本主題將概略介紹 VPC Service Controls,並說明其優點和功能。
哪些人應使用 VPC Service Controls
貴機構可能擁有高度機密資料形式的智慧財產,或是處理受其他資料保護法規 (例如 PCI DSS) 規範的機密資料。敏感資料若意外遺失或外洩,可能會對業務造成重大負面影響。
如果您要從內部部署環境遷移至雲端,其中一個目標可能是複製內部部署網路的安全架構,同時將資料移至 Google Cloud。為保護高度機密資料,您可能需要確保資源只能從信任的網路存取。部分機構可能會允許公開存取資源,但前提是要求必須來自可信任的網路,而這類網路可根據要求的 IP 位址進行識別。
為降低資料外洩風險,貴機構可能也希望確保在機構界線之間安全地交換資料,並進行精細的控管。管理員可能需要確保下列事項:
- 具備特殊存取權的用戶端無法存取合作夥伴資源。
- 可存取私密資料的用戶端只能讀取公開資料集,但無法寫入資料。
VPC Service Controls 如何降低資料竊取風險
VPC Service Controls 可防範外部或內部實體採取意外或針對性行動,有助於盡量降低 Cloud Storage 和 BigQuery 等 Google Cloud 服務中不當資料外洩的風險。您可以透過 VPC Service Controls 建立服務範圍,保護您明確指定的服務資源和資料。
VPC Service Controls 會定義下列控制項,確保服務安全無虞: Google Cloud
範圍內具備資源私人存取權的用戶端,無法存取範圍外未獲授權的資源 (可能為公開資源)。
您無法使用
gcloud storage cp
或bq mk
等服務作業,將資料複製到範圍外的未授權資源。使用輸入和輸出規則,確保用戶端與安全範圍分隔的資源之間資料交換安全無虞。
資源的情境感知存取權取決於用戶端屬性,例如身分類型 (服務帳戶或使用者)、身分、裝置資料和網路來源 (IP 位址或 VPC 網路)。以下列舉情境感知存取權的範例:
範圍外的用戶端位於 Google Cloud 或地端部署環境,屬於授權 VPC 資源,並使用私人 Google 存取權存取範圍內的資源。
透過網際網路存取範圍內的資源時,只能使用特定範圍的 IPv4 和 IPv6 位址。
詳情請參閱「使用輸入規則的情境感知存取權」。
VPC Service Controls 可為Google Cloud 服務提供 Identity and Access Management (IAM) 以外的另一層防護。IAM 提供精細的「身分式存取權控管功能」,VPC Service Controls 則提供較廣泛的「情境式範圍安全防護功能」,包括控管跨範圍的資料輸出作業。建議您同時使用 VPC Service Controls 和 IAM,以享有深入的防禦機制。
您可以使用 Cloud 稽核記錄,透過 VPC Service Controls 監控服務範圍內的資源存取模式。詳情請參閱「VPC Service Controls 稽核記錄」。
VPC Service Controls 的安全性優點
VPC Service Controls 有助於降低下列安全性風險,而不會犧牲 Google Cloud資源直接私人存取權的效能優勢:
使用遭竊憑證透過未獲授權的網路進行存取:VPC Service Controls 能夠只允許透過授權的 VPC 網路以私密方式存取資源,以防用戶端使用遭竊的 OAuth 或服務帳戶憑證竊取資料。
透過惡意內部攻擊或遭駭的程式碼竊取資料:VPC Service Controls 能夠與網路輸出控管功能相輔相成,避免這些網路內的用戶端存取範圍外的 Google 代管服務資源。
VPC Service Controls 還可避免使用者讀取範圍外資源的資料,或將資料複製到範圍外的資源。VPC Service Controls 會禁止服務作業,例如使用
gcloud storage cp
指令複製到公開 Cloud Storage 值區,或使用bq mk
指令複製到永久外部 BigQuery 資料表。Google Cloud 也提供與 VPC Service Controls 整合的受限虛擬 IP。 受限制的 VIP 也允許向VPC Service Controls 支援的服務提出要求,且不會將這些要求公開至網際網路。
因 IAM 政策設定錯誤而導致私人資料公開:VPC Service Controls 可為您提供多一層安全防護,拒絕來自未獲授權網路的存取行為,即使資料因 IAM 政策設定錯誤而公開也一樣。
監控服務存取權:在模擬測試模式中使用 VPC Service Controls,監控對受保護服務的要求,瞭解專案的流量要求,但不會禁止存取。您也可以建立蜜罐周邊,識別對可存取服務的非預期或惡意探查嘗試。
您可以透過機構存取權政策,為整個 Google Cloud 機構設定 VPC Service Controls,也可以使用範圍政策,為機構中的資料夾或專案設定 VPC Service Controls。同時仍保有在範圍內處理、轉換和複製資料的彈性。
根據預設,VPC Service Controls 設定是在機構層級管理,但您可以使用資料夾或專案的範圍存取權政策,將服務範圍的管理權進一步委派給資源階層中的下層。
VPC Service Controls 和中繼資料
VPC Service Controls 不是為了全面控管中繼資料的移動所設計。
在此,「資料」的定義是儲存在 Google Cloud 資源中的內容,例如 Cloud Storage 物件的內容。「中繼資料」的定義則是該資源或其父項的屬性,例如 Cloud Storage 值區名稱。
VPC Service Controls 的主要目標是透過支援的服務,控管資料 (而非中繼資料) 在服務範圍內的移動。VPC Service Controls 也會管理中繼資料的存取權,但使用者也可能在未進行 VPC Service Controls 政策檢查的情況下,直接複製和存取中繼資料。
建議您使用 IAM (包括使用自訂角色),確保中繼資料的存取權受到妥善控管。
功能
VPC Service Controls 可讓您定義安全性政策,禁止存取受信任範圍外的 Google 代管服務、禁止透過不受信任的位置存取資料,以及降低資料竊取的風險。
VPC Service Controls 適用於下列用途:
使用獲授權的 VPN 或 Cloud Interconnect 登陸區虛擬私有雲網路,將範圍延伸至內部部署網路。
使用輸入規則,根據用戶端屬性允許情境感知存取權存取資源
使用服務範圍隔離 Google Cloud 資源
服務範圍會在資源周圍建立一道安全邊界。 Google Cloud在服務範圍的區域內可自由通訊,但根據預設,跨範圍的通訊全都會受到封鎖。 Google Cloud
服務範圍專門用於 Google Cloud 代管服務。這個安全防護範圍不會封鎖網際網路上任何第三方 API 或服務的存取權。
您可以設定周邊範圍,控管下列類型的通訊:
- 從公用網際網路傳送至代管服務中的客戶資源
- 從虛擬機器 (VM) 到 Google Cloud 服務 (API)
- 介於 Google Cloud 服務
VPC Service Controls 不要求您具備虛擬私有雲 (VPC) 網路。如要在 VPC 網路中沒有任何資源的情況下使用 VPC Service Controls,可以允許來自外部 IP 範圍或特定 IAM 主體的流量。詳情請參閱「建立及管理存取權層級」。
以下列舉幾個 VPC Service Controls 建立安全邊界的範例:
如果 VM 位在屬於某個服務範圍的虛擬私有雲網路中,就可以讀取或寫入相同範圍內的 Cloud Storage 值區,不過,VPC Service Controls 不允許範圍外的 VPC 網路中的 VM 存取範圍內的 Cloud Storage 值區。您必須指定輸入政策,允許範圍外的虛擬私有雲網路中的 VM 存取範圍內的 Cloud Storage 值區。
如果主專案包含多個虛擬私有雲網路,則主專案中的每個虛擬私有雲網路都有不同的安全防護範圍政策。
如果兩個 Cloud Storage 值區位在相同服務範圍中,即可在值區之間進行複製作業,但如果其中一個值區在範圍外,就無法進行複製作業。
VPC Service Controls 不允許服務範圍內的 VPC 網路 VM 存取範圍外的 Cloud Storage 值區。
下圖顯示服務範圍,允許範圍內的 VPC 專案和 Cloud Storage 儲存空間互相通訊,但會封鎖所有跨範圍的通訊:
將範圍延伸至獲授權的 VPN 或 Cloud Interconnect
您可以使用私人 Google 存取權內部部署擴充功能,設定從橫跨混合環境的 VPC 網路至 Google Cloud 資源的私密通訊。如要以私密方式存取範圍內的Google Cloud 資源,地端網路中包含登陸區的 VPC 網路,必須是地端網路資源的範圍。
如果具私人 IP 位址的 VM 位在受服務範圍保護的 VPC 網路中,就無法存取該服務範圍外的代管資源。如有需要,您可以繼續允許在受檢查和稽核的情況下,透過網際網路存取所有 Google API (例如 Gmail)。
下圖顯示延伸至混合式環境的服務範圍 (使用私人 Google 存取權):
控管透過網際網路存取 Google Cloud 資源的行為
根據預設,透過網際網路存取服務範圍內代管資源的行為會遭拒,但您可以選擇根據要求的情境啟用存取權。為此,您可以建立輸入規則或存取層級,根據各種屬性 (例如來源 IP 位址、身分或來源 Google Cloud 專案) 允許存取。如果透過網際網路發出的要求不符合進入規則或存取層級中定義的條件,就會遭拒。
如要使用 Google Cloud 主控台存取範圍內的資源,您必須設定存取層級,允許透過一或多個 IPv4 和 IPv6 範圍存取,或允許特定使用者帳戶存取。
下圖顯示服務範圍如何根據設定的存取層級 (例如 IP 位址或裝置政策),允許透過網際網路存取受保護的資源:
其他可降低資料竊取風險的控制項
- 網域限定共用:您可以考慮設定機構政策,將資源共用限制為屬於特定機構資源的身分。詳情請參閱「依照網域設定身分限制」。
- 統一值區層級存取權:如要統一控管 Cloud Storage 值區的存取權,請考慮設定值區層級的 IAM 權限。使用統一值區層級存取權,可讓您使用其他 Google Cloud 安全性功能,例如網域限制分享、員工身分聯盟和 IAM 條件。
- 多重驗證:建議使用多重驗證存取 Google Cloud 資源。
- 部署後掃描:您可以考慮使用下列部署後掃描工具,掃描開放存取的 Cloud Storage 儲存空間:
- Security Command Center
- Cloud Asset Inventory:搜尋資產中繼資料記錄,並分析 IAM 政策,瞭解哪些使用者具有哪些存取權。
- 第三方工具,例如 Palo Alto PrismaCloud
- 機密資料去識別化:您可以考慮使用 Sensitive Data Protection,探索、分類及去識別化 Google Cloud內外的機密資料。您可以透過遮蓋、權杖化或加密,將機密資料去識別化。
- 使用基礎架構即程式碼工具自動化:建議您使用自動化工具部署 Cloud Storage 值區,控管值區的存取權。在部署基礎架構即程式碼之前,先通過人工或自動審查。
不支援的服務
如要進一步瞭解 VPC Service Controls 支援的產品與服務,請參閱支援的產品頁面。
如果您嘗試使用 gcloud
指令列工具或 Access Context Manager API 限制不支援的服務,將會導致系統發生錯誤。
VPC Service Controls 會封鎖支援服務資料的跨專案存取權。 此外,受限制的 VIP 可用來禁止工作負載呼叫不支援的服務。
已知限制
使用 VPC Service Controls 時,某些 Google Cloud 服務、產品和介面會受到已知限制。舉例來說,VPC Service Controls 不支援所有 Google Cloud 服務。因此,請勿在範圍內啟用不支援的 Google Cloud 服務。詳情請參閱 VPC Service Controls 支援的產品清單。 如果需要使用 VPC Service Controls 不支援的服務,請在服務範圍外的專案中啟用該服務。
建議您先查看已知限制,再將Google Cloud 服務納入範圍。詳情請參閱 VPC Service Controls 服務限制。
詞彙
在本主題中,您已瞭解 VPC Service Controls 引進的幾種新概念:
- VPC Service Controls
- 這項技術可讓您定義 Google 代管服務資源的服務範圍,藉此控管對這些服務和服務之間的通訊。
- 服務範圍
- Google 代管資源周圍的服務範圍。在服務範圍的區域內可自由通訊,但根據預設,跨範圍的通訊全都會受到封鎖。
- ingress 規則
- 這項規則允許範圍外的 API 用戶端存取範圍內的資源。詳情請參閱「連入和連出規則」。
- egress 規則
- 這項規則允許範圍內的 API 用戶端或資源 Google Cloud 存取範圍外的資源。這個邊界不會封鎖網路上任何第三方 API 或服務的存取權。
- 服務重疊範圍
重疊範圍可讓不同服務範圍內的專案互相通訊。重疊範圍是雙向的,每個服務範圍內的專案在重疊範圍中都有同等的存取權。
- Access Context Manager
這項情境感知要求分類服務可根據用戶端的指定屬性 (例如來源 IP 位址),將要求對應至存取層級。詳情請參閱「Access Context Manager 總覽」。
- 存取層級
一種分類法,可根據來源 IP 範圍、用戶端裝置、地理位置等多種屬性,將透過網際網路發出的要求分門別類。與 Ingress 規則相同,您可以使用存取層級設定服務範圍,根據與要求相關聯的存取層級,授予透過網際網路存取的權限。您可以使用 Access Context Manager 建立存取層級。
- 存取權政策
定義服務範圍的 Google Cloud 資源物件。您可以建立適用於整個機構的存取權政策,以及適用於特定資料夾或專案的存取權政策。每個機構只能有一個機構層級的存取權政策。
- 範圍政策
範圍政策是指適用於特定資料夾或專案的存取政策,以及適用於整個機構的存取政策。詳情請參閱「範圍政策總覽」。
- 受限制的 VIP
受限制的 VIP 可為 VPC Service Controls 支援的產品和 API 提供私人網路路徑,讓使用者無法透過網際網路存取這些產品使用的資料和資源。
restricted.googleapis.com
解析為199.36.153.4/30
。 而這個 IP 位址範圍並未在網際網路上公布。
後續步驟
- 瞭解服務範圍設定。
- 瞭解如何管理服務範圍中的虛擬私有雲網路
- 查看已知服務限制。