Panoramica dei Controlli di servizio VPC

Questo argomento fornisce una panoramica dei Controlli di servizio VPC e ne descrive i vantaggi e le funzionalità.

In che modo Controlli di servizio VPC riduce i rischi di esfiltrazione dei dati

La tua organizzazione possiede la proprietà intellettuale sotto forma di dati altamente sensibili che, se persi, possono comportare implicazioni aziendali negative negative. I Controlli di servizio VPC aiutano a proteggere gli utenti da azioni accidentali o mirate da entità esterne o interne, il che aiuta a ridurre al minimo i rischi di esfiltrazione ingiustificata dei dati da servizi Google Cloud come Cloud Storage e BigQuery. Puoi utilizzare Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi da te specificati esplicitamente.

Controlli di servizio VPC protegge i tuoi servizi Google Cloud definendo i seguenti controlli:

  • I client all'interno di un perimetro con accesso privato alle risorse non hanno accesso a risorse non autorizzate (potenzialmente pubbliche) al di fuori del perimetro.

  • I dati non possono essere copiati in risorse non autorizzate al di fuori del perimetro utilizzando operazioni di servizio come gsutil cp o bq mk.

  • Lo scambio di dati tra client e risorse separati da perimetri viene protetto utilizzando le regole per il traffico in entrata e in uscita.

  • L'accesso sensibile al contesto alle risorse si basa sugli attributi client, come tipo di identità (account di servizio o utente), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC). Di seguito sono riportati esempi di accesso sensibile al contesto:

    • I client esterni al perimetro che si trovano su Google Cloud o on-premise si trovano all'interno di reti VPC autorizzate e utilizzano l'accesso privato Google per accedere alle risorse all'interno di un perimetro.

    • L'accesso a Internet alle risorse all'interno di un perimetro è limitato a un intervallo di indirizzi IPv4 e IPv6.

    Per ulteriori informazioni, consulta Accesso sensibile al contesto utilizzando le regole Ingress.

I Controlli di servizio VPC forniscono un ulteriore livello di difesa della sicurezza per i servizi Google Cloud, indipendenti da Identity and Access Management (IAM). Sebbene IAM consenta il controllo dell'accesso basato sull'identità granulare, i Controlli di servizio VPC consentono una sicurezza perimetrale basata su contesto più ampia, che include il controllo del traffico di dati in uscita attraverso il perimetro. Consigliamo di utilizzare sia i Controlli di servizio VPC sia IAM per la difesa in profondità.

Vantaggi dei Controlli di servizio VPC

I Controlli di servizio VPC aiutano a mitigare i seguenti rischi per la sicurezza senza sacrificare i vantaggi in termini di prestazioni dell'accesso diretto privato alle risorse Google Cloud:

  • Accesso da reti non autorizzate utilizzando credenziali rubate: consentendo l'accesso privato solo da reti VPC autorizzate, i Controlli di servizio VPC proteggono dal furto di credenziali OAuth o di account di servizio.

  • Esfiltrazione dei dati da parte di utenti malintenzionati interni o codice compromesso: i Controlli di servizio VPC integrano i controlli del traffico in uscita dalla rete impedendo ai client all'interno di tali reti di accedere alle risorse dei servizi gestiti da Google al di fuori del perimetro.

    Controlli di servizio VPC impedisce anche la lettura dei dati o la copia dei dati in una risorsa al di fuori del perimetro. Controlli di servizio VPC impedisce le operazioni di servizio come la copia di un comando gsutil cp in un bucket Cloud Storage pubblico o la copia di un comando bq mk in una tabella BigQuery esterna permanente.

    Google Cloud fornisce inoltre un IP virtuale limitato che viene utilizzato con i Controlli di servizio VPC. Il VIP limitato consente inoltre di effettuare richieste ai servizi supportati dai Controlli di servizio VPC senza esporre queste richieste a Internet.

  • Esposizione pubblica dei dati privati a causa di criteri IAM configurati in modo errato: i Controlli di servizio VPC forniscono un ulteriore livello di sicurezza negando l'accesso da reti non autorizzate, anche se i dati sono esposti da criteri IAM configurati in modo errato.

  • Monitoraggio dell'accesso ai servizi: utilizza i Controlli di servizio VPC in modalità di prova per monitorare le richieste ai servizi protetti senza impedire l'accesso e comprendere le richieste di traffico ai tuoi progetti. Puoi anche creare perimetri di honeypot per identificare tentativi inaspettati o dannosi di esplorare servizi accessibili.

Puoi utilizzare un criterio di accesso dell'organizzazione e configurare i Controlli di servizio VPC per l'intera organizzazione Google Cloud oppure utilizzare i criteri con ambito e configurare i Controlli di servizio VPC per una cartella o un progetto nell'organizzazione. Mantieni la flessibilità per elaborare, trasformare e copiare i dati all'interno del perimetro. I controlli di sicurezza si applicano automaticamente a tutte le nuove risorse create all'interno di un perimetro.

Metadati e controlli di servizio VPC

Controlli di servizio VPC non è progettato per applicare controlli completi al trasferimento dei metadati.

In questo contesto, per "dati" si intendono i contenuti archiviati in una risorsa Google Cloud. Ad esempio, i contenuti di un oggetto Cloud Storage. Per "metadati" si intendono gli attributi della risorsa o del relativo elemento padre. Ad esempio, con i nomi dei bucket Cloud Storage.

L'obiettivo principale dei Controlli di servizio VPC è controllare lo spostamento dei dati, anziché i metadati, in un perimetro di servizio tramite i servizi supportati. Anche i Controlli di servizio VPC gestiscono l'accesso ai metadati, ma potrebbero verificarsi scenari in cui è possibile copiare e accedere ai metadati senza effettuare i controlli dei criteri di Controlli di servizio VPC.

Consigliamo di fare affidamento su IAM, incluso l'utilizzo dei ruoli personalizzati, per garantire un controllo appropriato sull'accesso ai metadati.

Funzionalità

Con i Controlli di servizio VPC puoi definire criteri di sicurezza che impediscono l'accesso ai servizi gestiti da Google al di fuori di un perimetro attendibile, bloccare l'accesso ai dati da posizioni non attendibili e mitigare i rischi di esfiltrazione dei dati. Puoi utilizzare Controlli di servizio VPC per i seguenti casi d'uso:

Isolare le risorse Google Cloud nei perimetri di servizio

Un perimetro di servizio crea un confine di sicurezza intorno alle risorse Google Cloud. Puoi configurare un perimetro per controllare le comunicazioni da macchine virtuali (VM) a un servizio (API) Google Cloud e tra i servizi Google Cloud. Un perimetro consente le comunicazioni libere all'interno del perimetro, ma per impostazione predefinita blocca la comunicazione ai servizi Google Cloud all'interno del perimetro. Il perimetro non blocca l'accesso a servizi o API di terze parti in Internet.

Controlli di servizio VPC non richiede una rete Virtual Private Cloud (VPC). Per utilizzare i Controlli di servizio VPC senza risorse su una rete VPC, puoi consentire il traffico da intervalli IP esterni o da alcune entità IAM. Per scoprire di più, consulta Creare e gestire i livelli di accesso.

Ecco alcuni esempi di Controlli di servizio VPC che creano un confine di sicurezza:

  • Una VM all'interno di una rete VPC che fa parte di un perimetro di servizio può leggere o scrivere in un bucket Cloud Storage nello stesso perimetro. Tuttavia, Controlli di servizio VPC non consente alle VM all'interno delle reti VPC esterne al perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro. Devi specificare un criterio in entrata per consentire alle VM all'interno delle reti VPC all'esterno del perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro.

  • Un progetto host che contiene più reti VPC ha un criterio periferico diverso per ogni rete VPC nel progetto host.

  • Un'operazione di copia tra due bucket Cloud Storage ha esito positivo se entrambi i bucket si trovano nello stesso perimetro di servizio, ma se uno dei bucket si trova all'esterno del perimetro, l'operazione di copia ha esito negativo.

  • I Controlli di servizio VPC non consentono a una VM all'interno di una rete VPC all'interno di un perimetro di servizio di accedere ai bucket Cloud Storage esterni al perimetro.

Il seguente diagramma mostra un perimetro di servizio che consente la comunicazione tra un progetto VPC e un bucket Cloud Storage all'interno del perimetro, ma blocca tutte le comunicazioni all'interno del perimetro:

Estendi i perimetri a VPN o Cloud Interconnect autorizzate

Puoi configurare la comunicazione privata con le risorse Google Cloud da reti VPC in ambienti ibridi con estensioni on-premise per l'accesso privato Google. Una rete VPC deve far parte di un perimetro di servizio per le VM su tale rete per accedere privatamente alle risorse Google Cloud gestite all'interno di quel perimetro di servizio.

Le VM con IP privati su una rete VPC che fa parte di un perimetro di servizio non possono accedere alle risorse gestite all'esterno del perimetro di servizio. Se necessario, puoi continuare ad abilitare l'accesso controllato e controllato a tutte le API di Google (ad esempio, Gmail) su Internet.

Il seguente diagramma mostra un perimetro di servizio che si estende agli ambienti ibridi con accesso privato Google:

Controlla l'accesso alle risorse Google Cloud da Internet

L'accesso da Internet alle risorse gestite all'interno di un perimetro di servizio è negato per impostazione predefinita. Facoltativamente, puoi abilitare l'accesso in base al contesto della richiesta. Per farlo, puoi creare livelli di accesso che controllano l'accesso in base a vari attributi, come l'indirizzo IP di origine. Se le richieste effettuate da Internet non soddisfano i criteri definiti nel livello di accesso, le richieste vengono rifiutate.

Per utilizzare la console Google Cloud per accedere alle risorse all'interno di un perimetro, devi configurare un livello di accesso che consenta l'accesso da uno o più intervalli IPv4 e IPv6, oppure da account utente specifici.

Il seguente diagramma mostra un perimetro di servizio che consente l'accesso da Internet alle risorse protette in base ai livelli di accesso configurati, ad esempio l'indirizzo IP o il criterio del dispositivo:

Servizi non supportati

Per ulteriori informazioni sui prodotti e i servizi supportati dai Controlli di servizio VPC, consulta la pagina Prodotti supportati.

Il tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud o l'API Gestore contesto accesso comporterà un errore.

L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC. Inoltre, il VIP con restrizioni può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare i servizi non supportati.

Limitazioni note

Esistono alcuni limiti noti di determinati servizi, prodotti e interfacce Google Cloud quando utilizzi i Controlli di servizio VPC. Ad esempio, Controlli di servizio VPC non supporta tutti i servizi Google Cloud. Pertanto, non abilitare i servizi Google Cloud non supportati nel perimetro. Per ulteriori informazioni, consulta l'elenco dei prodotti supportati dai Controlli di servizio VPC. Se devi utilizzare un servizio non supportato da Controlli di servizio VPC, abilitalo in un progetto esterno al perimetro.

Ti consigliamo di esaminare le limitazioni note prima di includere i servizi Google Cloud nel perimetro. Per ulteriori informazioni, consulta le limitazioni del servizio Controlli di servizio VPC.

Terminologia

In questo argomento hai appreso diversi nuovi concetti introdotti dai Controlli di servizio VPC:

Controlli di servizio VPC
Tecnologia che ti consente di definire un perimetro di servizio intorno alle risorse dei servizi gestiti da Google per controllare la comunicazione tra questi servizi e tra loro.
perimetro di servizio
Un perimetro di servizio intorno alle risorse gestite da Google. Consente la comunicazione gratuita all'interno del perimetro, ma per impostazione predefinita blocca tutte le comunicazioni all'interno del perimetro.
regola in entrata
Una regola che consente a un client API esterno al perimetro di accedere alle risorse all'interno di un perimetro.
regola in uscita
Una regola che consente a un client o una risorsa API all'interno del perimetro di accedere alle risorse Google Cloud al di fuori del perimetro. Il perimetro non blocca l'accesso a servizi o API di terze parti in Internet.
bridge del perimetro di servizio
Un bridge del perimetro consente la comunicazione di progetti in diversi perimetri di servizio. I bridge di perimetro sono bidirezionali, per consentire ai progetti di ogni perimetro di servizio l'accesso uguale all'ambito dell'ambito del bridge.
Gestore contesto accesso
Un servizio di classificazione delle richieste sensibili al contesto che può mappare una richiesta a un livello di accesso in base agli attributi specificati del client, come l'indirizzo IP di origine.
livello di accesso
Una classificazione delle richieste su Internet in base a diversi attributi, come l'intervallo IP di origine, il dispositivo client, la geolocalizzazione e altri. Un perimetro di servizio può essere configurato per concedere l'accesso da Internet in base al livello di accesso associato a una richiesta. I livelli di accesso sono determinati dal servizio Gestore contesto accesso.
criterio di accesso
Un oggetto risorsa di Google Cloud che definisce i perimetri di servizio. Puoi creare criteri di accesso limitati a cartelle o progetti specifici insieme a un criterio di accesso applicabile all'intera organizzazione.
VIP con restrizioni
Il VIP limitato fornisce una route di rete privata per i prodotti e le API supportati dai Controlli di servizio VPC al fine di rendere i dati e le risorse utilizzati da tali prodotti inaccessibili da Internet. restricted.googleapis.com viene risolto in 199.36.153.4/30. Questo intervallo di indirizzi IP non viene annunciato su Internet.

Passaggi successivi