Visão geral do VPC Service Controls

O VPC Service Controls melhora sua capacidade de reduzir o risco de exfiltração de dados dos serviços gerenciados pelo Google, como o Cloud Storage e o BigQuery. Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.

Para todos os serviços gerenciados pelo Google protegidos com o VPC Service Controls, é possível garantir que:

  • os recursos dentro de um perímetro só possam ser acessados de modo particular de clientes em redes VPC autorizadas usando o Acesso privado do Google com o Google Cloud ou no local;

  • os clientes em um perímetro com acesso particular aos recursos não tenham acesso a recursos não autorizados (possivelmente públicos) fora do perímetro;

  • os dados não possam ser copiados para recursos não autorizados fora do perímetro usando operações de serviço, como gsutil cp ou bq mk;

  • quando ativado, o acesso à Internet a recursos dentro de um perímetro seja restrito usando intervalos IPv4 e IPv6 permitidos.

O VPC Service Controls oferece uma camada adicional de defesa de segurança para serviços do Google Cloud independente do Cloud Identity and Access Management (Cloud IAM). Ainda que o Cloud IAM permita um controle de acesso baseado em identidade granular, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, incluindo o controle da saída de dados em todo o perímetro. Recomendamos usar o VPC Service Controls e o Cloud IAM para defesa em profundidade.

Benefícios de segurança do VPC Service Controls

O VPC Service Controls ajuda a reduzir os seguintes riscos de segurança sem sacrificar as vantagens de desempenho do acesso privado direto aos recursos do Google Cloud:

  1. Acesso a redes não autorizadas usando credenciais roubadas: ao permitir acesso particular apenas de redes VPC autorizadas, o VPC Service Controls protege contra o roubo de credenciais do OAuth ou de contas de serviço.

  2. Exfiltração de dados por pessoas com informações privilegiadas mal intencionadas ou código comprometido: o VPC Service Controls complementa os controles de saída de rede impedindo que os clientes nessas redes acessem os recursos dos serviços gerenciados pelo Google fora do perímetro.

    O VPC Service Controls também impede a leitura ou cópia de dados para um recurso fora do perímetro usando operações de serviço, como copiar para um intervalo público do Cloud Storage usando o comando gsutil cp ou para uma tabela externa permanente do BigQuery usando o comando bq mk.

    O recurso VIPs restritos pode ser usado para impedir o acesso de uma rede confiável a serviços de armazenamento não integrados ao VPC Service Controls.

  3. Exposição pública de dados particulares causada por políticas do Cloud IAM configuradas incorretamente: o VPC Service Controls oferece uma camada adicional de segurança ao negar acesso de redes não autorizadas, mesmo que os dados sejam expostos por políticas do Cloud IAM configuradas incorretamente.

    Ao atribuir o papel Administrador de políticas do Access Context Manager ao Cloud IAM, o VPC Service Controls pode ser configurado por um usuário que não seja o administrador de políticas do Cloud IAM.

O VPC Service Controls está configurado para sua organização do Google Cloud a fim de criar uma política ampla e uniforme que se aplique de maneira consistente a todos os recursos protegidos no perímetro. Você mantém a flexibilidade de processar, transformar e copiar dados dentro do perímetro. Os controles de segurança são aplicados automaticamente a todos os novos recursos criados dentro de um perímetro.

VPC Service Controls e metadados

O VPC Service Controls não foi projetado para aplicar controles abrangentes ao movimento de metadados.

Neste contexto, "dados" são definidos como conteúdo armazenado em um recurso do Google Cloud. Por exemplo, o conteúdo de um objeto do Cloud Storage. "Metadados" são definidos como os atributos do recurso ou seu pai. Por exemplo, nomes de intervalos do Cloud Storage.

A principal meta de design desta versão do VPC Service Controls é controlar a movimentação dos dados, em vez dos metadados, em um perímetro de serviço por meio de serviços com suporte. Embora, na maioria dos casos, o VPC Service Controls também controle o acesso a metadados, pode haver cenários em que os metadados possam ser copiados e acessados sem as verificações de políticas do VPC Service Controls.

Recomendamos que você confie no Cloud IAM, incluindo o uso de papéis personalizados, para garantir o controle adequado do acesso aos metadados.

Recursos

O VPC Service Controls oferece estes benefícios, permitindo que você defina políticas de segurança que impeçam o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloqueando o acesso a dados de locais não confiáveis e reduzindo os riscos de exfiltração de dados. Com esta versão do VPC Service Controls, é possível:

Isolar recursos do GCP em perímetros de serviço

Um perímetro de serviço cria um limite de segurança em torno dos recursos do Google Cloud. Você pode configurar um perímetro de serviço para controlar comunicações de máquinas virtuais (VMs) para um serviço do Google Cloud (API) e entre os serviços do Google Cloud. Um perímetro de serviço permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.

Exemplo:

  • Uma VM dentro de uma rede da nuvem privada virtual (VPC, na sigla em inglês) que faz parte de um perímetro de serviço pode ler ou gravar em um intervalo do Cloud Storage no mesmo perímetro. No entanto, qualquer tentativa de acessar o intervalo por redes VPC que não estejam dentro do perímetro é negada.

  • Uma operação de cópia entre dois intervalos do Cloud Storage será bem-sucedida se esses dois intervalos estiverem no mesmo perímetro de serviço, mas falhará se um deles estiver fora do perímetro.

  • Uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular todos os intervalos do Cloud Storage no mesmo perímetro. No entanto, a VM terá acesso negado aos intervalos do Cloud Storage que estão fora do perímetro.

Estender perímetros para VPN autorizada ou Cloud Interconnect

Você pode configurar a comunicação particular para recursos do Google Cloud de redes VPC que incluam ambientes híbridos com as extensões locais do Acesso privado do Google. Uma rede VPC deve fazer parte de um perímetro de serviço para VMs nessa rede para acessar de forma privada os recursos gerenciados pelo Google Cloud nesse perímetro de serviço.

VMs com IPs particulares em uma rede VPC que faz parte de um perímetro de serviço não podem acessar recursos gerenciados fora do perímetro de serviço. Se necessário, é possível continuar a permitir o acesso inspecionado e auditado a todas as APIs do Google (por exemplo, o Gmail) pela Internet.

Por exemplo, uma VM dentro de uma rede VPC que faz parte de um perímetro de serviço pode acessar de modo particular um intervalo do Cloud Storage no mesmo perímetro de serviço. No entanto, a VM terá acesso negado aos intervalos do Cloud Storage que estão fora do perímetro de serviço.

Controlar o acesso a recursos do GCP pela Internet

O acesso da Internet a recursos gerenciados dentro de um perímetro de serviço é negado por padrão. Você pode ativar o acesso com base no contexto da solicitação. Para fazer isso, você pode criar níveis de acesso que controlam o acesso com base em vários atributos, como o endereço IP de origem. As solicitações feitas da Internet serão negadas se não atenderem aos critérios definidos no nível de acesso.

Para usar o Console do Cloud para acessar recursos em um perímetro, você deve configurar um nível de acesso que permita o acesso a um ou mais intervalos IPv4 e IPv6 ou a contas de usuário específicas.

Serviços sem suporte

Para mais informações sobre produtos e serviços com suporte do VPC Service Controls, consulte a página Produtos com suporte.

A tentativa de restringir um serviço sem suporte usando a ferramenta de linha de comando gcloud ou a API Access Context Manager resultará em um erro.

O acesso entre projetos a dados de serviços com suporte será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Terminologia

Neste tópico, você aprendeu sobre vários conceitos novos introduzidos pelo VPC Service Controls:

VPC Service Controls
Tecnologia que permite definir um perímetro de segurança em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços.
VIP restrito
O VIP restrito fornece uma rota de rede privada para produtos e APIs compatíveis com o VPC Service Controls para tornar dados e recursos utilizados por esses produtos inacessíveis pela Internet. restricted.googleapis.com é resolvido para 199.36.153.4/30. Esse intervalo de endereços IP não é anunciado para a Internet.
perímetro de serviço
Um perímetro de segurança em torno dos recursos gerenciados pelo Google. Permite a comunicação livre dentro do perímetro, mas, por padrão, bloqueia toda a comunicação através do perímetro.
ponte do perímetro de serviço
Uma ponte do perímetro permite que projetos em diferentes perímetros de segurança se comuniquem. As pontes do perímetro são bidirecionais, permitindo que os projetos de cada perímetro de serviço tenham acesso igual dentro do escopo da ponte.
Access Context Manager
Um serviço de classificação de solicitação contextual que pode mapear uma solicitação para um nível de acesso com base nos atributos especificados do cliente, como o endereço IP de origem.
nível de acesso
Uma classificação de solicitações pela Internet com base em vários atributos, como intervalo de IPs de origem, dispositivo do cliente, geolocalização e outros. Um perímetro de serviço pode ser configurado para conceder acesso pela Internet com base no nível de acesso associado a uma solicitação. Os níveis de acesso são determinados pelo serviço Access Context Manager.
política de acesso
Um objeto de recurso do Google Cloud que define perímetros de serviço. Pode haver apenas um objeto de política de acesso em uma organização, que e é um filho do recurso Organização.

A seguir