Details und Konfiguration von Dienstperimetern

Auf dieser Seite werden Dienstperimeter beschrieben und die allgemeinen Schritte zum Konfigurieren von Perimetern beschrieben.

Dienstperimeter

In diesem Abschnitt werden die Funktionsweise von Dienstperimetern und die Unterschiede zwischen erzwungenen Perimetern und Perimetern im Probelauf beschrieben.

Sie können Dienstperimeter auf Organisationsebene angeben, um Google Cloud-Dienste in Ihren Projekten zu schützen und das Risiko einer Daten-Exfiltration zu minimieren. Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.

Darüber hinaus können die Dienste, die innerhalb eines Perimeters zugänglich sind, z. B. über VMs in einem VPC-Netzwerk, das in einem Perimeter gehostet wird, mit dem Feature VPC zugängliche Dienste eingeschränkt werden.

Sie können Perimeter von VPC Service Controls im erzwungenen Modus oder im Probelaufmodus konfigurieren. Für erzwungene Perimeter und Probelaufperimeter gelten dieselben Konfigurationsschritte. Der Unterschied besteht darin, dass Perimeter im Probelauf den Zugriff auf eingeschränkte Dienste nicht verhindern, sondern Verstöße nur protokollieren, so als wären die Perimeter erzwungen worden.

Erzwungener Modus

Der erzwungene Modus ist der Standardmodus für Dienstperimeter. Wenn ein Dienstperimeter erzwungen wird, werden Anfragen, die gegen die Perimeterrichtlinie verstoßen, z. B. Anfragen an geschützte Dienste von außerhalb eines Perimeters, abgelehnt.

Ein Perimeter im erzwungenen Modus schützt Google Cloud-Ressourcen, indem er die Perimetergrenze für die Dienste erzwingt, die in der Perimeterkonfiguration eingeschränkt sind. API-Anfragen an eingeschränkte Dienste überschreiten nicht die Perimetergrenze, es sei denn, die Bedingungen der erforderlichen Regeln für eingehenden und ausgehenden Traffic des Perimeters werden erfüllt. Ein erzwungener Perimeter schützt vor Risiken der Daten-Exfiltration wie gestohlene Anmeldedaten, falsch konfigurierte Berechtigungen oder böswillige Insider, die Zugriff auf die Projekte haben.

Probelaufmodus

Im Probelaufmodus werden Anfragen, die gegen die Perimeter-Richtlinie verstoßen, nicht abgelehnt, sondern nur protokolliert. Dienstperimeter im Probelauf werden verwendet, um die Perimeterkonfiguration zu testen und die Nutzung von Diensten zu beobachten, ohne den Zugriff auf Ressourcen zu verhindern. Im Folgenden sind einige gängige Anwendungsfälle aufgeführt:

  • Auswirkungen beim Ändern vorhandener Dienstperimeter bestimmen.

  • Auswirkungen in der Vorschau ansehen, wenn Sie neue Dienstperimeter hinzufügen

  • Anfragen an geschützte Dienste zu beobachten, die von außerhalb eines Dienstperimeters stammen. Sie können beispielsweise feststellen, woher Anfragen an einen bestimmten Dienst stammen, oder eine unerwartete Dienstnutzung in Ihrer Organisation identifizieren.

  • Erstellen einer Perimeter-Architektur in Ihrer Entwicklungsumgebung, die Ihrer Produktionsumgebung ähnelt. Sie können Probleme identifizieren und reduzieren, die durch Ihre Dienstperimeter verursacht werden, bevor Änderungen auf die Produktionsumgebung übertragen werden.

Weitere Informationen finden Sie unter Probelaufmodus.

Konfigurationsphasen für Dienstperimeter

VPC Service Controls können mit der Google Cloud Console, dem gcloud-Befehlszeilentool und den Access Context Manager APIs konfiguriert werden.

Sie können VPC Service Controls wie in den folgenden allgemeinen Schritten beschrieben konfigurieren:

  1. Wenn Sie das gcloud-Befehlszeilentool oder die Access Context Manager APIs zur Erstellung der Dienstperimeter verwenden möchten, müssen Sie eine Zugriffsrichtlinie erstellen.

  2. Sichern Sie die Ressourcen des gcloud-Befehlszeilentools mit Dienstperimetern.

  3. Richten Sie über VPC zugängliche Dienste ein, um zusätzliche Einschränkungen für die Verwendung von Diensten innerhalb der Perimeter hinzuzufügen (optional).

  4. Richten Sie eine private Verbindung von einem VPC-Netzwerk ein (optional).

  5. Gewähren Sie den kontextsensitiven Zugriff von außerhalb eines Dienstperimeters mithilfe von Regeln für eingehenden Traffic (optional).

  6. Konfigurieren Sie einen Datenaustausch mit Regeln für eingehenden und ausgehenden Traffic (optional).

Zugriffsrichtlinie erstellen

Eine Zugriffsrichtlinie erfasst die Dienstperimeter und Zugriffsebenen, die Sie für Ihre Organisation erstellen. Eine Organisation kann immer nur eine Zugriffsrichtlinie haben.

Wenn Dienstperimeter in der Cloud Console auf der Seite VPC Service Controls erstellt und verwaltet werden, müssen Sie keine Zugriffsrichtlinie erstellen.

Wenn Sie das gcloud-Befehlszeilentool oder die Access Context Manager APIs zur Erstellung der Dienstperimeter verwenden möchten, müssen Sie zuerst eine Zugriffsrichtlinie erstellen.

Weitere Informationen zu Access Context Manager und Zugriffsrichtlinien finden Sie in der Übersicht von Access Context Manager.

Google Cloud-Ressourcen mit Dienstperimetern sichern

Dienstperimeter werden eingesetzt, um Dienste zu schützen, die in Projekten Ihrer Organisation verwendet werden. Erstellen Sie einen oder mehrere Dienstperimeter, nachdem Sie die zu schützenden Projekte und Dienste identifiziert haben.

Weitere Informationen zur Funktionsweise von Dienstperimetern und zu den Diensten, die mit VPC Service Controls gesichert werden können, finden Sie unter VPC Service Controls.

Für einige Dienste gelten Beschränkungen bei der Verwendung mit VPC Service Controls. Sollten nach dem Einrichten der Dienstperimeter Probleme mit Projekten auftreten, lesen Sie den Abschnitt zur Fehlerbehebung.

Über VPC zugängliche Dienste einrichten

Wenn Sie über VPC zugängliche Dienste für einen Perimeter aktivieren, ist der Zugriff von Netzwerkendpunkten innerhalb des Perimeters auf eine Reihe von Diensten beschränkt, die Sie festlegen.

Weitere Informationen dazu, wie Sie den Zugriff innerhalb des Perimeters auf eine bestimmte Gruppe von Diensten beschränken, finden Sie unter Über VPC zugängliche Dienste.

Private Verbindung von einem VPC-Netzwerk einrichten

Zur Erhöhung der Sicherheit von VPC-Netzwerken und lokalen Hosts, die durch einen Dienstperimeter geschützt sind, empfehlen wir die Verwendung des privaten Google-Zugriffs. Weitere Informationen finden Sie unter Privater Google-Zugriff mit VPC Service Controls.

Weitere Informationen zum Konfigurieren privater Verbindungen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Wenn Sie den Zugriff auf Google Cloud-Ressourcen auf den privaten Zugriff über VPC-Netzwerke beschränken, werden Zugriffsversuche über Benutzeroberflächen wie die Cloud Console und die Cloud Monitoring-Konsole abgelehnt. Sie können weiterhin das gcloud-Befehlszeilentool oder API-Clients aus VPC-Netzwerken verwenden, die einen Dienstperimeter oder eine Perimeter-Bridge mit den eingeschränkten Ressourcen teilen.

Kontextsensitiven Zugriff von außerhalb eines Dienstperimeters durch Regeln für eingehenden Traffic zulassen

Sie können den kontextsensitiven Zugriff auf Ressourcen, die durch einen Perimeter eingeschränkt sind, basierend auf Clientattributen wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkherkunft (IP-Adresse oder VPC-Netzwerk) zulassen.

Sie können beispielsweise Regeln für eingehenden Traffic einrichten, um den Zugriff auf Ressourcen innerhalb eines Perimeters basierend auf dem Bereich der IPv4- und IPv6-Adressen zuzulassen. Weitere Informationen zur Verwendung von Regeln für eingehenden Traffic zum Einrichten des kontextsensitiven Zugriffs finden Sie unter Kontextsensitiver Zugriff.

Sicherer Datenaustausch durch Regeln für eingehenden und ausgehenden Traffic konfigurieren

Sie können Ihr Projekt nur in einen Dienstperimeter einfügen. Wenn Sie die Kommunikation über die Perimetergrenze hinweg zulassen möchten, richten Sie Regeln für eingehenden und ausgehenden Traffic ein. Sie können beispielsweise Regeln für eingehenden und ausgehenden Traffic festlegen, damit Projekte aus mehreren Perimetern Logs in einem separaten Perimeter freigeben. Weitere Informationen zu sicheren Anwendungsfällen für den Datenaustausch finden Sie unter Sicherer Datenaustausch.