Detail dan konfigurasi perimeter layanan

Halaman ini menjelaskan perimeter layanan dan mencakup langkah-langkah tingkat tinggi untuk mengonfigurasi perimeter.

Tentang perimeter layanan

Bagian ini memberikan detail tentang cara kerja perimeter layanan, dan perbedaan antara perimeter uji coba dan perimeter yang diterapkan.

Untuk melindungi layanan Google Cloud dalam project Anda dan mengurangi risiko pemindahan data yang tidak sah, Anda dapat menentukan perimeter layanan di level jaringan VPC atau project. Untuk mengetahui informasi lebih lanjut tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.

Selain itu, layanan yang dapat diakses di dalam perimeter, seperti dari VM di jaringan VPC yang dihosting di dalam perimeter, dapat dibatasi menggunakan fitur Layanan yang dapat diakses VPC.

Anda dapat mengonfigurasi perimeter Kontrol Layanan VPC dalam mode penerapan atau uji coba. Langkah-langkah konfigurasi yang sama berlaku untuk perimeter yang diterapkan dan uji coba. Perbedaannya adalah bahwa perimeter uji coba mencatat pelanggaran ke dalam log meskipun perimeter diterapkan, tetapi tidak mencegah akses ke layanan yang dibatasi.

Mode diterapkan

Mode diterapkan adalah mode default untuk perimeter layanan. Jika perimeter layanan diterapkan, permintaan yang melanggar kebijakan perimeter, seperti permintaan ke layanan yang dibatasi dari luar perimeter, akan ditolak.

Perimeter dalam mode diterapkan melindungi resource Google Cloud dengan menerapkan batas perimeter untuk layanan yang dibatasi dalam konfigurasi perimeter. Permintaan API ke layanan yang dibatasi tidak melewati batas perimeter kecuali jika kondisi aturan traffic masuk dan keluar yang diperlukan dari perimeter terpenuhi. Perimeter yang diterapkan melindungi data dari risiko yang tidak sah, seperti kredensial yang dicuri, konfigurasi izin yang salah, atau orang dalam yang berniat jahat yang memiliki akses ke project.

Mode uji coba

Dalam mode uji coba, permintaan yang melanggar kebijakan perimeter tidak akan ditolak, tetapi hanya dicatat ke dalam log. Perimeter layanan uji coba digunakan untuk menguji konfigurasi perimeter dan memantau penggunaan layanan tanpa mencegah akses ke resource. Berikut adalah beberapa kasus penggunaan umum:

  • Menentukan dampak saat Anda mengubah perimeter layanan yang ada.

  • Melihat pratinjau dampak saat Anda menambahkan perimeter layanan baru.

  • Memantau permintaan ke layanan yang dibatasi yang berasal dari luar perimeter layanan. Misalnya, untuk mengidentifikasi asal permintaan ke layanan tertentu atau untuk mengidentifikasi penggunaan layanan yang tidak terduga di organisasi Anda.

  • Membuat arsitektur perimeter di lingkungan pengembangan yang serupa dengan lingkungan produksi Anda. Anda dapat mengidentifikasi dan memitigasi masalah apa pun yang disebabkan oleh perimeter layanan Anda sebelum mengirimkan perubahan ke lingkungan produksi.

Untuk mengetahui informasi selengkapnya, lihat Mode uji coba.

Tahap konfigurasi perimeter layanan

Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan Konsol Google Cloud, alat command line gcloud, dan Access Context Manager API.

Anda dapat mengonfigurasi Kontrol Layanan VPC seperti yang dijelaskan dalam langkah-langkah tingkat tinggi berikut:

  1. Buat kebijakan akses.

  2. Amankan resource yang dikelola Google dengan perimeter layanan.

  3. Siapkan layanan VPC yang dapat diakses untuk memberikan batasan tambahan terkait cara penggunaan layanan di dalam perimeter Anda (opsional).

  4. Menyiapkan konektivitas pribadi dari jaringan VPC (opsional).

  5. Izinkan akses kontekstual dari luar perimeter layanan menggunakan aturan ingress (opsional).

  6. Konfigurasikan pertukaran data yang aman menggunakan aturan masuk dan keluar (opsional).

Membuat kebijakan akses

Kebijakan akses mengumpulkan perimeter layanan dan tingkat akses yang Anda buat untuk organisasi Anda. Organisasi dapat memiliki satu kebijakan akses untuk seluruh organisasi dan beberapa kebijakan akses terbatas untuk folder dan project.

Anda dapat menggunakan konsol Google Cloud, alat command line gcloud, atau Access Context Manager API untuk membuat kebijakan akses.

Untuk mempelajari lebih lanjut Access Context Manager dan kebijakan akses, baca ringkasan Access Context Manager.

Mengamankan resource yang dikelola Google dengan perimeter layanan

Perimeter layanan digunakan untuk melindungi layanan yang digunakan oleh project di organisasi Anda. Setelah mengidentifikasi project dan layanan yang ingin Anda lindungi, buat satu atau beberapa perimeter layanan.

Untuk mempelajari lebih lanjut cara kerja perimeter layanan dan layanan Kontrol Layanan VPC yang dapat digunakan untuk mengamankan, baca Ringkasan Kontrol Layanan VPC.

Beberapa layanan memiliki batasan terkait cara penggunaannya dengan Kontrol Layanan VPC. Jika mengalami masalah dengan project Anda setelah menyiapkan perimeter layanan, baca Pemecahan masalah.

Menyiapkan layanan VPC yang dapat diakses

Jika Anda mengaktifkan layanan VPC yang dapat diakses untuk sebuah perimeter, akses dari endpoint jaringan di dalam perimeter dibatasi ke serangkaian layanan yang Anda tentukan.

Untuk mempelajari lebih lanjut cara membatasi akses di dalam perimeter Anda hanya untuk kumpulan layanan tertentu, baca tentang Layanan yang dapat diakses VPC.

Menyiapkan konektivitas pribadi dari jaringan VPC

Untuk memberikan keamanan tambahan bagi jaringan VPC dan host lokal yang dilindungi oleh perimeter layanan, sebaiknya gunakan Akses Google Pribadi. Untuk mengetahui informasi selengkapnya, lihat konektivitas pribadi dari jaringan lokal.

Untuk mempelajari cara mengonfigurasi konektivitas pribadi, baca Menyiapkan konektivitas pribadi ke Google API dan layanan Google.

Membatasi akses ke resource Google Cloud hanya untuk akses pribadi dari jaringan VPC berarti bahwa akses yang menggunakan antarmuka seperti konsol Google Cloud dan konsol Cloud Monitoring ditolak. Anda dapat terus menggunakan alat command line gcloud atau klien API dari jaringan VPC yang berbagi perimeter layanan atau jembatan perimeter dengan resource yang dibatasi.

Mengizinkan akses kontekstual dari luar perimeter layanan menggunakan aturan ingress

Anda dapat mengizinkan akses kontekstual ke resource yang dibatasi oleh perimeter berdasarkan atribut klien. Anda dapat menentukan atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan asal jaringan (alamat IP atau jaringan VPC).

Misalnya, Anda dapat menyiapkan aturan ingress untuk mengizinkan akses internet ke resource dalam perimeter berdasarkan rentang alamat IPv4 dan IPv6. Untuk mengetahui informasi selengkapnya tentang cara menggunakan aturan masuk guna menyiapkan akses kontekstual, lihat Akses kontekstual.

Konfigurasi pertukaran data yang aman menggunakan aturan masuk dan keluar

Anda hanya dapat menyertakan project dalam satu perimeter layanan. Jika Anda ingin mengizinkan komunikasi di seluruh batas perimeter, siapkan aturan traffic masuk dan keluar. Misalnya, Anda dapat menentukan aturan masuk dan keluar agar project dari beberapa perimeter dapat berbagi log dalam perimeter yang terpisah. Untuk mempelajari lebih lanjut kasus penggunaan pertukaran data yang aman, baca pertukaran data yang aman.