriffsebene Zugriff aus dem Internet gewährt. Die Zugriffsebenen werden vom Access Context Manager-Dienst festgelegt.
Zugriffsrichtlinie
Ein Google Cloud-Ressourcenobjekt, das Dienstperimeter definiert. Für jede Organisation kann es nur ein Zugriffsrichtlinienobjekt geben. Dabei handelt es sich um ein untergeordnetes Element der Organisationsressource.

Nächste Schritte