Esta página descreve os perímetros de serviço e inclui os passos gerais para configurar perímetros.
Acerca dos perímetros de serviço
Esta secção fornece detalhes sobre o funcionamento dos perímetros de serviço e as diferenças entre os perímetros aplicados e os de teste.
Para proteger os serviços nos seus projetos e mitigar o risco de exfiltração de dados, pode especificar perímetros de serviço ao nível do projeto ou da rede VPC. Google Cloud Para mais informações sobre as vantagens dos perímetros de serviço, consulte o artigo Vista geral dos VPC Service Controls.
Além disso, os serviços acessíveis no interior de um perímetro, como os das VMs numa rede VPC alojada no interior de um perímetro, podem ser restritos através da funcionalidade Serviços acessíveis da VPC.
Pode configurar perímetros do VPC Service Controls no modo aplicado ou de teste. Os mesmos passos de configuração aplicam-se aos perímetros aplicados e de teste. A diferença é que os perímetros de teste simulam registam violações como se os perímetros fossem aplicados, mas não impedem o acesso a serviços restritos.
Modo aplicado
O modo aplicado é o modo predefinido para os perímetros de serviço. Quando um perímetro de serviço é aplicado, os pedidos que violam a política de perímetro, como pedidos a serviços restritos a partir do exterior de um perímetro, são recusados.
Um perímetro no modo aplicado protege os Google Cloud recursos aplicando o limite do perímetro para os serviços restritos na configuração do perímetro. Os pedidos de API a serviços restritos não atravessam o limite do perímetro, a menos que as condições das regras de entrada e saída necessárias do perímetro sejam cumpridas. Um perímetro aplicado protege contra riscos de exfiltração de dados, como credenciais roubadas, autorizações configuradas incorretamente ou utilizadores internos maliciosos que têm acesso aos projetos.
Modo de execução de ensaio
No modo de teste, os pedidos que violam a política de perímetro não são recusados, mas apenas registados. Os perímetros de serviço de teste são usados para testar a configuração do perímetro e monitorizar a utilização de serviços sem impedir o acesso aos recursos. Seguem-se alguns dos exemplos de utilização comuns:
Determinar o impacto quando altera os perímetros de serviço existentes.
Pré-visualizar o impacto quando adiciona novos perímetros de serviço.
Monitorizar pedidos a serviços restritos que têm origem fora de um perímetro de serviço. Por exemplo, para identificar a origem dos pedidos a um determinado serviço ou identificar a utilização inesperada de serviços na sua organização.
Criar uma arquitetura de perímetro no seu ambiente de programação que seja análoga ao seu ambiente de produção. Pode identificar e mitigar quaisquer problemas causados pelos seus perímetros de serviço antes de enviar alterações para o seu ambiente de produção.
Para mais informações, consulte o artigo Modo de teste.
Fases da configuração do perímetro de serviço
Para configurar os VPC Service Controls, pode usar a Google Cloud consola, a ferramenta de linha de comandos gcloud
e as APIs Access Context Manager.
Pode configurar o VPC Service Controls conforme descrito nos seguintes passos gerais:
Crie uma política de acesso.
Proteja os recursos geridos pela Google com perímetros de serviço.
Configure serviços acessíveis por VPC para adicionar restrições adicionais à forma como os serviços podem ser usados dentro dos seus perímetros (opcional).
Configure a conetividade privada a partir de uma rede VPC (opcional).
Permita o acesso sensível ao contexto a partir do exterior de um perímetro de serviço através de regras de entrada (opcional).
Configure a troca de dados segura através de regras de entrada e saída (opcional).
Crie uma política de acesso
Uma política de acesso recolhe os perímetros de serviço e os níveis de acesso que cria para a sua organização. Uma organização pode ter uma política de acesso para toda a organização e várias políticas de acesso com âmbito para as pastas e os projetos.
Pode usar a Google Cloud consola, a ferramenta de linha de comandos gcloud
ou as APIs Access Context Manager para criar uma política de acesso.
Para saber mais sobre o Gestor de acesso sensível ao contexto e as políticas de acesso, leia a vista geral do Gestor de acesso sensível ao contexto.
Proteja os recursos geridos pela Google com perímetros de serviço
Os perímetros de serviço são usados para proteger os serviços usados por projetos na sua organização. Depois de identificar os projetos e os serviços que quer proteger, crie um ou mais perímetros de serviço.
Para saber mais sobre como funcionam os perímetros de serviço e que serviços podem ser usados os VPC Service Controls para proteger, leia a Vista geral dos VPC Service Controls.
Alguns serviços têm limitações quanto à forma como podem ser usados com os VPC Service Controls. Se tiver problemas com os seus projetos após configurar os perímetros de serviço, leia a secção Resolução de problemas.
Configure serviços acessíveis por VPC
Quando ativa os serviços acessíveis por VPC para um perímetro, o acesso a partir de pontos finais de rede no interior do perímetro é limitado a um conjunto de serviços que especifica.
Para saber como limitar o acesso no interior do seu perímetro apenas a um conjunto específico de serviços, leia acerca dos serviços acessíveis da VPC.
Configure a conetividade privada a partir de uma rede VPC
Para oferecer segurança adicional às redes VPC e aos anfitriões no local protegidos por um perímetro de serviço, recomendamos a utilização do acesso privado à Google. Para mais informações, consulte o artigo sobre a conetividade privada a partir de redes no local.
Para saber como configurar a conetividade privada, leia o artigo Configurar a conetividade privada às APIs e aos serviços Google.
Restringir o acesso aos Google Cloud recursos apenas ao acesso privado a partir de
redes VPC significa que o acesso através de interfaces, como a Google Cloud consola
e a consola do Cloud Monitoring, é negado. Pode continuar a usar a ferramenta de linha de comandos gcloud
ou os clientes da API a partir de redes VPC que partilham um perímetro de serviço ou uma ponte de perímetro com os recursos restritos.
Permita o acesso sensível ao contexto a partir do exterior de um perímetro de serviço através de regras de entrada
Pode permitir o acesso sensível ao contexto a recursos restritos por um perímetro com base em atributos do cliente. Pode especificar atributos do cliente, como o tipo de identidade (conta de serviço ou utilizador), a identidade, os dados do dispositivo e a origem da rede (endereço IP ou rede VPC).
Por exemplo, pode configurar regras de entrada para permitir o acesso à Internet a recursos dentro de um perímetro com base no intervalo de endereços IPv4 e IPv6. Para mais informações sobre a utilização de regras de entrada para configurar o acesso sensível ao contexto, consulte o artigo Acesso sensível ao contexto.
Configure a troca de dados segura através de regras de entrada e saída
Só pode incluir o seu projeto num perímetro de serviço. Se quiser permitir a comunicação através do limite do perímetro, configure regras de entrada e saída. Por exemplo, pode especificar regras de entrada e saída para permitir que projetos de vários perímetros partilhem registos num perímetro separado. Para saber mais acerca dos exemplos de utilização da troca de dados segura, leia o artigo Troca de dados segura.