Visão geral do VPC Service Controls

O VPC Service Controls melhora sua capacidade de reduzir o risco de exportação de dados dos serviços do Google Cloud, como o Cloud Storage e o BigQuery. Com o VPC Service Controls, você cria perímetros que protegem os recursos e os dados dos serviços especificados explicitamente.

Para todos os serviços do Google Cloud protegidos pelo VPC Service Controls, é possível garantir que:

  • Recursos em um perímetro acessado apenas de clientes em redes VPC autorizadas usando o Acesso privado do Google com o Google Cloud ou no local.

  • os clientes em um perímetro com acesso particular aos recursos não tenham acesso a recursos não autorizados (possivelmente públicos) fora do perímetro;

  • Os dados não podem ser copiados para recursos não autorizados fora do perímetro usando operações de serviço, como gsutil cp ou bq mk;

  • quando ativado, o acesso à Internet a recursos dentro de um perímetro seja restringido usando intervalos IPv4 e IPv6 permitidos.

O VPC Service Controls oferece uma camada adicional de defesa de segurança para serviços do Google Cloud, independente do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Ainda que o Cloud IAM permita um controle de acesso baseado em identidade granular, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, incluindo o controle da saída de dados em todo o perímetro. Recomendamos usar o VPC Service Controls e o IAM para defesa em profundidade.

Benefícios de segurança do VPC Service Controls

O VPC Service Controls ajuda a reduzir os seguintes riscos de segurança sem sacrificar as vantagens de desempenho do acesso privado direto aos recursos do Google Cloud:

  1. Acesso a redes não autorizadas usando credenciais roubadas: ao permitir acesso particular apenas de redes VPC autorizadas, o VPC Service Controls protege contra o roubo de credenciais do OAuth ou de contas de serviço.

  2. Exportação de dados por pessoas com informações privilegiadas mal intencionadas ou código comprometido: o VPC Service Controls complementa os controles de saída de rede impedindo que os clientes nessas redes acessem os recursos dos serviços gerenciados pelo Google fora do perímetro.

    O VPC Service Controls também impede a leitura ou cópia de dados para um recurso fora do perímetro usando operações de serviço, como copiar para um bucket público do Cloud Storage usando o comando gsutil cp ou para uma tabela externa permanente do BigQuery usando o comando bq mk.

    Além disso, o Google Cloud fornece um IP virtual restrito usado para impedir o acesso de uma rede confiável a serviços de armazenamento não integrados ao VPC Service Controls. O VIP restrito também permite que solicitações sejam feitas para serviços compatíveis com o VPC Service Controls sem expor essas solicitações à Internet.

  3. Exposição pública de dados particulares causada por políticas do IAM configuradas incorretamente: o VPC Service Controls oferece uma camada adicional de segurança ao negar acesso de redes não autorizadas, mesmo que os dados sejam expostos por políticas do IAM configuradas incorretamente.

    Ao atribuir o papel Administrador de políticas do Access Context Manager ao IAM, o VPC Service Controls pode ser configurado por um usuário que não seja o administrador de políticas do IAM.

  4. Como monitorar o acesso a serviços: usando perímetros no modo de simulação, o VPC Service Controls pode ser usado para monitorar solicitações a serviços protegidos sem impedir o acesso. Use os VPC Service Controls para monitorar solicitações e entender melhor o tráfego de solicitações para seus projetos. Assim, é possível criar perímetros de honeypot para identificar tentativas inesperadas ou mal-intencionadas para prestar serviços acessíveis.

O VPC Service Controls está configurado para sua organização do Google Cloud a fim de criar uma política ampla e uniforme que se aplique de maneira consistente a todos os recursos protegidos no perímetro. Você mantém a flexibilidade de processar, transformar e copiar dados dentro do perímetro. Os controles de segurança se aplicam automaticamente a todos os novos recursos criados dentro de um perímetro.

VPC Service Controls e metadados

O VPC Service Controls não foi projetado para impor controles abrangentes sobre o movimento de metadados.

Nesse contexto, "dados" é definido como conteúdo armazenado em um recurso do Google Cloud. Por exemplo, o conteúdo de um objeto do Cloud Storage. "Metadados" é definido como os atributos do recurso ou do respectivo pai. Por exemplo, nomes de intervalos do Cloud Storage.

A principal meta de design desta versão do VPC Service Controls é controlar a movimentação de dados, em vez de metadados, em um perímetro de serviço por meio de serviços com suporte. Embora, na maioria dos casos, o VPC Service Controls também controle o acesso a metadados, pode haver cenários em que os metadados possam ser copiados e acessados sem as verificações de políticas do VPC Service Controls.

Recomendamos que você confie no IAM, incluindo o uso de papéis personalizados, para garantir o controle adequado do acesso aos metadados.

Recursos

O VPC Service Controls oferece estes benefícios, permitindo que você defina políticas de segurança que impeçam o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloqueando o acesso a dados de locais não confiáveis e reduzindo os riscos de exportação de dados. Com esta versão do VPC Service Controls, é possível:

Isolar recursos do GCP em perímetros de serviço

Um perímetro de serviço cria um limite de segurança em torno dos recursos do Google Cloud. É possível configurar um perímetro de serviço para controlar comunicações de máquinas virtuais (VMs) para um serviço do Google Cloud (API) e entre os serviços do Google Cloud. Um perímetro de serviço permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.

Exemplo:

  • Uma VM dentro de uma rede da nuvem privada virtual (VPC, na sigla em inglês) que faz parte de um perímetro de serviço pode ler ou gravar em um bucket do Cloud Storage no mesmo perímetro. No entanto, qualquer tentativa de acessar o bucket por redes VPC que não estão dentro do perímetro é negada.

  • Uma operação de cópia entre dois buckets do Cloud Storage será bem-sucedida se esses dois buckets estiverem no mesmo perímetro de serviço, mas falhará se um deles estiver fora do perímetro.

  • Uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular todos os buckets do Cloud Storage no mesmo perímetro. No entanto, a VM terá acesso negado aos buckets do Cloud Storage que estão fora do perímetro.

Estender perímetros para VPN autorizada ou Cloud Interconnect

É possível configurar a comunicação particular para recursos do Google Cloud de redes VPC que incluam ambientes híbridos com as extensões locais do Acesso privado do Google. Uma rede VPC deve fazer parte de um perímetro de serviço para VMs nessa rede para acessar de forma privada os recursos gerenciados pelo Google Cloud nesse perímetro de serviço.

VMs com IPs particulares em uma rede VPC que faz parte de um perímetro de serviço não podem acessar recursos gerenciados fora do perímetro de serviço. Se necessário, é possível continuar a permitir o acesso inspecionado e auditado a todas as APIs do Google (por exemplo, o Gmail) pela Internet.

Por exemplo, uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular um bucket do Cloud Storage no mesmo perímetro de serviço. No entanto, a VM terá acesso negado aos buckets do Cloud Storage que estão fora do perímetro de serviço.

Controlar o acesso a recursos do GCP pela Internet

O acesso da Internet a recursos gerenciados dentro de um perímetro de serviço é negado por padrão. Opcionalmente, é possível ativar o acesso com base no contexto da solicitação. Para isso, é possível criar níveis de acesso que controlam o acesso com base em vários atributos, como o endereço IP de origem. As solicitações feitas na Internet serão negadas se não atenderem aos critérios definidos no nível de acesso.

Para usar o Console do Cloud para acessar recursos em um perímetro, configure um nível de acesso que permita acesso de um ou mais intervalos IPv4 e IPv6 ou a contas de usuário específicas.

Serviços sem suporte

Para mais informações sobre produtos e serviços compatíveis do VPC Service Controls, consulte a página Produtos compatíveis.

A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou a API Access Context Manager gera erro.

O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Terminologia

Neste tópico, você aprendeu sobre vários conceitos novos introduzidos pelo VPC Service Controls:

VPC Service Controls
Tecnologia que permite definir um perímetro de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços
VIP restrito
O VIP restrito fornece uma rota de rede privada para produtos e APIs compatíveis com o VPC Service Controls para tornar dados e recursos utilizados por esses produtos inacessíveis pela Internet. restricted.googleapis.com se refere a 199.36.153.4/30; Esse intervalo de endereços IP não é anunciado para a Internet.
perímetro de serviço
Um perímetro de segurança em torno dos recursos gerenciados pelo Google. Permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.
ponte do perímetro de serviço
Uma ponte do perímetro permite que projetos em diferentes perímetros de segurança se comuniquem. As pontes do perímetro são bidirecionais, permitindo que os projetos de cada perímetro de serviço tenham acesso igual dentro do escopo da ponte.
Access Context Manager
Um serviço de classificação de solicitação contextual que pode mapear uma solicitação para um nível de acesso com base nos atributos especificados do cliente, como o endereço IP de origem.
nível de acesso
Uma classificação de solicitações pela Internet com base em vários atributos, como intervalo de IPs de origem, dispositivo do cliente, geolocalização e outros. Um perímetro de serviço pode ser configurado para conceder acesso da Internet com base no nível de acesso associado a uma solicitação. Os níveis de acesso são determinados pelo serviço Access Context Manager.
política de acesso
Um objeto de recurso do Google Cloud que define perímetros de serviço. Pode haver apenas um objeto de política de acesso em uma organização e é um filho do recurso Organização.

A seguir