Topik ini memberikan ringkasan Kontrol Layanan VPC dan menjelaskan keuntungan dan kemampuannya.
Siapa yang harus menggunakan Kontrol Layanan VPC
Organisasi Anda mungkin memiliki kekayaan intelektual dalam bentuk data yang sangat sensitif, atau organisasi Anda mungkin menangani data sensitif yang tunduk pada peraturan perlindungan data tambahan, seperti PCI DSS. Kehilangan atau pengungkapan data sensitif yang tidak disengaja dapat menyebabkan implikasi bisnis yang negatif secara signifikan.
Jika bermigrasi dari infrastruktur lokal ke cloud, salah satu tujuan Anda mungkin mereplikasi arsitektur keamanan berbasis jaringan lokal saat memindahkan data ke Google Cloud. Untuk melindungi data yang sangat sensitif, sebaiknya pastikan bahwa resource hanya dapat diakses dari jaringan tepercaya. Beberapa organisasi mungkin mengizinkan akses publik ke resource selama permintaan berasal dari jaringan tepercaya, yang dapat diidentifikasi berdasarkan alamat IP permintaan.
Untuk mengurangi risiko pemindahan data yang tidak sah, organisasi Anda mungkin juga ingin memastikan pertukaran data yang aman di seluruh batas organisasi dengan kontrol yang terperinci. Sebagai administrator, Anda mungkin ingin memastikan hal-hal berikut:
- Klien dengan akses istimewa juga tidak memiliki akses ke resource partner.
- Klien dengan akses ke data sensitif hanya dapat membaca set data publik, tetapi tidak dapat menulisnya.
Cara Kontrol Layanan VPC mengurangi risiko pemindahan data yang tidak sah
Kontrol Layanan VPC membantu melindungi dari tindakan yang tidak disengaja atau ditargetkan oleh entity eksternal atau entity orang dalam, yang membantu meminimalkan risiko pemindahan data yang tidak sah dari layanan Google Cloud seperti Cloud Storage dan BigQuery. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Kontrol Layanan VPC mengamankan layanan Google Cloud Anda dengan menentukan kontrol berikut:
Klien dalam perimeter yang memiliki akses pribadi ke resource tidak memiliki akses ke resource yang tidak sah (berpotensi publik) di luar perimeter.
Data tidak dapat disalin ke resource tidak sah di luar perimeter menggunakan operasi layanan seperti
gsutil cp
ataubq mk
.Pertukaran data antara klien dan resource yang dipisahkan oleh perimeter diamankan menggunakan aturan masuk dan keluar.
Akses kontekstual ke resource didasarkan pada atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan asal jaringan (alamat IP atau jaringan VPC). Berikut adalah contoh akses kontekstual:
Klien di luar perimeter yang berada di Google Cloud atau infrastruktur lokal berada dalam resource VPC yang diizinkan dan menggunakan Akses Google Pribadi untuk mengakses resource di dalam perimeter.
Akses internet ke resource dalam perimeter dibatasi untuk rentang alamat IPv4 dan IPv6.
Untuk mengetahui informasi selengkapnya, lihat Akses kontekstual menggunakan aturan masuk.
Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang terpisah dari Identity and Access Management (IAM). Meskipun IAM memungkinkan kontrol akses berbasis identitas terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, termasuk mengontrol traffic keluar data di seluruh perimeter. Sebaiknya gunakan Kontrol Layanan VPC dan IAM untuk pertahanan mendalam.
Kontrol Layanan VPC dapat Anda gunakan untuk memantau pola akses resource di seluruh perimeter layanan Anda menggunakan Cloud Audit Logs. Untuk informasi lebih lanjut, lihat logging audit Kontrol Layanan VPC.
Manfaat keamanan Kontrol Layanan VPC
Kontrol Layanan VPC membantu mengurangi risiko keamanan berikut tanpa mengorbankan keunggulan performa dari akses pribadi langsung ke resource Google Cloud:
Akses dari jaringan tidak sah menggunakan kredensial yang dicuri: Dengan mengizinkan akses pribadi hanya dari jaringan VPC yang diberi otorisasi, Kontrol Layanan VPC membantu melindungi dari risiko pemindahan data yang tidak sah yang ditunjukkan oleh klien menggunakan kredensial OAuth atau akun layanan yang dicuri.
Pemindahan data yang tidak sah oleh orang dalam yang berniat jahat atau kode yang disusupi: Kontrol Layanan VPC melengkapi kontrol traffic keluar jaringan dengan mencegah klien dalam jaringan tersebut mengakses resource layanan yang dikelola Google di luar perimeter.
Kontrol Layanan VPC juga mencegah pembacaan data atau penyalinan data ke resource di luar perimeter. Kontrol Layanan VPC mencegah operasi layanan seperti penyalinan perintah
gsutil cp
ke bucket Cloud Storage publik atau penyalinan perintahbq mk
ke tabel BigQuery eksternal permanen.Google Cloud juga menyediakan IP virtual terbatas yang digunakan dan terintegrasi dengan Kontrol Layanan VPC. VIP terbatas juga dapat membuat permintaan ke layanan yang didukung oleh Kontrol Layanan VPC tanpa mengekspos permintaan tersebut ke internet.
Eksposur publik terhadap data pribadi yang disebabkan oleh kebijakan IAM yang salah dikonfigurasi: Kontrol Layanan VPC memberikan lapisan keamanan tambahan dengan menolak akses dari jaringan yang tidak sah, meskipun jika data terekspos oleh kebijakan IAM yang salah dikonfigurasi.
Memantau akses ke layanan: Gunakan Kontrol Layanan VPC dalam mode uji coba untuk memantau permintaan ke layanan yang dilindungi tanpa mencegah akses dan untuk memahami permintaan traffic ke project Anda. Anda juga dapat membuat perimeter honeypot untuk mengidentifikasi upaya yang tidak terduga atau berbahaya untuk menyelidiki layanan yang dapat diakses.
Anda dapat menggunakan kebijakan akses organisasi dan mengonfigurasi Kontrol Layanan VPC untuk seluruh organisasi Google Cloud Anda, atau menggunakan kebijakan cakupan dan mengonfigurasi Kontrol Layanan VPC untuk folder atau project dalam organisasi. Anda mempertahankan fleksibilitas untuk memproses, mengubah, dan menyalin data di dalam perimeter.
Konfigurasi Kontrol Layanan VPC dikelola di tingkat organisasi secara default, tetapi kebijakan akses terbatas untuk folder atau project dapat digunakan untuk mendelegasikan administrasi perimeter layanan ke bagian bawah hierarki resource.
Metadata dan Kontrol Layanan VPC
Kontrol Layanan VPC tidak dirancang untuk menerapkan kontrol komprehensif pada pemindahan metadata.
Dalam konteks ini, data didefinisikan sebagai konten yang disimpan di resource Google Cloud. Misalnya, konten objek Cloud Storage. Metadata didefinisikan sebagai atribut resource atau induknya. Misalnya, nama bucket Cloud Storage.
Tujuan utama Kontrol Layanan VPC adalah mengontrol pergerakan data, bukan metadata, di seluruh perimeter layanan melalui layanan yang didukung. Kontrol Layanan VPC juga mengelola akses ke metadata, tetapi mungkin ada skenario ketika metadata dapat disalin dan diakses tanpa pemeriksaan kebijakan Kontrol Layanan VPC.
Sebaiknya Anda mengandalkan IAM, termasuk penggunaan peran khusus, untuk memastikan kontrol yang sesuai atas akses ke metadata.
Kapabilitas
Dengan Kontrol Layanan VPC, Anda dapat menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah.
Anda dapat menggunakan Kontrol Layanan VPC untuk kasus penggunaan berikut:
Mengisolasi resource Google Cloud dan jaringan VPC ke dalam perimeter layanan
Perluas perimeter ke jaringan lokal menggunakan jaringan VPC zona landing Cloud Interconnect atau VPN resmi.
Mengontrol akses ke resource Google Cloud dari internet
Lindungi pertukaran data di seluruh perimeter dan organisasi dengan menggunakan aturan masuk dan keluar
Mengizinkan akses kontekstual ke resource berdasarkan atribut klien menggunakan aturan ingress
Mengisolasi resource Google Cloud ke dalam perimeter layanan
Perimeter layanan membuat batas keamanan di seputar resource Google Cloud. Perimeter layanan memungkinkan komunikasi bebas di dalam perimeter, tetapi secara default memblokir komunikasi ke layanan Google Cloud di perimeter.
Perimeter ini berfungsi secara khusus dengan layanan terkelola Google Cloud. Perimeter tidak memblokir akses ke API atau layanan pihak ketiga mana pun di internet.
Anda dapat mengonfigurasi perimeter untuk mengontrol jenis komunikasi berikut:
- Dari internet publik hingga resource pelanggan dalam layanan terkelola
- Dari virtual machine (VM) ke layanan Google Cloud (API)
- Di antara layanan Google Cloud
Kontrol Layanan VPC tidak mengharuskan Anda untuk memiliki jaringan Virtual Private Cloud (VPC). Untuk menggunakan Kontrol Layanan VPC tanpa memiliki resource di jaringan VPC, Anda dapat mengizinkan traffic dari rentang IP eksternal atau akun utama IAM tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola tingkat akses.
Berikut ini beberapa contoh Kontrol Layanan VPC yang membuat batas keamanan:
VM dalam jaringan VPC yang merupakan bagian dari perimeter layanan dapat membaca atau menulis ke bucket Cloud Storage di perimeter yang sama. Namun, Kontrol Layanan VPC tidak mengizinkan VM dalam jaringan VPC yang berada di luar perimeter untuk mengakses bucket Cloud Storage yang berada di dalam perimeter. Anda harus menentukan kebijakan ingress agar VM dalam jaringan VPC yang berada di luar perimeter dapat mengakses bucket Cloud Storage yang berada di dalam perimeter.
Project host yang berisi beberapa jaringan VPC memiliki kebijakan perimeter yang berbeda untuk setiap jaringan VPC dalam project host.
Operasi penyalinan antara dua bucket Cloud Storage akan berhasil jika kedua bucket berada di perimeter layanan yang sama. Namun, jika salah satu bucket berada di luar perimeter, operasi penyalinan akan gagal.
Kontrol Layanan VPC tidak mengizinkan VM dalam jaringan VPC yang berada di dalam perimeter layanan untuk mengakses bucket Cloud Storage yang berada di luar perimeter.
Diagram berikut menunjukkan perimeter layanan yang memungkinkan komunikasi antara project VPC dan bucket Cloud Storage di dalam perimeter, tetapi memblokir semua komunikasi di seluruh perimeter:
Memperluas perimeter ke VPN atau Cloud Interconnect yang diizinkan
Anda dapat mengonfigurasi komunikasi pribadi ke resource Google Cloud dari jaringan VPC yang mencakup lingkungan hybrid dengan ekstensi lokal Akses Google Pribadi. Untuk mengakses resource Google Cloud secara pribadi dalam perimeter, jaringan VPC yang berisi zona landing dari lokal harus menjadi bagian dari perimeter untuk resource di jaringan lokal.
VM dengan IP pribadi di jaringan VPC yang merupakan bagian dari perimeter layanan tidak dapat mengakses resource terkelola di luar perimeter layanan. Jika diperlukan, Anda dapat terus mengaktifkan akses yang diperiksa dan diaudit ke semua Google API (misalnya, Gmail) melalui internet.
Diagram berikut menunjukkan perimeter layanan yang diperluas ke lingkungan hybrid dengan Akses Google Pribadi:
Mengontrol akses ke resource Google Cloud dari internet
Akses dari internet ke resource terkelola dalam perimeter layanan ditolak secara default. Secara opsional, Anda dapat mengaktifkan akses berdasarkan konteks permintaan. Untuk melakukannya, Anda dapat membuat aturan ingress atau tingkat akses untuk mengizinkan akses berdasarkan berbagai atribut, seperti alamat IP sumber, identitas, atau project Google Cloud sumber. Jika permintaan yang dibuat dari internet tidak memenuhi kriteria yang ditentukan dalam aturan masuk atau tingkat akses, permintaan akan ditolak.
Agar dapat menggunakan konsol Google Cloud untuk mengakses resource dalam perimeter, Anda harus mengonfigurasi tingkat akses yang mengizinkan akses dari satu atau beberapa rentang IPv4 dan IPv6, atau ke akun pengguna tertentu.
Diagram berikut menunjukkan perimeter layanan yang memungkinkan akses dari internet ke resource yang dilindungi berdasarkan tingkat akses yang dikonfigurasi, seperti alamat IP atau kebijakan perangkat:
Kontrol lain untuk mengurangi risiko pemindahan data yang tidak sah
Berbagi dengan domain yang dibatasi: Anda dapat menyiapkan kebijakan organisasi untuk membatasi pembagian resource hanya untuk identitas milik resource organisasi tertentu. Untuk informasi selengkapnya, lihat Membatasi identitas menurut domain.
Akses level bucket yang seragam: Untuk mengontrol akses ke bucket Cloud Storage secara seragam, pertimbangkan untuk menyiapkan izin IAM level bucket. Penggunaan akses level bucket yang seragam memungkinkan Anda menggunakan fitur keamanan Google Cloud lainnya seperti berbagi yang dibatasi domain, federasi identitas tenaga kerja, dan kondisi IAM.
Autentikasi multi-faktor: Sebaiknya gunakan autentikasi multi-faktor untuk mengakses resource Google Cloud Anda.
Otomatisasi menggunakan alat infrastruktur sebagai kode: Sebaiknya Anda men-deploy bucket Cloud Storage menggunakan alat otomatisasi untuk mengontrol akses ke bucket. Teruskan infrastruktur sebagai kode melalui peninjauan manual atau otomatis sebelum deployment.
Pemindaian pasca-deployment: Anda dapat mempertimbangkan penggunaan alat pemindaian pasca-deployment berikut untuk memindai bucket Cloud Storage yang terbuka:
- Security Command Center
- Inventaris Aset Cloud untuk menelusuri histori metadata aset dan menganalisis kebijakan IAM untuk memahami siapa yang memiliki akses ke apa.
- Alat pihak ketiga seperti Palo Alto PrismaCloud
De-identifikasi data sensitif: Anda dapat mempertimbangkan untuk menggunakan Perlindungan Data Sensitif untuk menemukan, mengklasifikasikan, dan melakukan de-identifikasi data sensitif di dalam dan di luar Google Cloud. De-identifikasi data sensitif dapat dilakukan dengan penyamaran, tokenisasi, atau enkripsi.
Layanan yang Tidak Didukung
Untuk mengetahui informasi selengkapnya tentang produk dan layanan yang didukung oleh Kontrol Layanan VPC, lihat halaman Produk yang didukung.
Mencoba membatasi layanan yang tidak didukung menggunakan alat command line gcloud
atau
Access Context Manager API akan menghasilkan error.
Akses lintas project ke data layanan yang didukung akan diblokir oleh Kontrol Layanan VPC. Selain itu, VIP terbatas dapat digunakan untuk memblokir kemampuan beban kerja untuk memanggil layanan yang tidak didukung.
Batasan umum
Ada beberapa batasan umum terkait layanan, produk, dan antarmuka Google Cloud tertentu saat Anda menggunakan Kontrol Layanan VPC. Misalnya, Kontrol Layanan VPC tidak mendukung semua layanan Google Cloud. Oleh karena itu, jangan aktifkan layanan Google Cloud yang tidak didukung di perimeter. Untuk informasi selengkapnya, lihat daftar produk yang didukung Kontrol Layanan VPC. Jika Anda perlu menggunakan layanan yang tidak didukung oleh Kontrol Layanan VPC, aktifkan layanan tersebut dalam project yang berada di luar perimeter.
Sebaiknya tinjau batasan umum sebelum Anda menyertakan layanan Google Cloud dalam perimeter. Untuk mendapatkan informasi lebih lanjut, lihat Batasan layanan Kontrol Layanan VPC.
Glosarium
Dalam topik ini, Anda telah mempelajari beberapa konsep baru yang diperkenalkan oleh Kontrol Layanan VPC:
- Kontrol Layanan VPC
- Teknologi yang memungkinkan Anda menentukan perimeter layanan seputar resource layanan yang dikelola Google untuk mengontrol komunikasi ke dan antar-layanan tersebut.
- perimeter layanan
- Perimeter layanan terkait resource yang dikelola Google. Mengizinkan komunikasi gratis dalam perimeter, tetapi secara default memblokir semua komunikasi di seluruh perimeter.
- aturan ingress
- Aturan yang mengizinkan klien API yang berada di luar perimeter untuk mengakses resource dalam perimeter. Untuk mengetahui informasi selengkapnya, lihat Aturan traffic masuk dan keluar.
- aturan traffic keluar
- Aturan yang mengizinkan klien atau resource API yang berada di dalam perimeter untuk mengakses resource Google Cloud di luar perimeter. Perimeter tidak memblokir akses ke API atau layanan pihak ketiga mana pun di internet.
- perantara perimeter layanan
Perantara perimeter memungkinkan project di berbagai perimeter layanan untuk berkomunikasi. Perantara perimeter bersifat dua arah, sehingga project dari setiap perimeter layanan memiliki akses yang sama dalam cakupan bridge.
- Access Context Manager
Layanan klasifikasi permintaan kontekstual yang dapat memetakan permintaan ke tingkat akses berdasarkan atribut klien yang ditentukan, seperti alamat IP sumber. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Access Context Manager.
- tingkat akses
Klasifikasi permintaan melalui internet berdasarkan beberapa atribut, seperti rentang IP sumber, perangkat klien, geolokasi, dan lainnya. Sama seperti aturan masuk, Anda dapat menggunakan tingkat akses untuk mengonfigurasi perimeter layanan untuk memberikan akses dari internet berdasarkan tingkat akses yang terkait dengan permintaan. Anda dapat membuat tingkat akses menggunakan Access Context Manager.
- kebijakan akses
Objek resource Google Cloud yang menentukan perimeter layanan. Anda dapat membuat kebijakan akses yang dicakupkan ke folder atau project tertentu beserta kebijakan akses yang dapat diterapkan ke seluruh organisasi. Organisasi hanya dapat memiliki satu kebijakan akses tingkat organisasi.
- kebijakan cakupan
Kebijakan cakupan adalah kebijakan akses yang dicakupkan ke folder atau project tertentu bersama dengan kebijakan akses yang berlaku untuk seluruh organisasi. Untuk informasi selengkapnya, lihat Ringkasan kebijakan cakupan.
- VIP terbatas
VIP terbatas menyediakan rute jaringan pribadi untuk produk dan API yang didukung oleh Kontrol Layanan VPC agar data dan resource yang digunakan oleh produk tersebut tidak dapat diakses dari internet.
restricted.googleapis.com
di-resolve menjadi199.36.153.4/30
. Rentang alamat IP ini tidak diumumkan ke internet.
Langkah selanjutnya
- Pelajari konfigurasi perimeter layanan.
- Memahami cara mengelola jaringan VPC di perimeter layanan
- Tinjau batasan layanan umum.
- Pelajari lebih lanjut cara Google Cloud membantu mengurangi risiko pemindahan data yang tidak sah.