VPC Service Controls 概览

本主题简要介绍 VPC Service Controls 并说明其优势和功能。

谁可以使用 VPC Service Controls

您的组织所拥有的知识产权可能属于高度敏感的数据，或者您的组织可能需要处理受其他数据保护法规（例如 PCI DSS）约束的敏感数据。敏感数据意外丢失或泄露可能会对业务产生重大的负面影响。

如果您要从本地迁移到云端，则目标之一可能是在将数据迁移到 Google Cloud 时复制基于本地网络的安全架构。为了保护高度敏感的数据，需要确保只能从受信任的网络访问您的资源。某些组织可能允许公开访问资源，只要请求来自受信任的网络即可，而根据请求的 IP 地址，可以识别受信任的网络。

为了降低数据渗漏风险，您的组织还需要确保通过精细控制跨组织边界安全交换数据。作为管理员，您需要确保以下各项：

具有特权访问权限的客户端也无权访问合作伙伴资源。
有权访问敏感数据的客户端只能读取公共数据集，而不能向其写入数据。

VPC Service Controls 如何降低数据渗漏风险

VPC Service Controls 有助于防止外部实体或内部实体的意外或针对性操作，从而最大限度地减少 Cloud Storage 和 BigQuery 等 Google Cloud 服务发生不合理的数据渗漏风险。您可以使用 VPC Service Controls 创建边界，该边界可保护您明确指定的服务的资源和数据。

VPC Service Controls 通过定义以下控制来保护 Google Cloud 服务：

边界内对资源具有专有访问权限的客户端无法访问边界外的未授权（可能是公开的）资源。
无法使用 gsutil cp 或 bq mk 等服务操作将数据复制到边界外的未授权资源。
由边界分隔的客户端与资源之间的数据交换通过使用入站和出站规则进行保护。
对资源的情境感知访问权限取决于客户端特性，例如身份类型（服务账号或用户）、身份、设备数据和网络来源（IP 地址或 VPC 网络）。以下是情境感知访问权限的示例：
- 位于 Google Cloud 或本地边界外的客户端位于已获授权的 VPC 资源中，并使用专用 Google 访问通道来访问边界内的资源。
- 对边界内资源的互联网访问仅限于 IPv4 和 IPv6 地址范围。
如需了解详情，请参阅使用入站规则的情境感知访问权限。

VPC Service Controls 为独立于 Identity and Access Management (IAM) 的 Google Cloud 服务提供一层额外的安全防御。IAM 实现了基于身份的精细访问权限控制，而 VPC Service Controls 可实现更广泛的基于上下文的边界安全性，包括控制跨边界数据出站流量。我们建议同时使用 VPC Service Controls 和 IAM 来实现深度防御。

借助 VPC Service Controls，您可以使用 Cloud Audit Logs 监控跨服务边界的资源访问模式。如需了解详情，请参阅 VPC Service Controls 审核日志记录。

VPC Service Controls 的安全优势

VPC Service Controls 可帮助降低以下安全风险，同时不影响对 Google Cloud 资源的直接专有访问带来的性能优势：

使用被盗凭据从未授权网络进行的访问：通过仅允许从已授权的 VPC 网络进行专有访问，VPC Service Controls 有助于防止因客户端使用被盗的 OAuth 或服务账户凭据带来的数据渗漏风险。
恶意内部人员或代码被破解造成的数据渗漏：VPC Service Controls 阻止网络中的客户端访问位于边界外的 Google 托管服务的资源，以此作为出站流量控制的补充。

VPC Service Controls 还会阻止从边界外的资源读取数据或将数据复制到边界外的资源。VPC Service Controls 会阻止服务操作，例如将 gsutil cp 命令复制到公共 Cloud Storage 存储桶或将 bq mk 命令复制到永久的外部 BigQuery 表。

Google Cloud 还提供了与 VPC Service Controls 集成的受限虚拟 IP。受限 VIP 还允许向 VPC Service Controls 支持的服务发出请求，而无需将这些请求公开到互联网。
配置错误的 IAM 政策导致的私有数据公开：即使数据因配置错误的 IAM 政策而公开，VPC Service Controls 也可以拒绝来自未授权网络的访问，从而额外增加一重安全防护。
监控对服务的访问：在试运行模式中使用 VPC Service Controls 来监控对受保护服务的请求，而不阻止访问并了解对您项目的流量请求。您还可以创建蜜罐边界，以发现探测可访问服务的意外或恶意尝试。

您可以使用组织访问权限政策并为整个 Google Cloud 组织配置 VPC Service Controls，也可以使用范围限定的政策并为组织中的文件夹或项目配置 VPC Service Controls。您仍然可以灵活地处理、转换和复制边界内的数据。

默认情况下，在组织级层管理 VPC Service Controls 配置，但可以使用文件夹或项目的范围限定的访问权限政策将服务边界的管理委派到资源层次结构中的较低级层。

VPC Service Controls 和元数据

VPC Service Controls 的设计目的不是对元数据移动强制施加全面的控制。

在此上下文中，“数据”定义为存储在 Google Cloud 资源中的内容。例如，Cloud Storage 对象的内容。“元数据”定义为资源或其父级的特性。例如 Cloud Storage 存储桶名称。

VPC Service Controls 的主要目标是通过支持的服务来控制跨服务边界的数据移动，而不是控制元数据的移动。 VPC Service Controls 还管理对元数据的访问，但仍然可能出现未经 VPC Service Controls 政策检查就复制和访问元数据的情况。

我们建议您借助 IAM（包括使用自定义角色）来确保适当地控制对元数据的访问。

功能

借助 VPC Service Controls，您可以定义安全政策，以阻止对受信任边界外的 Google 管理的服务的访问、阻止从不可信位置访问数据，以及降低数据渗漏风险。

您可以在以下用例中使用 VPC Service Controls：

将 Google Cloud 资源和 VPC 网络隔离在服务边界内
使用授权 VPN 或 Cloud Interconnect 着陆区 VPC 网络将边界扩展到本地网络。
控制从互联网访问 Google Cloud 资源
使用入站和出站规则保护跨边界和组织之间的数据交换
使用入站规则，根据客户端特性允许情境感知访问权限

将 Google Cloud 资源隔离到服务边界内

服务边界围绕着 Google Cloud 资源设置安全边界。服务边界允许在边界内自由通信，但默认情况下阻止跨边界与 Google Cloud 服务的通信。

边界专门用于 Google Cloud 代管式服务。边界不会阻止访问互联网上的任何第三方 API 或服务。

您可以配置边界以控制以下类型的通信：

从公共互联网到托管式服务中的客户资源
从虚拟机到 Google Cloud 服务 (API)
Google Cloud 服务之间

VPC Service Controls 不要求您拥有虚拟私有云 (VPC) 网络。如需在 VPC 网络上没有任何资源的情况下使用 VPC Service Controls，您可以允许来自外部 IP 范围或某些 IAM 主账号的流量。如需了解详情，请参阅创建和管理访问权限级别。

以下是创建安全边界的 VPC Service Controls 的几个示例：

作为服务边界一部分的 VPC 网络中的虚拟机可对同一边界内的 Cloud Storage 存储桶进行读写操作。但是，VPC Service Controls 不允许位于边界以外的 VPC 网络中的虚拟机访问边界内的 Cloud Storage 存储桶。您必须指定入站流量政策，以允许边界外的 VPC 网络中的虚拟机访问边界内的 Cloud Storage 存储桶。
对于包含多个 VPC 网络的宿主项目，对于宿主项目中的每个 VPC 网络，该宿主项目具有不同的边界政策。
如果两个 Cloud Storage 存储桶位于同一个服务边界内，则这两个存储桶之间的复制操作会成功；但如果其中一个存储桶位于边界外，则复制操作将失败。
VPC Service Controls 不允许 VPC 网络内服务边界内的虚拟机访问边界外的 Cloud Storage 存储桶。

下图显示了一个服务边界，边界允许边界内的 VPC 项目与 Cloud Storage 存储桶进行通信，但阻止了跨越该边界的所有通信：

将边界扩展到授权 VPN 或 Cloud Interconnect

您可以通过专用 Google 访问通道本地扩展程序配置从跨混合环境的 VPC 网络到 Google Cloud 资源的私密通信。如需对边界内的 Google Cloud 资源进行专有访问，包含来自本地的着陆区的 VPC 网络必须是本地网络中资源的一部分。

在作为服务边界一部分的 VPC 网络上，具有专用 IP 地址的虚拟机无法访问服务边界外的代管资源。如果需要，您可以继续允许对所有 Google API（例如 Gmail）的访问，这些访问来自互联网且必须经过检查和审核。

下图展示了通过专用 Google 访问通道扩展到混合环境的服务边界：

控制从互联网访问 Google Cloud 资源

默认情况下，从互联网访问服务边界内的代管资源将被拒绝。根据情况，您也可以视请求的上下文来启用访问。为此，您可以创建入站规则或访问权限级别，以允许基于各种属性（例如来源 IP 地址、身份或来源 Google Cloud 项目）进行访问。如果从互联网发出的请求不符合入站规则或访问权限级别中定义的条件，则会被拒绝。

如需使用 Google Cloud 控制台访问边界内的资源，您必须配置一个访问权限级别，以允许从一个或多个 IPv4 和 IPv6 范围进行访问或访问特定用户账号。

下图展示了一个服务边界，用于根据配置的访问权限级别（例如 IP 地址或设备政策），从互联网访问受保护的资源：

可降低数据渗漏风险的其他控制措施

网域限定共享：您可以考虑设置组织政策，以将资源共享限制为属于特定组织资源的身份。如需了解详情，请参阅按网域限制身份。
统一存储桶级访问权限：如需统一控制 Cloud Storage 存储桶访问权限，请考虑设置存储桶级 IAM 权限。通过使用统一存储桶级访问权限，您可以使用其他 Google Cloud 安全功能，例如网域限定共享、员工身份联合和 IAM 条件。
多重身份验证：我们建议您使用多重身份验证访问 Google Cloud 资源。
使用基础架构即代码工具自动执行：我们建议您使用自动化工具部署 Cloud Storage 存储桶，以控制对存储桶的访问权限。在部署之前，需通过人工审核或自动审核来传递基础架构即代码。
部署后扫描：您可以考虑使用以下部署后扫描工具扫描开放式 Cloud Storage 存储桶：
- Security Command Center
- Cloud Asset Inventory，用于搜索资产元数据历史记录，并分析 IAM 政策，以了解谁有权访问哪些内容。
- Palo Alto PrismaCloud 等第三方工具
敏感数据去标识化：您可以考虑使用敏感数据保护来发现 Google Cloud 内部和外部的敏感数据并对其进行分类和去标识化。可以通过遮盖、标记化或加密来完成对敏感数据的去标识化。

不支持的服务

如需详细了解 VPC Service Controls 支持的产品和服务，请参阅支持的产品页面。

尝试使用 gcloud 命令行工具或 Access Context Manager API 限制不支持的服务会导致错误。

VPC Service Controls 将阻止跨项目访问支持的服务的数据。此外，受限 VIP 可用于阻止工作负载调用不支持的服务。

已知限制

在您使用 VPC Service Controls 时，某些 Google Cloud 服务、产品和界面存在一些已知限制。例如，VPC Service Controls 并非支持所有 Google Cloud 服务。因此，请勿在边界中启用不受支持的 Google Cloud 服务。如需了解详情，请参阅 VPC Service Controls 支持的产品列表。如果您需要使用 VPC Service Controls 不支持的服务，请在边界外的项目中启用该服务。

我们建议您先查看已知限制，然后再将 Google Cloud 服务添加到边界中。如需了解详情，请参阅 VPC Service Controls 服务限制。

术语库

在本主题中，您了解了 VPC Service Controls 引入的若干新概念：

VPC Service Controls: 借助该技术，您可以围绕 Google 管理的服务的资源定义服务边界，以控制与这些服务的通信以及这些服务之间的通信。
服务边界: Google 管理的资源的服务边界。允许在边界内自由通信，但默认情况下阻止跨边界的所有通信。
入站规则: 允许边界外的 API 客户端访问边界内的资源的规则。如需了解详情，请参阅入站和出站规则。
出站规则: 允许边界内 API 客户端或资源访问边界外 Google Cloud 资源的规则。边界不会阻止访问互联网中的任何第三方 API 或服务。
服务边界网桥: 边界网桥可允许不同服务边界内的项目进行通信。边界网桥是双向的，允许两侧服务边界内的项目在该网桥的范围内获得同等的访问权限。

注意：我们建议使用入站流量和出站流量规则，而不是边界网桥，以提供更精细的控制。
Access Context Manager: 一项情境感知的请求分类服务，可根据客户端的指定属性（如来源 IP 地址）将请求映射到访问权限级别。如需了解详情，请参阅 Access Context Manager 概览。
访问权限级别: 一种基于多个属性（如来源 IP 范围、客户端设备、地理定位等）的互联网请求分类法。与入站规则一样，您可以使用访问权限级别配置服务边界，以根据与请求关联的访问权限级别授予从互联网访问的权限。您可以使用 Access Context Manager 创建访问权限级别。
访问权限政策: 一种定义服务边界的 Google Cloud 资源对象。您可以创建范围限定于特定文件夹或项目的访问权限政策，以及可应用于整个组织的访问权限政策。一个组织只能有一个组织级层的访问权限政策。
范围限定的政策: 范围限定的政策是一种范围限定于特定文件夹或项目的访问权限政策，以及应用于整个组织的访问权限政策。如需了解详情，请参阅范围限定的政策概览。
受限 VIP: 受限 VIP 为 VPC Service Controls 支持的产品和 API 提供专用网络路由，以阻止通过互联网对这些产品所用的数据和资源的访问。restricted.googleapis.com 将解析为 199.36.153.4/30。此 IP 地址范围不公布到互联网。