VPC Service Controls 總覽

VPC Service Controls 可讓您更進一步降低他人透過 Cloud Storage 和 BigQuery 等 Google 代管服務竊取資料的風險。透過 VPC Service Controls,您可以為 Google 代管服務的資源設定安全範圍,並控管跨服務邊界的資料移動。

使用 VPC Service Controls 保護所有 Google 代管的服務後,您就能確保:

  • 使用者只能使用 GCP 或內部部署的私人 Google 存取權,透過授權 VPC 網路中的用戶端以私密方式存取範圍內的資源。

  • 範圍內具備資源私人存取權的用戶端,無法存取範圍外未獲授權的資源 (可能為公開資源)。

  • 使用者無法使用 gsutil cpbq mk 等服務作業,將資料複製到範圍外未獲授權的資源。

  • 啟用 VPC Service Controls 後,如要透過網際網路存取範圍內的資源,您只能使用許可清單中的 IPv4 和 IPv6 範圍。

VPC Service Controls 可為 GCP 服務提供 Cloud Identity and Access Management (Cloud IAM) 以外的另一層防護。Cloud IAM 提供精細的「身分式存取權控管功能」,VPC Service Controls 則提供較廣泛的「情境式範圍安全防護功能」,包括控管跨範圍的資料輸出作業。建議您同時使用 VPC Service Controls 和 Cloud IAM 以享有深入的防禦機制。

VPC Service Controls 的安全性優點

VPC Service Controls 有助於降低下列安全性風險,而不會犧牲 GCP 資源直接私人存取權的效能優勢:

  1. 使用遭竊憑證透過未獲授權的網路進行存取:VPC Service Controls 能夠只允許透過授權的 VPC 網路以私密方式存取資源,以防 OAuth 憑證或服務帳戶憑證遭竊。

  2. 透過惡意內部攻擊或遭駭的程式碼竊取資料:VPC Service Controls 能夠與網路輸出控管功能相輔相成,避免這些網路內的用戶端存取範圍外的 Google 代管服務資源。

    VPC Service Controls 還可避免使用者讀取範圍外資源的資料,或使用服務作業將資料複製到範圍外的資源,例如使用 gsutil cp 指令複製到公共 Cloud Storage 值區,或使用 bq mk 指令複製到永久外部 BigQuery 資料表。

    您可以使用受限制的 VIP 功能,禁止透過受信任的網路存取未與 VPC Service Controls 整合的儲存空間服務。

  3. 因 Cloud IAM 政策設定錯誤而導致私人資料公開:VPC Service Controls 可為您提供多一層安全防護,拒絕來自未獲授權網路的存取行為,即使資料因 Cloud IAM 政策設定錯誤而公開也一樣。

    獲指派 Cloud IAM 的 Access Context Manager 政策管理員角色後,非 Cloud IAM 政策管理員的使用者也可設定 VPC Service Controls。

藉由設定 VPC Service Controls,您可以為自己的 GCP 機構建立廣泛一致的政策,確保範圍內所有受保護的資源都適用相同政策的規範,同時仍保有在範圍內處理、轉換和複製資料的彈性。安全控管設定會自動套用到範圍內所有新建立的資源。

VPC Service Controls 和中繼資料

VPC Service Controls 不是為了全面控管中繼資料的移動所設計。

在此,「資料」的定義是儲存在 GCP 資源中的內容,例如 Cloud Storage 物件的內容;「中繼資料」的定義則是該資源或其父項的屬性,例如 Cloud Storage 值區名稱。

這個版本的 VPC Service Controls 主要是用來控管資料 (而非中繼資料) 透過支援的服務在服務範圍內的移動。雖然在大部分的情況下,VPC Service Controls 也可用來控管中繼資料的存取權,但使用者也可能在未進行 VPC Service Controls 政策檢查的情況下,直接複製和存取中繼資料。

建議您使用 Cloud IAM (包括使用自訂角色),確保中繼資料的存取權受到妥善控管。

功能

VPC Service Controls 可讓您享有多項好處,包括定義安全性政策以禁止存取受信任範圍外的 Google 代管服務、禁止透過不受信任的位置存取資料,以及降低資料竊取的風險。只要使用這個版本的 VPC Service Controls,您就能夠:

使用服務範圍隔離 GCP 資源和 VPC 網路

服務範圍會在 GCP 資源周圍建立一道安全邊界。您可以設定服務範圍來控管虛擬機器 (VM) 至 GCP 服務 (API) 的通訊,以及 GCP 服務之間的通訊。在服務範圍的區域內可自由通訊,但根據預設,跨範圍的通訊全都會受到封鎖。

例如:

  • 如果 VM 位在屬於某個服務範圍的虛擬私人雲端 (VPC) 網路中,就可以讀取或寫入相同範圍內的 Cloud Storage 值區,但從範圍外 VPC 網路存取該值區的行為一律會遭拒。

  • 如果兩個 Cloud Storage 值區位在相同服務範圍中,即可在值區之間進行複製作業,但如果其中一個值區在範圍外,就無法進行複製作業。

  • 如果 VM 位在屬於某個服務範圍的 VPC 網路中,就能夠以私密方式存取相同範圍內的任何 Cloud Storage 值區,但無法存取範圍外的 Cloud Storage 值區。

將範圍延伸至獲授權的 VPN 或 Cloud Interconnect

您可以使用私人 Google 存取權內部部署擴充功能,設定從橫跨混合環境的 VPC 網路至 GCP 資源的私密通訊。VPC 網路必須屬於該網路中 VM 的服務範圍,才能以私密方式存取該服務範圍中的代管 GCP 資源。

如果具私人 IP 的 VM 位在屬於某服務範圍的 VPC 網路中,就無法存取該服務範圍外的代管資源。如有需要,您可以繼續允許在受檢查和稽核的情況下,透過網際網路存取所有 Google API (例如 Gmail)。

舉例來說,如果 VM 位在屬於某個服務範圍的 VPC 網路中,就能夠以私密方式存取相同範圍內的 Cloud Storage 值區,但無法存取服務範圍外的 Cloud Storage 值區。

控管透過網際網路存取 GCP 資源的行為

根據預設,透過網際網路存取服務範圍內代管資源的行為會遭拒,但您可以選擇根據要求的情境啟用存取權。為此,您可以建立存取層級,根據多種屬性 (例如來源 IP 位址) 控管存取權。透過網際網路發出的要求,如未滿足存取層級中所定義的條件,就會遭拒。

如要使用 GCP 主控台存取範圍內的資源,您必須設定存取層級,允許透過一或多個 IPv4 和 IPv6 範圍存取,或允許特定使用者帳戶存取。

不支援的服務

如要進一步瞭解 VPC Service Controls 支援的產品與服務,請參閱支援的產品頁面。

如果您嘗試使用 gcloud 指令列工具或 Access Context Manager API 限制不支援的服務,將會導致系統發生錯誤。

VPC Service Controls 會封鎖支援服務資料的跨專案存取權。此外,受限制的 VIP 可用來禁止工作負載呼叫不支援的服務。

術語

在本主題中,您已瞭解 VPC Service Controls 引進的幾種新概念:

VPC Service Controls
這項技術可讓您定義 Google 代管服務資源的安全範圍,藉此控管對這些服務和服務之間的通訊。
受限制的 VIP
受限制的 VIP 可為 VPC Service Controls 支援的產品和 API 提供私人網路路徑,讓使用者無法透過網際網路存取這些產品使用的資料和資源。restricted.googleapis.com 會解析為 199.36.153.4/30,而這個 IP 位址範圍並未在網際網路上公布。
服務範圍
Google 代管資源周圍的安全範圍。在服務範圍的區域內可自由通訊,但根據預設,跨範圍的通訊全都會受到封鎖。
服務重疊範圍
重疊範圍可讓不同安全範圍內的專案互相通訊。重疊範圍是雙向的,每個服務範圍內的專案在重疊範圍中都有同等的存取權。
Access Context Manager
一種情境感知要求分類服務,可根據用戶端的指定屬性 (例如來源 IP 位址) 將要求對應至存取層級。
存取層級
一種分類法,可根據來源 IP 位址、用戶端裝置、地理位置等多種屬性,將透過網際網路發出的要求分門別類。您可以將服務範圍設定為根據要求的關聯存取層級,授予透過網際網路存取的權限。存取層級是由 Access Context Manager 服務判定。
存取權政策
一種用來定義服務範圍的 GCP 資源物件。單一機構中只能有一個存取權政策物件,且該物件是機構資源的子項。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
VPC Service Controls