Details und Konfiguration von Dienstperimetern

Auf dieser Seite werden Dienstperimeter beschrieben und die allgemeinen Schritte zum Konfigurieren von Perimetern beschrieben.

Dienstperimeter

In diesem Abschnitt werden die Funktionsweise von Dienstperimetern und die Unterschiede zwischen erzwungenen Perimetern und Perimetern im Probelauf beschrieben.

Dienstperimeter sind eine Methode auf Organisationsebene, mit der Sie Google Cloud-Dienste in Ihren Projekten schützen können, um das Risiko einer Daten-Exfiltration zu minimieren. Ausführliche Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.

Darüber hinaus können die Dienste, die innerhalb eines Perimeters zugänglich sind, z. B. über VMs in einem VPC-Netzwerk, das in einem Perimeter gehostet wird, mit dem Feature Über VPC zugängliche Dienste eingeschränkt werden.

VPC Service Controls-Perimeter können in zwei Modi konfiguriert werden: als erzwungene Perimeter oder als Perimeter im Probelauf. Im Allgemeinen gelten für erzwungene Perimeter und Probelaufperimeter dieselben Konfigurationsschritte. Der entscheidende Unterschied besteht darin, dass Perimeter im Probelauf den Zugriff auf geschützte Dienste nicht verhindern, sondern nur Verstöße im Log melden, so als wären die Perimeter erzwungen worden. In diesem Leitfaden werden die Unterschiede zwischen erzwungenen Perimetern und Perimetern im Probelauf genau erläutert.

Erzwungener Modus

Der erzwungene Modus ist der Standardmodus für Dienstperimeter. Wenn ein Dienstperimeter erzwungen wird, werden Anfragen, die gegen die Perimeterrichtlinie verstoßen, z. B. Anfragen an geschützte Dienste von außerhalb eines Perimeters, abgelehnt.

Wenn ein Dienst durch einen erzwungenen Perimeter geschützt ist, gilt Folgendes:

  • Dieser Dienst kann keine Daten über die Perimetergrenzen hinaus übertragen.

    Innerhalb des Perimeters funktionieren geschützte Dienste wie gewohnt, es sind jedoch keine Vorgänge möglich, mit denen Ressourcen und Daten an Ziele außerhalb des Perimeters aus dem Perimeter heraus gesendet werden. Dadurch wird verhindert, dass böswillige Insider, die möglicherweise Zugriff auf Projekte innerhalb des Perimeters haben, Daten unbefugt weitergeben.

  • Anfragen von außerhalb des Perimeters an den geschützten Dienst werden nur akzeptiert, wenn die Anfragen die Kriterien der Zugriffsebenen erfüllen, die dem Perimeter zugewiesen wurden.

  • Der Dienst kann über Perimeter-Bridges für Projekte in anderen Perimetern zugänglich gemacht werden.

Probelaufmodus

Im Probelaufmodus werden Anfragen, die gegen die Perimeter-Richtlinie verstoßen, nicht abgelehnt, sondern nur protokolliert. Dienstperimeter im Probelauf werden verwendet, um die Perimeterkonfiguration zu testen und die Nutzung von Diensten zu beobachten, ohne den Zugriff auf Ressourcen zu verhindern. In der Praxis wird dieser Modus häufig verwendet, um:

  • Auswirkungen von Änderungen an vorhandenen Dienstperimetern zu bestimmen.

  • Auswirkungen neuer Dienstperimeter zu bestimmen.

  • Anfragen an geschützte Dienste zu beobachten, die von außerhalb eines Dienstperimeters stammen. Sie können beispielsweise feststellen, woher Anfragen an einen bestimmten Dienst stammen, oder eine unerwartete Dienstnutzung in Ihrer Organisation identifizieren.

  • In Entwicklungsumgebungen eine ähnliche Perimeter-Architektur wie in einer Produktionsumgebung zu erstellen. So können Sie Probleme identifizieren und minimieren, die durch Ihre Dienstperimeter verursacht werden, bevor Änderungen auf die Produktionsumgebung übertragen werden

Weitere Informationen finden Sie unter Probelaufmodus.

Konfigurationsphasen für Dienstperimeter

VPC Service Controls können mit der Google Cloud Console, dem gcloud-Befehlszeilentool und den Access Context Manager APIs konfiguriert werden.

So konfigurieren Sie VPC Service Controls:

  1. Wenn Sie das gcloud-Befehlszeilentool oder die Access Context Manager APIs zur Erstellung der Dienstperimeter verwenden möchten, müssen Sie eine Zugriffsrichtlinie erstellen.

  2. Sichern Sie GCP-Ressourcen mit Dienstperimetern.

  3. Richten Sie über VPC zugängliche Dienste ein, um zusätzliche Einschränkungen für die Verwendung von Diensten innerhalb der Perimeter hinzuzufügen (optional).

  4. Richten Sie eine private Verbindung von einem VPC-Netzwerk ein (optional).

  5. Gewähren Sie den Zugriff von außerhalb eines Dienstperimeters mithilfe von Zugriffsebenen (optional).

  6. Richten Sie die Ressourcenfreigabe zwischen Perimetern mithilfe von Dienstperimeter-Bridges ein (optional).

Zugriffsrichtlinie erstellen

Eine Zugriffsrichtlinie erfasst die Dienstperimeter und Zugriffsebenen, die Sie für Ihre Organisation erstellen. Eine Organisation kann immer nur eine Zugriffsrichtlinie haben.

Wenn Dienstperimeter in der Cloud Console auf der Seite VPC Service Controls erstellt und verwaltet werden, müssen Sie keine Zugriffsrichtlinie erstellen.

Wenn Sie das gcloud-Befehlszeilentool oder die Access Context Manager APIs zur Erstellung der Dienstperimeter verwenden möchten, müssen Sie zuerst eine Zugriffsrichtlinie erstellen.

Weitere Informationen zu Access Context Manager und Zugriffsrichtlinien finden Sie in der Übersicht von Access Context Manager.

GCP-Ressourcen mit Dienstperimetern sichern

Dienstperimeter werden eingesetzt, um Dienste zu schützen, die in Projekten Ihrer Organisation verwendet werden. Erstellen Sie einen oder mehrere Dienstperimeter, nachdem Sie die zu schützenden Projekte und Dienste identifiziert haben.

Weitere Informationen zur Funktionsweise von Dienstperimetern und zu den Diensten, die mit VPC Service Controls gesichert werden können, finden Sie unter VPC Service Controls.

Für einige Dienste gelten Beschränkungen bei der Verwendung mit VPC Service Controls. Sollten nach dem Einrichten der Dienstperimeter Probleme mit Projekten auftreten, lesen Sie den Abschnitt zur Fehlerbehebung.

Über VPC zugängliche Dienste einrichten

Wenn Sie über VPC zugängliche Dienste für einen Perimeter aktivieren, ist der Zugriff von Netzwerkendpunkten innerhalb des Perimeters auf eine Reihe von Diensten beschränkt, die Sie festlegen.

Weitere Informationen dazu, wie Sie den Zugriff innerhalb des Perimeters auf eine bestimmte Gruppe von Diensten beschränken, finden Sie unter Über VPC zugängliche Dienste.

Private Verbindung von einem VPC-Netzwerk einrichten

Zur Erhöhung der Sicherheit von VPC-Netzwerken, die durch einen Dienstperimeter geschützt sind, empfehlen wir die Verwendung des privaten Google-Zugriffs. Dieser beinhaltet private Verbindungen von lokalen Netzwerken.

Weitere Informationen zum Konfigurieren privater Verbindungen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Wenn Sie den Zugriff auf Google Cloud-Ressourcen auf den privaten Zugriff über VPC-Netzwerke beschränken, werden Zugriffsversuche über Benutzeroberflächen wie die Cloud Console und die Cloud Monitoring-Konsole abgelehnt. Sie können weiterhin das gcloud-Befehlszeilentool oder API-Clients aus VPC-Netzwerken verwenden, die einen Dienstperimeter oder eine Perimeter-Bridge mit den eingeschränkten Ressourcen teilen.

Zugriff von außerhalb eines Dienstperimeters mithilfe von Zugriffsebenen gewähren

Mit Zugriffsebenen können Sie Anfragen von außerhalb eines Dienstperimeters zulassen, die an Ressourcen in diesem Dienstperimeter gerichtet sind.

Mithilfe von Zugriffsebenen können Sie öffentliche IPv4- und IPv6-CIDR-Blöcke sowie einzelne Nutzer- und Dienstkonten angeben, denen Sie Zugriff auf Ressourcen erteilen möchten, die von VPC Service Controls geschützt sind.

Wenn Sie den Zugriff von Ressourcen aus VPC-Netzwerken über private Verbindungen einschränken, können Sie die Cloud Console für den Zugriff auf geschützte Dienste wieder aktivieren. Fügen Sie dazu einer Zugriffsebene, die die öffentliche IP-Adresse des Hosts enthält, unter dem die Cloud Console genutzt wird, einen CIDR-Block hinzu. Wenn Sie die Cloud Console für einen bestimmten Nutzer unabhängig von der IP-Adresse wieder aktivieren möchten, fügen Sie der Zugriffsebene dieses Nutzerkonto als Mitglied hinzu.

Informationen zur Verwendung von Zugriffsebenen finden Sie unter Zugriffsebene erstellen.

Daten zwischen Dienstperimetern freigeben

Ein Projekt kann immer nur in einem Dienstperimeter enthalten sein. Wenn Sie die Kommunikation zwischen zwei Perimetern zulassen möchten, können Sie eine Dienstperimeter-Bridge erstellen.

Perimeter-Bridges können verwendet werden, um die Kommunikation zwischen Projekten in verschiedenen Dienstperimetern zu ermöglichen. Ein Projekt kann mehreren Perimeter-Bridges angehören.

Weitere Informationen zu Perimeter-Bridges finden Sie unter Datenfreigabe mit Perimeter-Bridges.