Halaman ini diterjemahkan oleh Cloud Translation API.

Detail dan konfigurasi perimeter layanan

Halaman ini menjelaskan perimeter layanan dan menyertakan langkah-langkah tingkat tinggi untuk mengonfigurasi perimeter.

Tentang perimeter layanan

Bagian ini memberikan detail tentang cara kerja perimeter layanan, dan perbedaan antara perimeter uji coba dan perimeter yang diterapkan.

Untuk melindungi layanan Google Cloud dalam project Anda dan memitigasi risiko pemindahan data yang tidak sah, Anda dapat menentukan perimeter layanan di tingkat project atau jaringan VPC. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.

Selain itu, layanan yang dapat diakses di dalam perimeter, seperti dari VM di jaringan VPC yang dihosting di dalam perimeter, dapat dibatasi menggunakan fitur layanan yang dapat diakses VPC.

Anda dapat mengonfigurasi perimeter Kontrol Layanan VPC dalam mode penerapan atau uji coba. Langkah konfigurasi yang sama berlaku untuk perimeter yang diterapkan dan percobaan. Perbedaannya adalah perimeter uji coba mencatat pelanggaran seolah-olah perimeter diterapkan, tetapi tidak mencegah akses ke layanan yang dibatasi.

Mode diterapkan

Mode yang diterapkan adalah mode default untuk perimeter layanan. Jika perimeter layanan diterapkan, permintaan yang melanggar kebijakan perimeter, seperti permintaan ke layanan yang dibatasi dari luar perimeter, akan ditolak.

Perimeter dalam mode diterapkan melindungi resource Google Cloud dengan menerapkan batas perimeter untuk layanan yang dibatasi dalam konfigurasi perimeter. Permintaan API ke layanan yang dibatasi tidak melewati batas perimeter kecuali jika kondisi aturan masuk dan keluar yang diperlukan dari perimeter terpenuhi. Perimeter yang diterapkan melindungi dari risiko pemindahan data yang tidak sah, seperti kredensial yang dicuri, izin yang salah dikonfigurasi, atau orang dalam yang berniat jahat yang memiliki akses ke project.

Mode uji coba

Dalam mode uji coba, permintaan yang melanggar kebijakan perimeter tidak ditolak, tetapi hanya dicatat dalam log. Perimeter layanan uji coba digunakan untuk menguji konfigurasi perimeter dan memantau penggunaan layanan tanpa mencegah akses ke resource. Berikut adalah beberapa kasus penggunaan umum:

Menentukan dampak saat Anda mengubah perimeter layanan yang ada.
Melihat pratinjau dampak saat Anda menambahkan perimeter layanan baru.
Memantau permintaan ke layanan yang dibatasi yang berasal dari luar perimeter layanan. Misalnya, untuk mengidentifikasi asal permintaan ke layanan tertentu atau untuk mengidentifikasi penggunaan layanan yang tidak terduga di organisasi Anda.
Membuat arsitektur perimeter di lingkungan pengembangan yang analog dengan lingkungan produksi Anda. Anda dapat mengidentifikasi dan memitigasi masalah apa pun yang disebabkan oleh perimeter layanan sebelum mengirimkan perubahan ke lingkungan produksi.

Untuk mengetahui informasi selengkapnya, lihat Mode uji coba.

Tahapan konfigurasi perimeter layanan

Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan konsol Google Cloud, alat command line gcloud, dan Access Context Manager API.

Anda dapat mengonfigurasi Kontrol Layanan VPC seperti yang dijelaskan dalam langkah-langkah tingkat tinggi berikut:

Buat kebijakan akses.
Amankan resource yang dikelola Google dengan perimeter layanan.
Siapkan layanan yang dapat diakses VPC untuk menambahkan batasan tambahan tentang cara layanan dapat digunakan di dalam perimeter Anda (opsional).
Siapkan konektivitas pribadi dari jaringan VPC (opsional).
Izinkan akses kontekstual dari luar perimeter layanan menggunakan aturan masuk (opsional).
Konfigurasikan pertukaran data aman menggunakan aturan masuk dan keluar (opsional).

Membuat kebijakan akses

Kebijakan akses mengumpulkan perimeter layanan dan tingkat akses yang Anda buat untuk organisasi Anda. Organisasi dapat memiliki satu kebijakan akses untuk seluruh organisasi dan beberapa kebijakan akses cakupan untuk folder dan project.

Anda dapat menggunakan konsol Google Cloud, alat command line gcloud, atau Access Context Manager API untuk membuat kebijakan akses.

Untuk mempelajari Access Context Manager dan kebijakan akses lebih lanjut, baca ringkasan Access Context Manager.

Mengamankan resource yang dikelola Google dengan perimeter layanan

Perimeter layanan digunakan untuk melindungi layanan yang digunakan oleh project di organisasi Anda. Setelah mengidentifikasi project dan layanan yang ingin Anda lindungi, buat satu atau beberapa perimeter layanan.

Untuk mempelajari lebih lanjut cara kerja perimeter layanan dan layanan yang dapat diamankan dengan Kontrol Layanan VPC, baca Ringkasan Kontrol Layanan VPC.

Beberapa layanan memiliki batasan terkait cara penggunaannya dengan Kontrol Layanan VPC. Jika Anda mengalami masalah dengan project setelah menyiapkan perimeter layanan, baca Pemecahan masalah.

Menyiapkan layanan yang dapat diakses VPC

Saat Anda mengaktifkan layanan yang dapat diakses VPC untuk perimeter, akses dari endpoint jaringan di dalam perimeter dibatasi untuk serangkaian layanan yang Anda tentukan.

Untuk mempelajari lebih lanjut cara membatasi akses di dalam perimeter hanya ke kumpulan layanan tertentu, baca layanan yang dapat diakses VPC.

Menyiapkan konektivitas pribadi dari jaringan VPC

Untuk memberikan keamanan tambahan bagi jaringan VPC dan host lokal yang dilindungi oleh perimeter layanan, sebaiknya gunakan Akses Google Pribadi. Untuk informasi selengkapnya, lihat konektivitas pribadi dari jaringan lokal.

Untuk mempelajari cara mengonfigurasi konektivitas pribadi, baca Menyiapkan konektivitas pribadi ke Google API dan layanan Google.

Membatasi akses ke resource Google Cloud hanya ke akses pribadi dari jaringan VPC berarti akses menggunakan antarmuka seperti konsol Google Cloud dan konsol Cloud Monitoring akan ditolak. Anda dapat terus menggunakan alat command line gcloud atau klien API dari jaringan VPC yang berbagi perimeter layanan atau jembatan perimeter dengan resource yang dibatasi.

Mengizinkan akses kontekstual dari luar perimeter layanan menggunakan aturan masuk

Anda dapat mengizinkan akses kontekstual ke resource yang dibatasi oleh perimeter berdasarkan atribut klien. Anda dapat menentukan atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan asal jaringan (alamat IP atau jaringan VPC).

Misalnya, Anda dapat menyiapkan aturan masuk untuk mengizinkan akses internet ke resource dalam perimeter berdasarkan rentang alamat IPv4 dan IPv6. Untuk informasi selengkapnya tentang penggunaan aturan masuk untuk menyiapkan akses kontekstual, lihat Akses kontekstual.

Mengonfigurasi pertukaran data aman menggunakan aturan masuk dan keluar

Anda hanya dapat menyertakan project dalam satu perimeter layanan. Jika Anda ingin mengizinkan komunikasi di seluruh batas perimeter, siapkan aturan traffic masuk dan keluar. Misalnya, Anda dapat menentukan aturan traffic masuk dan keluar untuk mengizinkan project dari beberapa perimeter berbagi log di perimeter terpisah. Untuk mempelajari lebih lanjut kasus penggunaan pertukaran data aman, baca pertukaran data aman.