Présentation de VPC Service Controls

VPC Service Controls vous aide à limiter les risques d'exfiltration de données à partir de services Google Cloud tels que Cloud Storage et BigQuery. Avec VPC Service Controls, vous créez des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.

Pour tous les services Google Cloud sécurisés à l'aide de VPC Service Controls, les principes suivants s'appliquent :

  • Ressources d'un périmètre auxquelles l'accès ne se fait qu'à partir de clients situés sur des réseaux VPC autorisés à l'aide de l'accès privé à Google depuis Google Cloud ou un environnement sur site.

  • Les clients d'un périmètre qui disposent d'un accès privé à certaines ressources ne peuvent pas accéder à des ressources non autorisées (potentiellement publiques) situées en dehors du périmètre.

  • Les données ne peuvent pas être copiées vers des ressources non autorisées en dehors du périmètre à l'aide d'opérations de service telles que gsutil cp ou bq mk.

  • Lorsque VPC Service Controls est activé, l'accès Internet aux ressources d'un périmètre est restreint à l'aide de plages d'adresses IPv4 et IPv6 figurant sur la liste blanche.

VPC Service Controls offre un niveau de sécurité supplémentaire pour les services Google Cloud, indépendamment de la gestion de l'authentification et des accès (IAM). Tandis que les stratégies IAM permettent un contrôle d'accès précis basé sur l'identité, VPC Service Controls offre une sécurité périmétrique basée sur le contexte plus étendue, et permet par exemple de contrôler la sortie des données au-delà du périmètre. Nous vous recommandons d'utiliser VPC Service Controls conjointement à IAM pour bénéficier d'une défense en profondeur.

Avantages en matière de sécurité offerts par VPC Service Controls

VPC Service Controls permet de limiter les risques de sécurité suivants sans sacrifier les avantages en termes de performances de l'accès privé direct aux ressources Google Cloud :

  1. L'accès à partir de réseaux non autorisés avec des identifiants volés : VPC Service Controls ne permet qu'aux réseaux VPC autorisés de bénéficier d'un accès privé, ce qui vous offre une protection contre le vol des identifiants OAuth ou des identifiants du compte de service.

  2. L'exfiltration de données due à des menaces internes ou à un code compromis : VPC Service Controls complète les contrôles effectués sur la sortie des réseaux en empêchant les clients de ces réseaux d'accéder aux ressources des services gérés par Google en dehors du périmètre.

    VPC Service Controls empêche la lecture de données ou leur copie sur une ressource en dehors du périmètre en exécutant des opérations de service telles que la copie sur un bucket Cloud Storage public à l'aide de la commande gsutil cp ou sur une table BigQuery externe permanente à l'aide de la commande bq mk.

    Google Cloud fournit également une adresse IP virtuelle restreinte utilisée pour empêcher l'accès d'un réseau de confiance aux services de stockage qui ne sont pas intégrés à VPC Service Controls. L'adresse IP virtuelle restreinte permet également d'envoyer des requêtes aux services compatibles avec VPC Service Controls sans les exposer à Internet.

  3. L'exposition publique de données privées en raison d'une mauvaise configuration des stratégies IAM : VPC Service Controls offre un niveau de sécurité supplémentaire en empêchant l'accès à partir de réseaux non autorisés, même si les données sont exposées par des stratégies IAM mal configurées.

    Vous pouvez exploiter le rôle IAM d'administrateur de stratégies Access Context Manager pour permettre à un utilisateur autre que l'administrateur de stratégies IAM de configurer VPC Service Controls.

  4. Surveiller l'accès aux services : à l'aide de périmètres en mode test, VPC Service Controls peut être utilisé pour surveiller les requêtes adressées aux services protégés sans empêcher l'accès. VPC Service Controls peut être utilisé pour surveiller les requêtes afin de mieux comprendre le trafic de requêtes vers vos projets. Il permet de créer des périmètres honeypot pour identifier les tentatives inattendues ou malveillantes de vérification des services accessibles.

VPC Service Controls est configuré de sorte que votre organisation Google Cloud crée une règle étendue et uniforme qui s'applique de manière cohérente à toutes les ressources protégées dans le périmètre. Vous conservez la possibilité de traiter, transformer et copier librement des données au sein du périmètre. De plus, les contrôles de sécurité s'appliquent automatiquement à toutes les nouvelles ressources créées au sein de celui-ci.

VPC Service Controls et métadonnées

VPC Service Controls n'est pas conçu pour appliquer des contrôles complets sur le déplacement des métadonnées.

Dans ce contexte, "données" désigne le contenu stocké dans une ressource Google Cloud. Par exemple, le contenu d'un objet Cloud Storage. Les "métadonnées" désignent les attributs de la ressource ou de son parent. Il peut par exemple s'agir de noms de buckets Cloud Storage.

L'objectif principal de cette version de VPC Service Controls est de contrôler le déplacement des données, plutôt que celui des métadonnées, au-delà d'un périmètre de service via des services compatibles. Bien que VPC Service Controls gère également l'accès aux métadonnées dans la plupart des cas, il existe certains scénarios dans lesquels il est possible de copier et d'accéder aux métadonnées sans aucune vérification des règles VPC Service Controls.

Nous vous recommandons d'utiliser IAM (et d'employer des rôles personnalisés) pour définir un contrôle approprié sur l'accès aux métadonnées.

Fonctionnalités

VPC Service Controls vous offre tous ces avantages en vous permettant de définir des règles de sécurité qui empêchent l'accès aux services gérés par Google en dehors d'un périmètre approuvé, en bloquant l'accès aux données depuis des emplacements non approuvés et en limitant les risques d'exfiltration des données. Dans cette version de VPC Service Controls, vous pouvez effectuer les opérations suivantes :

Isoler des ressources GCP dans des périmètres de service

Un périmètre de service crée une limite de sécurité autour des ressources Google Cloud. Vous pouvez configurer un périmètre de service pour contrôler les communications entre des machines virtuelles (VM) et un service Google Cloud (API), ainsi qu'entre les services Google Cloud. Un périmètre de service permet une communication libre au sein du périmètre, mais bloque par défaut toutes les communications au-delà de celui-ci.

Exemple :

  • Une VM d'un réseau VPC (Virtual Private Cloud) faisant partie d'un périmètre de service peut lire ou écrire des données dans un bucket Cloud Storage situé au sein du même périmètre. Cependant, toute tentative d'accès au bucket à partir de réseaux VPC situés en dehors du périmètre est refusée.

  • Une opération de copie entre deux buckets Cloud Storage aboutit si les deux buckets se trouvent au sein du même périmètre de service, mais échoue si l'un des deux se situe en dehors.

  • Une VM d'un réseau VPC faisant partie d'un périmètre de service peut accéder de manière privée à tous les buckets Cloud Storage du même périmètre. Toutefois, la VM se voit refuser l'accès aux buckets Cloud Storage situés en dehors du périmètre.

Étendre des périmètres via une connexion VPN ou Cloud Interconnect autorisée

Les extensions sur site de l'accès privé à Google permettent de configurer la communication privée avec les ressources Google Cloud à partir de réseaux VPC qui couvrent des environnements hybrides. Un réseau VPC doit faire partie d'un périmètre de service pour que les VM qu'il contient puissent accéder de manière privée aux ressources Google Cloud gérées de ce périmètre.

Les VM dotées d'adresses IP privées qui appartiennent à un réseau VPC faisant partie d'un périmètre de service ne peuvent pas accéder aux ressources gérées situées en dehors du périmètre. Si nécessaire, vous pouvez continuer à autoriser un accès examiné et contrôlé à toutes les API Google (par exemple, Gmail) sur Internet.

Par exemple, une VM d'un réseau VPC faisant partie d'un périmètre de service peut accéder de manière privée à un bucket Cloud Storage se trouvant dans le même périmètre. Toutefois, la VM se voit refuser l'accès aux buckets Cloud Storage situés en dehors du périmètre de service.

Contrôler l'accès aux ressources GCP depuis Internet

Par défaut, l'accès depuis Internet aux ressources gérées d'un périmètre de service est refusé. Si vous le souhaitez, vous pouvez activer l'accès en fonction du contexte de la requête. Pour ce faire, vous pouvez créer des niveaux d'accès qui contrôlent l'accès en fonction d'un certain nombre d'attributs, tels que l'adresse IP source. Les requêtes effectuées depuis Internet sont refusées si elles ne répondent pas aux critères définis dans le niveau d'accès.

Pour que Cloud Console puisse accéder aux ressources d'un périmètre, vous devez configurer un niveau d'accès permettant l'accès à une ou plusieurs plages IPv4 et IPv6, ou à des comptes utilisateur spécifiques.

Services incompatibles

Pour en savoir plus sur les produits et services compatibles avec VPC Service Controls, consultez la page Produits compatibles et limites.

Toute tentative visant à limiter un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager génère une erreur.

L'accès entre projets aux données de services incompatibles est bloqué par VPC Service Controls. De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.

Terminologie

Cet article traite de plusieurs nouveaux concepts introduits par VPC Service Controls :

VPC Service Controls
Technologie vous permettant de définir un périmètre de sécurité autour des ressources des services gérés par Google afin de contrôler les communications avec et entre ces services.
Adresse IP virtuelle restreinte
L'adresse IP virtuelle restreinte fournit une route de réseau privée aux produits et aux API compatibles avec VPC Service Controls afin de rendre les données et les ressources utilisées par ces produits inaccessibles depuis Internet. restricted.googleapis.com renvoie 199.36.153.4/30. Cette plage d'adresses IP n'est pas exposée sur Internet.
périmètre de service
Périmètre de sécurité autour des ressources gérées par Google. Permet une communication libre au sein du périmètre, mais bloque par défaut toutes les communications au-delà de celui-ci.
liaison de périmètre de service
Une liaison de périmètre permet à des projets situés dans différents périmètres de sécurité de communiquer. Comme les liaisons de périmètre sont bidirectionnelles, les projets de chaque périmètre de service bénéficient d'un accès identique, tel que défini dans le champ d'application de la liaison.
Access Context Manager
Service de classification de requêtes sensible au contexte pouvant mapper une requête à un niveau d'accès en fonction d'attributs spécifiques du client, tels que l'adresse IP source.
niveau d'accès
Classification de requêtes sur Internet basée sur un certain nombre d'attributs tels que la plage d'adresses IP source, l'appareil client, la géolocalisation, etc. Un périmètre de service peut être configuré pour accorder l'accès à Internet en fonction du niveau d'accès associé à une requête. Les niveaux d'accès sont déterminés par le service Access Context Manager.
règle d'accès
Objet de ressource Google Cloud définissant les périmètres de service. Il ne peut y avoir qu'un seul objet de règle d'accès au sein d'une organisation, et il s'agit d'un enfant de la ressource Organisation.

Étapes suivantes