Visão geral do VPC Service Controls

O VPC Service Controls melhora sua capacidade de reduzir o risco de exportação de dados dos serviços do Google Cloud, como o Cloud Storage e o BigQuery. É possível usar o VPC Service Controls para criar perímetros que protejam os recursos e os dados de serviços especificados explicitamente.

O VPC Service Controls protege os serviços do Google Cloud definindo os seguintes controles:

  • os clientes em um perímetro com acesso particular aos recursos não tenham acesso a recursos não autorizados (possivelmente públicos) fora do perímetro;

  • Os dados não podem ser copiados para recursos não autorizados fora do perímetro usando operações de serviço, como gsutil cp ou bq mk;

  • A troca de dados entre clientes e recursos separados por perímetros é protegida por regras de entrada e saída.

  • O acesso baseado no contexto aos recursos se baseia em atributos de clientes, como tipo de identidade (conta de serviço ou usuário), identidade, dados do dispositivo e origem da rede (endereço IP ou rede VPC). Veja a seguir exemplos de acesso baseado no contexto:

    • Clientes fora do perímetro que estão no Google Cloud ou no local estão dentro de redes VPC autorizadas e usam o Acesso privado do Google para acessar recursos dentro de um perímetro.

    • O acesso à Internet a recursos dentro de um perímetro é restrito a um intervalo de endereços IPv4 e IPv6.

O VPC Service Controls oferece uma camada adicional de defesa de segurança para serviços do Google Cloud, independente do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Ainda que o Cloud IAM permita um controle de acesso baseado em identidade granular, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, incluindo o controle da saída de dados em todo o perímetro. Recomendamos usar o VPC Service Controls e o IAM para defesa em profundidade.

Benefícios de segurança do VPC Service Controls

O VPC Service Controls ajuda a reduzir os seguintes riscos de segurança sem sacrificar as vantagens de desempenho do acesso privado direto aos recursos do Google Cloud:

  • Acesso a redes não autorizadas usando credenciais roubadas: ao permitir acesso particular apenas de redes VPC autorizadas, o VPC Service Controls protege contra o roubo de credenciais do OAuth ou de contas de serviço.

  • Exportação de dados por pessoas com informações privilegiadas mal intencionadas ou código comprometido: o VPC Service Controls complementa os controles de saída de rede impedindo que os clientes nessas redes acessem os recursos dos serviços gerenciados pelo Google fora do perímetro.

    O VPC Service Controls também impede a leitura de dados em ou a cópia deles para um recurso fora do perímetro. O VPC Service Controls impede operações de serviço, como uma cópia de comando gsutil cp para um bucket público do Cloud Storage ou uma cópia de comando bq mk para uma tabela externa permanente do BigQuery.

    O Google Cloud também fornece um IP virtual restrito usado integrado ao VPC Service Controls. O VIP restrito também permite que solicitações sejam feitas para serviços compatíveis com o VPC Service Controls sem expor essas solicitações à Internet.

  • Exposição pública de dados particulares causada por políticas do IAM configuradas incorretamente: o VPC Service Controls oferece uma camada adicional de segurança ao negar acesso a partir de redes não autorizadas, mesmo que os dados sejam expostos por políticas do IAM configuradas incorretamente.

  • Como monitorar o acesso aos serviços: use o VPC Service Controls em modo de teste para monitorar solicitações a serviços protegidos sem impedir o acesso e entender as solicitações de tráfego para os seus projetos. Também é possível criar perímetros de honeypot para identificar tentativas inesperadas ou mal-intencionadas de sondar serviços acessíveis.

O VPC Service Controls está configurado para sua organização do Google Cloud a fim de criar uma política ampla e uniforme que se aplique de maneira consistente a todos os recursos protegidos no perímetro. Você mantém a flexibilidade de processar, transformar e copiar dados dentro do perímetro. Os controles de segurança se aplicam automaticamente a todos os novos recursos criados dentro de um perímetro.

VPC Service Controls e metadados

O VPC Service Controls não foi projetado para impor controles abrangentes sobre o movimento de metadados.

Nesse contexto, "dados" é definido como conteúdo armazenado em um recurso do Google Cloud. Por exemplo, o conteúdo de um objeto do Cloud Storage. "Metadados" é definido como os atributos do recurso ou do respectivo pai. Por exemplo, nomes de intervalos do Cloud Storage.

O principal objetivo do VPC Service Controls é controlar a movimentação de dados, em vez de metadados, em um perímetro de serviço utilizando serviços compatíveis. O VPC Service Controls também gerencia o acesso a metadados, mas pode haver cenários em que os metadados podem ser copiados e acessados sem as verificações de políticas do VPC Service Controls.

Recomendamos que você confie no IAM, incluindo o uso de papéis personalizados, para garantir o controle adequado do acesso aos metadados.

Recursos

O VPC Service Controls permite definir políticas de segurança que impedem o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloquear o acesso a dados em locais não confiáveis e reduzir os riscos de exfiltração de dados. É possível usar o VPC Service Controls nos seguintes casos de uso:

Isolar recursos do Google Cloud em perímetros de serviço

Um perímetro de serviço cria um limite de segurança em torno dos recursos do Google Cloud. É possível configurar um perímetro para controlar comunicações a partir de máquinas virtuais (VMs) para um serviço do Google Cloud (API) e entre os serviços do Google Cloud. Um perímetro permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação no perímetro.

Exemplo:

  • Uma VM dentro de uma rede da nuvem privada virtual (VPC, na sigla em inglês) que faz parte de um perímetro de serviço pode ler ou gravar em um bucket do Cloud Storage no mesmo perímetro. No entanto, qualquer tentativa de acessar o bucket por redes VPC que não estão dentro do perímetro é negada.

  • Uma operação de cópia entre dois buckets do Cloud Storage será bem-sucedida se ambos estiverem no mesmo perímetro de serviço, mas se um dos buckets estiver fora do perímetro, a operação de cópia falhará.

  • Uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular todos os buckets do Cloud Storage no mesmo perímetro. No entanto, a VM terá acesso negado aos buckets do Cloud Storage que estão fora do perímetro.

Estender perímetros para VPN autorizada ou Cloud Interconnect

É possível configurar a comunicação particular para recursos do Google Cloud de redes VPC que incluam ambientes híbridos com as extensões locais do Acesso privado do Google. Uma rede VPC deve fazer parte de um perímetro de serviço para VMs nessa rede para acessar de forma privada os recursos gerenciados pelo Google Cloud nesse perímetro de serviço.

VMs com IPs particulares em uma rede VPC que faz parte de um perímetro de serviço não podem acessar recursos gerenciados fora do perímetro de serviço. Se necessário, é possível continuar permitindo o acesso inspecionado e auditado a todas as APIs do Google (por exemplo, o Gmail) pela Internet.

Por exemplo, uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular um bucket do Cloud Storage no mesmo perímetro de serviço. No entanto, a VM terá acesso negado aos buckets do Cloud Storage que estão fora do perímetro de serviço.

Controlar o acesso aos recursos do Google Cloud pela Internet

O acesso da Internet a recursos gerenciados dentro de um perímetro de serviço é negado por padrão. Opcionalmente, é possível ativar o acesso com base no contexto da solicitação. Para isso, é possível criar níveis de acesso que controlam o acesso com base em vários atributos, como o endereço IP de origem. Se as solicitações feitas pela Internet não atenderem aos critérios definidos no nível de acesso, elas serão negadas.

Para usar o Console do Cloud para acessar recursos em um perímetro, configure um nível de acesso que permita acesso de um ou mais intervalos IPv4 e IPv6 ou a contas de usuário específicas.

Serviços sem suporte

Para mais informações sobre produtos e serviços compatíveis do VPC Service Controls, consulte a página Produtos compatíveis.

A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou a API Access Context Manager gera erro.

O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Terminologia

Neste tópico, você aprendeu sobre vários conceitos novos introduzidos pelo VPC Service Controls:

VPC Service Controls
Tecnologia que permite definir um perímetro de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços
perímetro de serviço
Um perímetro de segurança em torno dos recursos gerenciados pelo Google. Permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.
Regra de entrada
Uma regra que permite que um cliente da API que está fora do perímetro acesse recursos dentro de um perímetro.
Regra de saída
Uma regra que permite que um cliente ou recurso de API dentro do perímetro acesse recursos fora do perímetro.
ponte do perímetro de serviço
Uma ponte do perímetro permite que projetos em diferentes perímetros de segurança se comuniquem. As pontes do perímetro são bidirecionais, permitindo que os projetos de cada perímetro de serviço tenham acesso igual dentro do escopo da ponte.
Access Context Manager
Um serviço de classificação de solicitação contextual que pode mapear uma solicitação para um nível de acesso com base nos atributos especificados do cliente, como o endereço IP de origem.
nível de acesso
Uma classificação de solicitações pela Internet com base em vários atributos, como intervalo de IPs de origem, dispositivo do cliente, geolocalização e outros. Um perímetro de serviço pode ser configurado para conceder acesso da Internet com base no nível de acesso associado a uma solicitação. Os níveis de acesso são determinados pelo serviço Access Context Manager.
política de acesso
Um objeto de recurso do Google Cloud que define perímetros de serviço. Pode haver apenas um objeto de política de acesso em uma organização e é um filho do recurso Organização.
VIP restrito
O VIP restrito fornece uma rota de rede privada para produtos e APIs compatíveis com o VPC Service Controls para tornar dados e recursos utilizados por esses produtos inacessíveis pela Internet. restricted.googleapis.com se refere a 199.36.153.4/30; Esse intervalo de endereços IP não é anunciado para a Internet.

A seguir