Visão geral do VPC Service Controls

O VPC Service Controls aprimora sua capacidade de reduzir o risco de exportação de dados dos serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Com ele, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.

Para todos os serviços gerenciados pelo Google protegidos com o VPC Service Controls, é possível garantir que:

  • os recursos em um perímetro só possam ser acessados de maneira particular com clientes em redes VPC autorizadas usando o acesso privado do Google Access com o GCP ou no local;

  • os clientes em um perímetro com acesso particular aos recursos não tenham acesso a recursos não autorizados (possivelmente públicos) fora do perímetro;

  • os dados não possam ser copiados para recursos não autorizados fora do perímetro usando operações de serviço, como gsutil cp ou bq mk;

  • quando ativado, o acesso à Internet a recursos dentro de um perímetro seja restringido usando intervalos IPv4 e IPv6 permitidos.

O VPC Service Controls fornece uma camada adicional de defesa de segurança para serviços do GCP que é independente do Cloud Identity and Access Management (Cloud IAM). Ainda que o Cloud IAM permita um controle de acesso baseado em identidade granular, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, incluindo o controle da saída de dados em todo o perímetro. Recomendamos usar o VPC Service Controls e o Cloud IAM para defesa em profundidade.

Benefícios de segurança do VPC Service Controls

O VPC Service Controls ajuda a atenuar os riscos de segurança a seguir sem sacrificar as vantagens de desempenho do acesso particular direto aos recursos do GCP:

  1. Acesso a redes não autorizadas usando credenciais roubadas: ao permitir acesso particular apenas de redes VPC autorizadas, o VPC Service Controls protege contra o roubo de credenciais do OAuth ou de contas de serviço.

  2. Exportação de dados por pessoas com informações privilegiadas mal intencionadas ou código comprometido: o VPC Service Controls complementa os controles de saída de rede impedindo que os clientes nessas redes acessem os recursos dos serviços gerenciados pelo Google fora do perímetro.

    O VPC Service Controls também impede a leitura ou a cópia de dados em um recurso fora do perímetro usando operações de serviço, como copiar para um intervalo público do Cloud Storage usando o comando gsutil cp ou para uma tabela externa permanente do BigQuery usando o comando bq mk.

    O recurso VIPs restritos pode ser usado para impedir o acesso de uma rede confiável a serviços de armazenamento não integrados ao VPC Service Controls.

  3. Exposição pública de dados particulares causada por políticas do Cloud IAM configuradas incorretamente: o VPC Service Controls oferece uma camada adicional de segurança ao negar acesso de redes não autorizadas, mesmo que os dados sejam expostos por políticas do Cloud IAM configuradas incorretamente.

    Ao atribuir o papel Administrador de políticas do Access Context Manager ao Cloud IAM, o VPC Service Controls pode ser configurado por um usuário que não seja o administrador de políticas do Cloud IAM.

O VPC Service Controls é configurado para a organização do GCP criar uma política ampla e uniforme que se aplique de maneira consistente a todos os recursos protegidos dentro do perímetro. Você mantém a flexibilidade de processar, transformar e copiar dados dentro do perímetro. Os controles de segurança se aplicam automaticamente a todos os novos recursos criados dentro de um perímetro.

VPC Service Controls e metadados

O VPC Service Controls não foi projetado para impor controles abrangentes sobre o movimento de metadados.

Nesse contexto, "dados" são definidos como conteúdo armazenado em um recurso do GCP. Por exemplo, o conteúdo de um objeto do Cloud Storage. "Metadados" são definidos como os atributos do recurso ou do pai dele. Por exemplo, nomes de intervalos do Cloud Storage.

A principal meta de design desta versão do VPC Service Controls é controlar a movimentação de dados, em vez de metadados, em um perímetro de serviço por meio de serviços com suporte. Embora, na maioria dos casos, o VPC Service Controls também controle o acesso a metadados, pode haver cenários em que os metadados possam ser copiados e acessados sem as verificações de políticas do VPC Service Controls.

Recomendamos que você confie no Cloud IAM, incluindo o uso de papéis personalizados, para garantir o controle adequado do acesso aos metadados.

Recursos

O VPC Service Controls oferece estes benefícios, permitindo que você defina políticas de segurança que impeçam o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloqueando o acesso a dados de locais não confiáveis e reduzindo os riscos de exportação de dados. Com esta versão do VPC Service Controls, é possível:

Isolar recursos do GCP em perímetros de serviço

Um perímetro de serviço cria um limite de segurança em torno dos recursos do GCP. Configure um perímetro de serviço para controlar as comunicações de máquinas virtuais (VMs, na sigla em inglês) com um serviço do GCP (API) e entre serviços do GCP. Um perímetro de serviço permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.

Exemplo:

  • Uma VM dentro de uma rede da nuvem privada virtual (VPC, na sigla em inglês) que faz parte de um perímetro de serviço pode ler ou gravar em um intervalo do Cloud Storage no mesmo perímetro. No entanto, qualquer tentativa de acessar o intervalo por redes VPC que não estão dentro do perímetro é negada.

  • Uma operação de cópia entre dois intervalos do Cloud Storage será bem-sucedida se esses dois intervalos estiverem no mesmo perímetro de serviço, mas falhará se um deles estiver fora do perímetro.

  • Uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular todos os intervalos do Cloud Storage no mesmo perímetro. No entanto, a VM terá acesso negado aos intervalos do Cloud Storage que estão fora do perímetro.

Estender perímetros para VPN autorizada ou Cloud Interconnect

É possível configurar a comunicação particular com recursos do GCP provenientes de redes VPC que abrangem ambientes híbridos com extensões locais do acesso privado do Google. Uma rede VPC precisa fazer parte de um perímetro de serviço para VMs nessa rede para acessar de modo particular os recursos gerenciados do GCP dentro desse perímetro de serviço.

VMs com IPs particulares em uma rede VPC que faz parte de um perímetro de serviço não podem acessar recursos gerenciados fora do perímetro de serviço. Se necessário, é possível continuar a permitir o acesso inspecionado e auditado a todas as APIs do Google (por exemplo, o Gmail) pela Internet.

Por exemplo, uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular um intervalo do Cloud Storage no mesmo perímetro de serviço. No entanto, a VM terá acesso negado aos intervalos do Cloud Storage que estão fora do perímetro de serviço.

Controlar o acesso a recursos do GCP pela Internet

O acesso da Internet a recursos gerenciados dentro de um perímetro de serviço é negado por padrão. Opcionalmente, é possível ativar o acesso com base no contexto da solicitação. Para fazer isso, crie níveis de acesso que controlam o acesso com base em vários atributos, como o endereço IP de origem. As solicitações feitas na Internet serão negadas se não atenderem aos critérios definidos no nível de acesso.

Para usar o Console do GCP a fim de acessar recursos em um perímetro, você precisa configurar um nível de acesso que permita o acesso de um ou mais intervalos IPv4 e IPv6 ou a contas de usuários específicas.

Serviços sem suporte

Para mais informações sobre produtos e serviços com suporte do VPC Service Controls, consulte a página Produtos com suporte.

A tentativa de restringir um serviço sem suporte usando a ferramenta de linha de comando gcloud ou a API Access Context Manager resultará em um erro.

O acesso entre projetos a dados de serviços com suporte será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Terminologia

Neste tópico, você aprendeu sobre vários conceitos novos introduzidos pelo VPC Service Controls:

VPC Service Controls
Tecnologia que permite definir um perímetro de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços
VIP restrito
O VIP restrito fornece uma rota de rede particular para produtos e APIs com suporte do VPC Service Controls, para tornar os dados e recursos utilizados por esses produtos inacessíveis da Internet. restricted.googleapis.com resolve para 199.36.153.4/30. Esse intervalo de endereços IP não é anunciado para a Internet.
perímetro de serviço
Um perímetro de segurança em torno dos recursos gerenciados pelo Google. Permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.
ponte do perímetro de serviço
Uma ponte do perímetro permite que projetos em diferentes perímetros de segurança se comuniquem. As pontes do perímetro são bidirecionais, permitindo que os projetos de cada perímetro de serviço tenham acesso igual dentro do escopo da ponte.
Access Context Manager
Um serviço de classificação de solicitação contextual que pode mapear uma solicitação para um nível de acesso com base nos atributos especificados do cliente, como o endereço IP de origem.
nível de acesso
Uma classificação de solicitações pela Internet com base em vários atributos, como intervalo de IPs de origem, dispositivo do cliente, geolocalização e outros. Um perímetro de serviço pode ser configurado para conceder acesso da Internet com base no nível de acesso associado a uma solicitação. Os níveis de acesso são determinados pelo serviço Access Context Manager.
política de acesso
Um objeto de recurso do GCP que define perímetros de serviço. Pode haver apenas um objeto de política de acesso em uma organização e é um filho do recurso Organização.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

VPC Service Controls