Details und Konfiguration von Dienstperimetern

Auf dieser Seite werden Dienstperimeter beschrieben und die allgemeinen Schritte zum Konfigurieren von Perimetern beschrieben.

Dienstperimeter

In diesem Abschnitt werden die Funktionsweise von Dienstperimetern und die Unterschiede zwischen erzwungenen Perimetern und Perimetern im Probelauf beschrieben.

Zum Schutz von Google Cloud-Diensten in Ihren Projekten und zur Minimierung des Risikos der Daten-Exfiltration können Sie Dienstperimeter auf Projekt- oder VPC-Netzwerkebene angeben. Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.

Darüber hinaus können die Dienste, die innerhalb eines Perimeters zugänglich sind, z. B. über VMs in einem VPC-Netzwerk, das in einem Perimeter gehostet wird, mit dem Feature VPC zugängliche Dienste eingeschränkt werden.

Sie können Perimeter von VPC Service Controls im erzwungenen Modus oder im Probelaufmodus konfigurieren. Für erzwungene Perimeter und Probelaufperimeter gelten dieselben Konfigurationsschritte. Der Unterschied besteht darin, dass Verstöße von Probelaufperimetern so protokolliert werden, als ob die Perimeter erzwungen würden, der Zugriff auf eingeschränkte Dienste aber nicht verhindert wird.

Erzwungener Modus

Der erzwungene Modus ist der Standardmodus für Dienstperimeter. Wenn ein Dienstperimeter erzwungen wird, werden Anfragen, die gegen die Perimeterrichtlinie verstoßen, z. B. Anfragen an geschützte Dienste von außerhalb eines Perimeters, abgelehnt.

Ein Perimeter im erzwungenen Modus schützt Google Cloud-Ressourcen, indem er die Perimetergrenze für die Dienste erzwingt, die in der Perimeterkonfiguration eingeschränkt sind. API-Anfragen an eingeschränkte Dienste überschreiten nicht die Perimetergrenze, es sei denn, die Bedingungen der erforderlichen Regeln für eingehenden und ausgehenden Traffic des Perimeters werden erfüllt. Ein erzwungener Perimeter schützt vor Risiken der Daten-Exfiltration wie gestohlene Anmeldedaten, falsch konfigurierte Berechtigungen oder böswillige Insider, die Zugriff auf die Projekte haben.

Probelaufmodus

Im Probelaufmodus werden Anfragen, die gegen die Perimeter-Richtlinie verstoßen, nicht abgelehnt, sondern nur protokolliert. Dienstperimeter im Probelauf werden verwendet, um die Perimeterkonfiguration zu testen und die Nutzung von Diensten zu beobachten, ohne den Zugriff auf Ressourcen zu verhindern. Im Folgenden sind einige gängige Anwendungsfälle aufgeführt:

  • Auswirkungen beim Ändern vorhandener Dienstperimeter bestimmen.

  • Auswirkungen in der Vorschau ansehen, wenn Sie neue Dienstperimeter hinzufügen

  • Anfragen an geschützte Dienste zu beobachten, die von außerhalb eines Dienstperimeters stammen. Sie können beispielsweise feststellen, woher Anfragen an einen bestimmten Dienst stammen, oder eine unerwartete Dienstnutzung in Ihrer Organisation identifizieren.

  • Erstellen einer Perimeter-Architektur in Ihrer Entwicklungsumgebung, die Ihrer Produktionsumgebung ähnelt. Sie können Probleme identifizieren und reduzieren, die durch Ihre Dienstperimeter verursacht werden, bevor Änderungen auf die Produktionsumgebung übertragen werden.

Weitere Informationen finden Sie unter Probelaufmodus.

Konfigurationsphasen für Dienstperimeter

Zum Konfigurieren von VPC Service Controls können Sie die Google Cloud Console, das gcloud-Befehlszeilentool und die Access Context Manager APIs verwenden.

Sie können VPC Service Controls wie in den folgenden allgemeinen Schritten beschrieben konfigurieren:

  1. Zugriffsrichtlinie erstellen

  2. Von Google verwaltete Ressourcen mit Dienstperimetern sichern

  3. Richten Sie über VPC zugängliche Dienste ein, um zusätzliche Einschränkungen für die Verwendung von Diensten innerhalb der Perimeter hinzuzufügen (optional).

  4. Richten Sie eine private Verbindung von einem VPC-Netzwerk ein (optional).

  5. Gewähren Sie den kontextsensitiven Zugriff von außerhalb eines Dienstperimeters mithilfe von Regeln für eingehenden Traffic (optional).

  6. Konfigurieren Sie einen Datenaustausch mit Regeln für eingehenden und ausgehenden Traffic (optional).

Zugriffsrichtlinie erstellen

Eine Zugriffsrichtlinie erfasst die Dienstperimeter und Zugriffsebenen, die Sie für Ihre Organisation erstellen. Eine Organisation kann eine Zugriffsrichtlinie für die gesamte Organisation und mehrere Bereichszugriffsrichtlinien für die Ordner und Projekte haben.

Sie können die Google Cloud Console, das gcloud-Befehlszeilentool oder die Access Context Manager APIs verwenden, um eine Zugriffsrichtlinie zu erstellen.

Weitere Informationen zu Access Context Manager und Zugriffsrichtlinien finden Sie in der Übersicht von Access Context Manager.

Von Google verwaltete Ressourcen mit Dienstperimetern sichern

Dienstperimeter werden eingesetzt, um Dienste zu schützen, die in Projekten Ihrer Organisation verwendet werden. Erstellen Sie einen oder mehrere Dienstperimeter, nachdem Sie die zu schützenden Projekte und Dienste identifiziert haben.

Weitere Informationen zur Funktionsweise von Dienstperimetern und zu den Diensten, die mit VPC Service Controls gesichert werden können, finden Sie unter VPC Service Controls.

Für einige Dienste gelten Beschränkungen bei der Verwendung mit VPC Service Controls. Sollten nach dem Einrichten der Dienstperimeter Probleme mit Projekten auftreten, lesen Sie den Abschnitt zur Fehlerbehebung.

Über VPC zugängliche Dienste einrichten

Wenn Sie über VPC zugängliche Dienste für einen Perimeter aktivieren, ist der Zugriff von Netzwerkendpunkten innerhalb des Perimeters auf eine Reihe von Diensten beschränkt, die Sie festlegen.

Weitere Informationen dazu, wie Sie den Zugriff innerhalb des Perimeters auf eine bestimmte Gruppe von Diensten beschränken, finden Sie unter Über VPC zugängliche Dienste.

Private Verbindung von einem VPC-Netzwerk einrichten

Zur Erhöhung der Sicherheit von VPC-Netzwerken und lokalen Hosts, die durch einen Dienstperimeter geschützt sind, empfehlen wir die Verwendung des privaten Google-Zugriffs. Weitere Informationen finden Sie unter Privater Google-Zugriff mit VPC Service Controls.

Weitere Informationen zum Konfigurieren privater Verbindungen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Wenn Sie den Zugriff auf Google Cloud-Ressourcen auf den privaten Zugriff über VPC-Netzwerke beschränken, werden Zugriffsversuche über Benutzeroberflächen wie die Google Cloud Console und die Cloud Monitoring-Konsole abgelehnt. Sie können weiterhin das gcloud-Befehlszeilentool oder API-Clients aus VPC-Netzwerken verwenden, die einen Dienstperimeter oder eine Perimeter-Bridge mit den eingeschränkten Ressourcen teilen.

Kontextsensitiven Zugriff von außerhalb eines Dienstperimeters durch Regeln für eingehenden Traffic zulassen

Sie können kontextsensitiven Zugriff auf Ressourcen zulassen, die durch einen Perimeter anhand von Clientattributen eingeschränkt sind. Sie können Clientattribute wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkort (IP-Adresse oder VPC-Netzwerk) angeben.

Sie können beispielsweise Regeln für eingehenden Traffic einrichten, um den Zugriff auf Ressourcen innerhalb eines Perimeters basierend auf dem Bereich der IPv4- und IPv6-Adressen zuzulassen. Weitere Informationen zur Verwendung von Regeln für eingehenden Traffic zum Einrichten des kontextsensitiven Zugriffs finden Sie unter Kontextsensitiver Zugriff.

Sicherer Datenaustausch durch Regeln für eingehenden und ausgehenden Traffic konfigurieren

Sie können Ihr Projekt nur in einen Dienstperimeter einfügen. Wenn Sie die Kommunikation über die Perimetergrenze hinweg zulassen möchten, richten Sie Regeln für eingehenden und ausgehenden Traffic ein. Sie können beispielsweise Regeln für eingehenden und ausgehenden Traffic festlegen, damit Projekte aus mehreren Perimetern Logs in einem separaten Perimeter freigeben. Weitere Informationen zu sicheren Anwendungsfällen für den Datenaustausch finden Sie unter Sicherer Datenaustausch.