I Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di esfiltrazione dei dati dai servizi Google Cloud come Cloud Storage e BigQuery. Puoi utilizzare i Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi specificati in modo esplicito.
I Controlli di servizio VPC proteggono i tuoi servizi Google Cloud definendo i seguenti controlli:
I client all'interno di un perimetro che hanno accesso privato alle risorse non hanno accesso a risorse non autorizzate (potenzialmente pubbliche) all'esterno del perimetro.
I dati non possono essere copiati in risorse non autorizzate all'esterno del perimetro con operazioni di servizio come
gsutil cp
obq mk
.Lo scambio di dati tra client e risorse separati da perimetri viene protetto utilizzando regole in entrata e in uscita.
L'accesso sensibile al contesto alle risorse si basa sugli attributi del client, come il tipo di identità (account o utente del servizio), l'identità, i dati del dispositivo e l'origine della rete (indirizzo IP o rete VPC). Di seguito sono riportati alcuni esempi di accesso sensibile al contesto:
I client esterni al perimetro che si trovano su Google Cloud o on-premise si trovano all'interno di reti VPC autorizzate e utilizzano l'accesso privato Google per accedere alle risorse all'interno di un perimetro.
L'accesso a Internet alle risorse all'interno di un perimetro è limitato a un intervallo di indirizzi IPv4 e IPv6.
I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa per i servizi Google Cloud indipendenti da Identity and Access Management (IAM). Mentre IAM consente un controllo dell'accesso basato su identità granulare, i Controlli di servizio VPC consentono una sicurezza del perimetro perimetrale basata sul contesto più ampia, incluso il controllo del traffico dei dati in uscita attraverso il perimetro. Ti consigliamo di utilizzare sia i controlli di servizio VPC sia IAM per la difesa in profondità.
Vantaggi della sicurezza dei Controlli di servizio VPC
I Controlli di servizio VPC aiutano a ridurre i seguenti rischi per la sicurezza senza sacrificare i vantaggi in termini di prestazioni dell'accesso privato privato alle risorse Google Cloud:
Accesso da reti non autorizzate tramite credenziali rubate: consentendo l'accesso privato solo a reti VPC autorizzate, i Controlli di servizio VPC proteggono da furti di credenziali OAuth o di account di servizio.
Esfiltrazione di dati da parte di utenti malintenzionati interni o codice compromesso: i Controlli di servizio VPC completano i controlli di rete in uscita impedendo ai client presenti in tali reti di accedere alle risorse dei servizi gestiti da Google al di fuori del perimetro.
I Controlli di servizio VPC impediscono anche la lettura dei dati o la copia di dati in una risorsa all'esterno del perimetro. I Controlli di servizio VPC impediscono le operazioni del servizio come la copia di un comando
gsutil cp
in un bucket Cloud Storage pubblico o la copia di un comandobq mk
in una tabella BigQuery esterna permanente.Google Cloud fornisce inoltre un IP virtuale limitato che viene integrato con i Controlli di servizio VPC. Il VIP con restrizioni consente inoltre di effettuare richieste ai servizi supportati dai Controlli di servizio VPC senza esporle a Internet.
Esposizione pubblica dei dati privati causata da criteri IAM configurati in modo errato: i Controlli di servizio VPC forniscono un livello aggiuntivo di sicurezza negando l'accesso da reti non autorizzate, anche se i dati vengono esposti in base a criteri IAM configurati in modo errato.
Monitoraggio dell'accesso ai servizi: utilizza i Controlli di servizio VPC in modalità di prova per monitorare le richieste ai servizi protetti senza impedire l'accesso e comprendere le richieste di traffico ai tuoi progetti. Puoi anche creare perimetri di miele per identificare tentativi imprevisti o dannosi di probe dei servizi accessibili.
Puoi utilizzare un criterio di accesso dell'organizzazione e configurare i Controlli di servizio VPC per l'intera organizzazione Google Cloud oppure utilizzare i criteri con ambito e configurare i Controlli di servizio VPC per una cartella o un progetto nell'organizzazione. Manterrai la flessibilità necessaria per elaborare, trasformare e copiare i dati all'interno del perimetro. I controlli di sicurezza vengono applicati automaticamente a tutte le nuove risorse create all'interno di un perimetro.
Metadati e controlli di servizio VPC
I Controlli di servizio VPC non sono progettati per applicare controlli completi al trasferimento dei metadati.
In questo contesto, "data" è definito come contenuti archiviati in una risorsa di Google Cloud. Ad esempio, i contenuti di un oggetto Cloud Storage. "quot;Metadata" è l'attributo della risorsa o del relativo elemento principale. Ad esempio, nomi dei bucket Cloud Storage.
L'obiettivo principale dei Controlli di servizio VPC è controllare lo spostamento dei dati, anziché i metadati, in un perimetro di servizio attraverso i servizi supportati. Anche i Controlli di servizio VPC gestiscono l'accesso ai metadati, ma potrebbero verificarsi scenari in cui i metadati possono essere copiati e visualizzati senza i controlli dei criteri dei Controlli di servizio VPC.
Ti consigliamo di fare affidamento su IAM, incluso l'utilizzo dei ruoli personalizzati, per garantire il controllo appropriato sull'accesso ai metadati.
Competenze
I Controlli di servizio VPC consentono di definire criteri di sicurezza che impediscono l'accesso ai servizi gestiti da Google al di fuori di un perimetro attendibile, bloccano l'accesso ai dati da posizioni non attendibili e mitigano i rischi di esfiltrazione di dati. Puoi utilizzare i Controlli di servizio VPC per i seguenti casi d'uso:
Isolare risorse Google Cloud e reti VPC in perimetri di servizio
Estendi i perimetri alle reti on-premise a VPN o Cloud Interconnect autorizzati
Controllare l'accesso alle risorse di Google Cloud da Internet
Proteggere lo scambio di dati tra perimetri e organizzazioni utilizzando le regole in entrata e in uscita
Consenti l'accesso sensibile al contesto alle risorse in base agli attributi del client utilizzando le regole in entrata.
Isolare le risorse Google Cloud nei perimetri di servizio
Un perimetro di servizio crea un confine di sicurezza intorno alle risorse Google Cloud. Puoi configurare un perimetro per controllare le comunicazioni da macchine virtuali (VM) a un servizio Google Cloud (API) e tra i servizi Google Cloud. Un perimetro consente la comunicazione gratuita all'interno del perimetro, ma per impostazione predefinita blocca la comunicazione con i servizi Google Cloud all'interno del perimetro. Il perimetro non blocca l'accesso a servizi o API di terze parti in Internet.
Ecco alcuni esempi di Controlli di servizio VPC che creano un limite di sicurezza:
Una VM all'interno di una rete Virtual Private Cloud (VPC) che fa parte di un perimetro di servizio può leggere o scrivere in un bucket Cloud Storage nello stesso perimetro. Tuttavia, i Controlli di servizio VPC non consentono alle VM all'interno delle reti VPC all'esterno del perimetro di accedere ai bucket Cloud Storage all'interno del perimetro.
Un'operazione di copia tra due bucket Cloud Storage ha esito positivo se entrambi i bucket si trovano nello stesso perimetro di servizio, ma se uno dei bucket si trova all'esterno del perimetro, l'operazione di copia non riesce.
I Controlli di servizio VPC non consentono a una VM all'interno di una rete VPC all'interno di un perimetro di servizio di accedere ai bucket Cloud Storage esterni al perimetro.
Il seguente diagramma mostra un perimetro di servizio che consente la comunicazione tra un progetto VPC e un bucket Cloud Storage all'interno del perimetro, ma blocca tutte le comunicazioni all'interno del perimetro:
Estendi i perimetri a VPN autorizzata o Cloud Interconnect
Puoi configurare la comunicazione privata con le risorse Google Cloud da reti VPC che coprono ambienti ibridi con estensioni on-premise di accesso privato Google. Una rete VPC deve fare parte di un perimetro di servizio per le VM su tale rete per accedere privatamente alle risorse Google Cloud gestite all'interno di tale perimetro di servizio.
Le VM con IP privati su una rete VPC che fa parte di un perimetro di servizio non possono accedere alle risorse gestite all'esterno del perimetro di servizio. Se necessario, puoi continuare ad attivare l'accesso controllato e controllato a tutte le API di Google (ad esempio, Gmail) su Internet.
Il seguente diagramma mostra un perimetro di servizio che si estende ad ambienti ibridi con accesso privato Google:
Controlla l'accesso a risorse Google Cloud da Internet
L'accesso da Internet alle risorse gestite all'interno di un perimetro di servizio è negato per impostazione predefinita. Se vuoi, puoi abilitare l'accesso in base al contesto della richiesta. A tale scopo, puoi creare livelli di accesso che controllano l'accesso in base a vari attributi, come l'indirizzo IP di origine. Se le richieste effettuate da Internet non soddisfano i criteri definiti nel livello di accesso, le richieste vengono rifiutate.
Per utilizzare Cloud Console per accedere alle risorse all'interno di un perimetro, devi configurare un livello di accesso che consenta l'accesso a uno o più intervalli IPv4 e IPv6 oppure a specifici account utente.
Il seguente diagramma mostra un perimetro di servizio che consente l'accesso da Internet alle risorse protette in base ai livelli di accesso configurati, come l'indirizzo IP o i criteri relativi ai dispositivi:
Servizi non supportati
Per ulteriori informazioni sui prodotti e i servizi supportati dai Controlli di servizio VPC, consulta la pagina Prodotti supportati.
Il tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud
o l'API Access Context Manager comporterà un errore.
L'accesso multiprogetto ai dati dei servizi supportati sarà bloccato dai Controlli di servizio VPC. Inoltre, il VIP con restrizioni può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare i servizi non supportati.
Terminologia
In questo argomento hai appreso diversi nuovi concetti introdotti dai Controlli di servizio VPC:
- Controlli di servizio VPC
- Tecnologia che ti consente di definire un perimetro di servizio attorno alle risorse dei servizi gestiti da Google per controllare le comunicazioni tra e tra tali servizi
- perimetro di servizio
- Un perimetro di servizio attorno alle risorse gestite da Google. Consente la comunicazione gratuita all'interno del perimetro, ma per impostazione predefinita blocca tutte le comunicazioni all'interno del perimetro.
- regola in entrata
- Una regola che consente a un client API esterno al perimetro di accedere alle risorse all'interno di un perimetro.
- regola in uscita
- Una regola che consente a un client API o a una risorsa all'interno del perimetro di accedere alle risorse Google Cloud all'esterno di tale perimetro. Il perimetro non blocca l'accesso a servizi o API di terze parti su Internet.
- bridge del perimetro di servizio
- Un bridge del perimetro consente la comunicazione tra progetti in diversi perimetri di servizio. I bridge del perimetro sono bidirezionali, consentendo ai progetti di ogni perimetro di servizio di accedere allo stesso ambito del bridge.
- Gestore contesto accesso
- Un servizio di classificazione delle richieste in base al contesto che può mappare una richiesta a un livello di accesso in base ad attributi specifici del client, come l'indirizzo IP di origine.
- livello di accesso
- Una classificazione delle richieste su Internet basata su diversi attributi, come l'intervallo IP di origine, il dispositivo client, la geolocalizzazione e altro ancora. Un perimetro di servizio può essere configurato per concedere l'accesso a Internet in base al livello di accesso associato alla richiesta. I livelli di accesso sono determinati dal servizio di Gestore contesto accesso.
- criterio di accesso
- Un oggetto risorsa di Google Cloud che definisce i perimetri di servizio. Puoi creare criteri di accesso che rientrano nell'ambito di cartelle o progetti specifici insieme a un criterio di accesso applicabile all'intera organizzazione.
- VIP con limitazioni
- Il VIP con restrizioni fornisce un percorso di rete privato per i prodotti e le API
supportati dai Controlli di servizio VPC, al fine di rendere inaccessibili da Internet dati e risorse utilizzati da tali
prodotti.
restricted.googleapis.com
risolve in199.36.153.4/30
. Questo intervallo di indirizzi IP non viene annunciato su Internet.
Passaggi successivi
- Scopri di più sulla configurazione dei perimetri di servizio.
- Esamina le limitazioni note ai servizi.