Questa pagina descrive i perimetri di servizio e include i passaggi di alto livello per la configurazione dei perimetri.
Informazioni sui perimetri di servizio
Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra perimetri applicati e di prova.
Per proteggere i servizi Google Cloud nei tuoi progetti e ridurre il rischio di esfiltrazione di dati, puoi specificare i perimetri di servizio a livello di progetto o di rete VPC. Per saperne di più sui vantaggi dei perimetri di servizio, consulta la Panoramica dei Controlli di servizio VPC.
Inoltre, i servizi accessibili all'interno di un perimetro, ad esempio dalle VM in una rete VPC ospitata all'interno di un perimetro, possono essere limitati utilizzando la funzionalità Servizi accessibili VPC.
Puoi configurare i perimetri dei Controlli di servizio VPC in modalità di applicazione forzata o di simulazione. Gli stessi passaggi di configurazione si applicano sia ai perimetri applicati sia a quelli di prova. La differenza è che i perimetri di prova registrano le violazioni come se fossero applicati, ma non impediscono l'accesso ai servizi soggetti a limitazioni.
Modalità di applicazione forzata
La modalità applicata è la modalità predefinita per i perimetri di servizio. Quando viene applicato un perimetro di servizio, le richieste che violano il criterio del perimetro, ad esempio le richieste a servizi con limitazioni dall'esterno di un perimetro, vengono rifiutate.
Un perimetro in modalità applicata protegge le risorse Google Cloud applicando il confine del perimetro per i servizi limitati nella configurazione del perimetro. Le richieste API ai servizi con limitazioni non superano il confine del perimetro, a meno che non siano soddisfatte le condizioni delle regole di ingresso e uscita necessarie del perimetro. Un perimetro in modalità di applicazione forzata protegge dai rischi di esfiltrazione dei dati, come credenziali rubate, autorizzazioni configurate in modo errato o malintenzionati interni che hanno accesso ai progetti.
Modalità test di prova
In modalità di prova, le richieste che violano il criterio del perimetro non vengono rifiutate, ma solo registrate. I perimetri di servizio di prova secca vengono utilizzati per testare la configurazione del perimetro e per monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni casi d'uso comuni:
Determina l'impatto quando modifichi i perimetri di servizio esistenti.
Visualizza in anteprima l'impatto quando aggiungi nuovi perimetri di servizio.
Monitoraggio delle richieste ai servizi con limitazioni che provengono dall'esterno di un perimetro di servizio. Ad esempio, per identificare la provenienza delle richieste a un determinato servizio o per identificare un utilizzo imprevisto del servizio nella tua organizzazione.
Creare un'architettura perimetrale nell'ambiente di sviluppo analoga a quella dell'ambiente di produzione. Puoi identificare e mitigare eventuali problemi causati dai perimetri del servizio prima di inviare le modifiche all'ambiente di produzione.
Per ulteriori informazioni, consulta la sezione Modalità dry run.
Fasi di configurazione del perimetro di servizio
Per configurare Controlli di servizio VPC, puoi utilizzare la console Google Cloud,
lo strumento a riga di comando gcloud
e le API Access Context Manager.
Puoi configurare i Controlli di servizio VPC come descritto nei seguenti passaggi di alto livello:
Crea un criterio di accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio.
Configura i servizi accessibili tramite VPC per aggiungere ulteriori limitazioni all'utilizzo dei servizi all'interno dei perimetri (facoltativo).
Configura la connettività privata da una rete VPC (facoltativo).
Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole di ingresso (facoltative).
(Facoltativo) Configura lo scambio di dati protetto utilizzando le regole per il traffico in entrata e in uscita.
Crea un criterio di accesso
Un criterio di accesso raccoglie i perimetri di servizio e i livelli di accesso che crei per la tua organizzazione. Un'organizzazione può avere un criterio di accesso per l'intera organizzazione e più criteri di accesso basati su ambito per le cartelle e i progetti.
Puoi utilizzare la console Google Cloud, lo strumento a riga di comando gcloud
o le API Access Context Manager per creare un criterio di accesso.
Per scoprire di più su Gestore contesto accesso e sui criteri di accesso, consulta la panoramica di Gestore contesto accesso.
Proteggere le risorse gestite da Google con i perimetri di servizio
I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti della tua organizzazione. Dopo aver identificato i progetti e i servizi che vuoi proteggere, crea uno o più perimetri di servizio.
Per scoprire di più sul funzionamento dei perimetri di servizio e su quali servizi i Controlli di servizio VPC possono essere utilizzati per la protezione, consulta la Panoramica dei Controlli di servizio VPC.
Alcuni servizi presentano limitazioni per l'utilizzo con Controlli di servizio VPC. Se riscontri problemi con i progetti dopo aver configurato i perimetri di servizio, consulta la sezione Risoluzione dei problemi.
Configurare i servizi accessibili da VPC
Quando attivi i servizi accessibili tramite VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a un insieme di servizi specificati.
Per scoprire di più su come limitare l'accesso all'interno del perimetro solo a un insieme specifico di servizi, consulta la sezione sui servizi accessibili tramite VPC.
Configurare la connettività privata da una rete VPC
Per fornire una maggiore sicurezza alle reti VPC e agli host on-premise protetti da un perimetro di servizio, consigliamo di utilizzare l'accesso privato Google. Per ulteriori informazioni, consulta la connettività privata dalle reti on-premise.
Per scoprire di più sulla configurazione della connettività privata, consulta Configurazione della connettività privata alle API e ai servizi Google.
Se limiti l'accesso alle risorse Google Cloud solo all'accesso privato dalle reti VPC, l'accesso tramite interfacce come la console Google Cloud e la console Cloud Monitoring viene negato. Puoi continuare a utilizzare lo strumento a riga di comando gcloud
o i client API dalle reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.
Consentire l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole per il traffico in entrata
Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi del client, ad esempio il tipo di identità (account di servizio o utente), l'identità, i dati del dispositivo e l'origine della rete (indirizzo IP o rete VPC).
Ad esempio, puoi configurare regole di ingresso per consentire l'accesso a internet alle risorse all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole per il traffico in entrata per configurare l'accesso sensibile al contesto, consulta Accesso sensibile al contesto.
Configurare lo scambio di dati protetto utilizzando le regole per il traffico in entrata e in uscita
Puoi includere il tuo progetto in un solo perimetro di servizio. Se vuoi consentire la comunicazione oltre il confine del perimetro, configura le regole per il traffico in entrata e in uscita. Ad esempio, puoi specificare regole di ingresso e uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per scoprire di più sui casi d'uso dell'scambio sicuro di dati, leggi l'articolo Scambio sicuro di dati.