VPC Service Controls

Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus Google Cloud-Diensten wie Cloud Storage und BigQuery verringern. Mit VPC Service Controls können Sie Perimeter erstellen, die die Ressourcen und Daten von Diensten schützen, die Sie explizit angeben.

VPC Service Controls schützt Ihre Google Cloud-Dienste durch Definition der folgenden Steuerelemente:

  • Clients innerhalb eines Perimeters, die privaten Zugriff auf Ressourcen haben, haben keinen Zugriff auf nicht autorisierte (potenziell öffentliche) Ressourcen außerhalb des Perimeters.

  • Mit Dienstvorgängen wie gsutil cp oder bq mk ist es nicht möglich, Daten in nicht autorisierte Ressourcen außerhalb des Perimeters zu kopieren.

  • Der Datenaustausch zwischen Clients und Ressourcen, die durch Perimeter getrennt sind, wird mithilfe von Regeln für eingehenden und ausgehenden Traffic gesichert.

  • Der kontextsensitive Zugriff auf Ressourcen basiert auf Clientattributen wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkursprung (IP-Adresse oder VPC-Netzwerk). Beispiele für den kontextsensitiven Zugriff:

    • Clients außerhalb des Perimeters, die sich in Google Cloud oder lokal befinden, befinden sich in autorisierten VPC-Netzwerken und verwenden den privaten Google-Zugriff, um auf Ressourcen innerhalb eines Perimeters zuzugreifen.

    • Der Internetzugriff auf Ressourcen innerhalb eines Perimeters ist auf einen Bereich von IPv4- und IPv6-Adressen beschränkt.

VPC Service Controls bietet eine weitere Sicherheitsebene für Google Cloud-Dienste, die unabhängig von der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von IAM ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, einschließlich der Kontrolle ausgehender Datenübertragungen im gesamten Perimeter. Für einen tiefer greifenden Schutz Ihrer Umgebung empfehlen wir, VPC Service Controls und Cloud IAM zu kombinieren.

Sicherheitsvorteile von VPC Service Controls

Mit VPC Service Controls können Sie die folgenden Sicherheitsrisiken mindern, ohne die Leistungsvorteile eines direkten privaten Zugriffs auf Google Cloud-Ressourcen zu beeinträchtigen:

  • Zugriff aus nicht autorisierten Netzwerken mit gestohlenen Anmeldedaten: VPC Service Controls lässt ausschließlich private Zugriffe aus autorisierten VPC-Netzwerken zu. Das verhindert den Diebstahl von OAuth-Anmeldedaten oder Anmeldedaten für Dienstkonten.

  • Daten-Exfiltration durch böswillige Insider oder manipulierten Code: VPC Service Controls verhindert, dass Clients innerhalb eines geschützten Netzwerks auf Ressourcen aus von Google verwalteten Diensten außerhalb des Perimeters zugreifen. Dadurch erhalten Sie zusätzliche Kontrolle über den ausgehenden Netzwerk-Traffic.

    VPC Service Controls verhindert auch das Lesen von Daten aus oder das Kopieren von Daten in eine Ressource außerhalb des Perimeters. VPC Service Controls verhindert Dienstvorgänge wie das Kopieren eines Befehls gsutil cp in einen öffentlichen Cloud Storage-Bucket oder des Befehls bq mk in eine permanente externe BigQuery-Tabelle.

    Google Cloud bietet außerdem eine eingeschränkte virtuelle IP-Adresse, die in VPC Service Controls eingebunden ist. Mit der eingeschränkten VIP können auch Anfragen an Dienste gesendet werden, die von VPC Service Controls unterstützt werden, ohne diese Anfragen über das Internet zugänglich zu machen.

  • Unbeabsichtigte Veröffentlichung privater Daten durch falsch konfigurierte IAM-Richtlinien: VPC Service Controls verweigert den Zugriff aus nicht autorisierten Netzwerken, selbst wenn Daten durch falsch konfigurierte IAM-Richtlinien öffentlich verfügbar gemacht werden und bietet so eine weitere Sicherheitsebene.

  • Zugriff auf Dienste überwachen: Verwenden Sie VPC Service Controls im Probelaufmodus, um Anfragen an geschützte Dienste zu überwachen, ohne den Zugriff zu verhindern und um Trafficanfragen an Ihre Projekte zu verstehen. Sie können Honeypot-Perimeter auch erstellen, um unerwartete oder böswillige Zugriffsversuche auf zugängliche Dienste zu identifizieren.

VPC Service Controls ist für Ihre Google Cloud-Organisation so konfiguriert, dass eine allgemeine, einheitliche Richtlinie erstellt wird, die für alle geschützten Ressourcen innerhalb des Perimeters gilt. Dabei behalten Sie genug Flexibilität, um Daten innerhalb des Perimeters verarbeiten, umwandeln und kopieren zu können. Die Sicherheitseinstellungen werden automatisch auf alle neuen Ressourcen angewendet, die in einem Perimeter erstellt werden.

VPC Service Controls und Metadaten

VPC Service Controls ist nicht dafür konzipiert, umfassende Kontrollen für die Übertragung von Metadaten durchzusetzen.

Der Begriff „Daten” bezieht sich in diesem Zusammenhang auf Inhalte, die in einer Google Cloud-Ressource gespeichert sind. Beispiel: der Inhalt eines Cloud Storage-Objekts. „Metadaten” sind als Attribute der Ressource oder des übergeordneten Elements definiert. z. B. Namen von Cloud Storage-Buckets.

Das primäre Ziel von VPC Service Controls besteht darin, die Übertragung von Daten, nicht von Metadaten, in einem Dienstperimeter mithilfe von unterstützten Diensten zu steuern. Mit VPC Service Controls wird auch der Zugriff auf Metadaten verwaltet. Es kann jedoch Szenarien geben, in denen Metadaten ohne VPC Service Controls-Richtlinienprüfungen kopiert und aufgerufen werden können.

Wir empfehlen, IAM einschließlich benutzerdefinierter Rollen zu verwenden, um den Zugriff auf Metadaten angemessen zu kontrollieren.

Rechte

Mit VPC Service Controls können Sie Sicherheitsrichtlinien definieren, die den Zugriff auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters verhindern, den Zugriff auf Daten von nicht vertrauenswürdigen Standorten blockieren und das Risiko der Daten-Exfiltration verringern. Sie können VPC Service Controls für die folgenden Anwendungsfälle verwenden:

Google Cloud-Ressourcen in Dienstperimetern isolieren

Ein Dienstperimeter zieht eine Sicherheitsgrenze um Google Cloud-Ressourcen. Sie können einen Perimeter konfigurieren, um die Kommunikation von virtuellen Maschinen (VMs) zu einem Google Cloud-Dienst (API) und zwischen Google Cloud-Diensten zu steuern. Perimeter ermöglichen die uneingeschränkte Kommunikation innerhalb der Sicherheitsgrenzen, blockieren jedoch standardmäßig die gesamte grenzüberschreitende Kommunikation.

Beispiel:

  • Eine VM in einem VPC-Netzwerk (Virtual Private Cloud), das Teil eines Dienstperimeters ist, kann Lese- oder Schreibzugriffe auf einen Cloud Storage-Bucket im selben Perimeter vornehmen. Jeder versuchte Zugriff auf den Bucket von VPC-Netzwerken, die sich nicht innerhalb des Perimeters befinden, wird jedoch verweigert.

  • Ein Kopiervorgang zwischen zwei Cloud Storage-Buckets ist erfolgreich, wenn sich beide Buckets im selben Dienstperimeter befinden. Wenn sich einer der Buckets jedoch außerhalb des Perimeters befindet, schlägt der Kopiervorgang fehl.

  • Eine VM in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, kann private Zugriffe auf alle Cloud Storage-Buckets im selben Perimeter vornehmen. Der Zugriff auf Cloud Storage-Buckets außerhalb des Perimeters wird der VM jedoch verweigert.

Perimeter über autorisierte VPN- oder Cloud Interconnect-Verbindungen ausweiten

Sie können private Kommunikation mit Google Cloud-Ressourcen aus VPC-Netzwerken konfigurieren, die hybride Umgebungen mit lokalen Erweiterungen für privaten Google-Zugriff umfassen. Ein VPC-Netzwerk muss Teil eines Dienstperimeters sein, damit VMs aus diesem Netzwerk den privaten Zugriff nutzen können, um verwaltete Google Cloud-Ressourcen innerhalb des Dienstperimeters aufzurufen.

VMs mit privaten IP-Adressen in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, können nicht auf verwaltete Ressourcen außerhalb des Dienstperimeters zugreifen. Bei Bedarf können Sie den überwachten und geprüften Zugriff auf alle Google APIs (z. B. Gmail) über das Internet dauerhaft aktivieren.

Beispiel: Eine VM in einem VPC-Netzwerk, das Teil eines Dienstperimeters ist, kann private Zugriffe auf einen Cloud Storage-Bucket im selben Perimeter vornehmen. Der Zugriff auf Cloud Storage-Buckets außerhalb des Dienstperimeters wird der VM jedoch verweigert.

Zugriff auf Google Cloud-Ressourcen über das Internet steuern

Verwaltete Ressourcen, die sich innerhalb eines Dienstperimeters befinden, können standardmäßig nicht über das Internet aufgerufen werden. Sie können den Zugriff optional auch basierend auf dem Kontext der Anfrage aktivieren. Dazu können Sie Zugriffsebenen erstellen, die den Zugriff anhand verschiedener Attribute wie der Quell-IP-Adresse steuern. Wenn Anfragen aus dem Internet nicht die in der Zugriffsebene definierten Kriterien erfüllen, werden die Anfragen abgelehnt.

Wenn Sie für den Zugriff auf Ressourcen innerhalb eines Perimeters die Cloud Console verwenden möchten, müssen Sie eine Zugriffsebene konfigurieren, die den Zugriff aus einem oder mehreren IPv4- und IPv6-Bereichen oder von bestimmten Nutzerkonten ermöglicht.

Nicht unterstützte Dienste

Weitere Informationen zu Produkten und Diensten, die von VPC Service Controls unterstützt werden, finden Sie auf der Seite Unterstützte Produkte.

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Arbeitslasten zu blockieren.

Terminologie

In diesem Thema wurden im Zusammenhang mit VPC Service Controls mehrere neue Begriffe eingeführt:

VPC Service Controls
Eine Technologie, mit der Sie einen Sicherheitsbereich für Ressourcen aus von Google verwalteten Diensten festlegen können, um die Kommunikation mit und zwischen diesen Diensten zu steuern.
Dienstperimeter
Ein Sicherheitsbereich um von Google verwaltete Ressourcen. Dieser Bereich ermöglicht die freie Kommunikation innerhalb des Perimeters, unterbindet aber standardmäßig die gesamte Kommunikation über die Perimetergrenzen hinaus.
Regel für eingehenden Traffic
Eine Regel, die einem API-Client, der sich außerhalb des Perimeters befindet, den Zugriff auf Ressourcen innerhalb eines Perimeters ermöglicht.
Regel für ausgehenden Traffic
Eine Regel, die einem API-Client oder einer Ressource innerhalb des Perimeters den Zugriff auf Ressourcen außerhalb des Perimeters zulässt.
Dienstperimeter-Bridge
Eine Perimeter-Bridge ermöglicht die Kommunikation zwischen Projekten in unterschiedlichen Perimetern. Perimeter-Bridges funktionieren bidirektional. Die Projekte in jedem Dienstperimeter haben die gleichen Zugriffsrechte.
Access Context Manager
Ein kontextsensitiver Dienst zur Anfragenklassifizierung, der eine Anfrage anhand der angegebenen Attribute eines Clients, z. B. der Quell-IP-Adresse, einer Zugriffsebene zuordnen kann.
Zugriffsebene
Eine Klassifizierung von Anfragen über das Internet, die auf mehreren Attributen wie Quell-IP-Bereich, Clientgerät und Standortbestimmung basiert. Ein Dienstperimeter kann so konfiguriert werden, dass der Zugriff über das Internet anhand der mit einer Anfrage verknüpften Zugriffsebene erteilt wird. Zugriffsebenen werden vom Access Context Manager-Dienst bestimmt.
Zugriffsrichtlinie
Ein Google Cloud-Ressourcenobjekt, das Dienstperimeter definiert. Für jede Organisation kann es nur ein Zugriffsrichtlinienobjekt geben. Dabei handelt es sich um ein untergeordnetes Element der Organisationsressource.
Eingeschränkte VIP
Die eingeschränkte VIP stellt eine private Netzwerkroute für Produkte und APIs bereit, die von VPC Service Controls unterstützt werden, um zu verhindern, dass über das Internet auf die von diesen Produkten genutzten Daten und Ressourcen zugegriffen werden kann. restricted.googleapis.com wird in 199.36.153.4/30 aufgelöst. Dieser IP-Adressbereich wird nicht für das Internet freigegeben.

Nächste Schritte