Périmètres de service : détails et configuration

Cette page décrit les périmètres de service et inclut les étapes générales de la configuration des périmètres.

À propos des périmètres de service

Cette section fournit des informations détaillées sur le fonctionnement des périmètres de service, ainsi que sur les différences entre les périmètres forcés et les périmètres de simulation.

Les périmètres de service sont une méthode au niveau de l'organisation permettant de protéger les services Google Cloud dans vos projets afin d'atténuer le risque d'exfiltration de données. Pour en savoir plus sur les avantages des périmètres de service, reportez-vous à la section Présentation de VPC Service Controls.

En outre, les services accessibles dans un périmètre (par exemple, à partir de VM d'un réseau VPC hébergé dans un périmètre) peuvent être restreints à l'aide de la fonctionnalité Services accessibles au VPC.

Les périmètres VPC Service Controls peuvent être configurés dans deux modes : forcé et simulation. En général, les mêmes étapes de configuration s'appliquent aux périmètres forcés et aux périmètres de simulation. La différence essentielle est que les périmètres de simulation n'empêchent pas l'accès aux services protégés. Ils consignent uniquement les violations comme si les périmètres étaient forcés. Ce guide met en évidence les différences entre les périmètres de services forcés et de simulation lorsque nécessaire.

Mode application forcée

Le mode forcé est le mode par défaut pour les périmètres de service. Lorsqu'un périmètre de service est forcé, les requêtes qui ne respectent pas la règle de périmètre, telles que les requêtes adressées à des services protégés en dehors d'un périmètre, sont refusées.

Lorsqu'un service est protégé par un périmètre forcé :

  • Ce service ne peut pas transmettre de données hors du périmètre.

    Les services protégés fonctionnent normalement dans le périmètre, mais ne peuvent pas effectuer d'actions pour envoyer des ressources et des données à l'extérieur du périmètre. Cela empêche les initié internes pouvant avoir accès aux projets dans le périmètre d'exfiltrer des données.

  • Les requêtes externes au périmètre adressées au service protégé ne sont traitées que si elles répondent aux critères des niveaux d'accès attribués au périmètre.

  • Ce service peut être rendu accessible aux projets situés dans d'autres périmètres à l'aide de liaisons de périmètre.

Mode de simulation

En mode simulation, les requêtes qui ne respectent pas la règle de périmètre ne sont pas refusées, mais sont uniquement consignées. Les périmètres de service de simulation permettent de tester la configuration du périmètre et de surveiller l'utilisation des services sans empêcher l'accès aux ressources. Vous trouverez ci-dessous des cas d'utilisation courants :

  • Déterminer l'impact des modifications apportées aux périmètres de service existants.

  • Prévisualiser l'impact des nouveaux périmètres de service.

  • Surveiller les requêtes adressées à des services protégés provenant de l'extérieur d'un périmètre de service. (Par exemple, voir d'où proviennent les requêtes envoyées à un service donné ou identifier l'utilisation inattendue d'un service dans votre organisation.)

  • Dans vos environnements de développement, créer une architecture de périmètre similaire à votre environnement de production. Cela vous permet d'identifier et de limiter les problèmes liés aux périmètres de service avant d'appliquer des modifications à votre environnement de production.

Pour en savoir plus, consultez la section Mode simulation.

Étapes de configuration du périmètre de service

VPC Service Controls peut être configuré à l'aide de Google Cloud Console, de l'outil de ligne de commande gcloud et des API Access Context Manager.

Pour configurer VPC Service Controls, procédez comme suit :

  1. Pour créer vos périmètres de service à l'aide de l'outil de ligne de commande gcloud ou des API Access Context Manager, créez une règle d'accès.

  2. Sécurisez des ressources GCP à l'aide de périmètres de service.

  3. Configurez des services accessibles au VPC pour ajouter des restrictions supplémentaires à l'utilisation des services dans vos périmètres (facultatif).

  4. Configurez une connectivité privée à partir d'un réseau VPC (facultatif).

  5. Accordez un accès depuis l'extérieur du périmètre de service à l'aide de niveaux d'accès (facultatif).

  6. Configurez le partage des ressources entre plusieurs périmètres à l'aide de liaisons de périmètre de service (facultatif).

Créer une règle d'accès

Une règle d'accès collecte les périmètres de service et les niveaux d'accès que vous avez créés pour votre organisation. Une organisation ne peut disposer que d'une seule règle d'accès.

Lorsque des périmètres de service sont créés et gérés depuis la page VPC Service Controls de Cloud Console, vous n'avez pas besoin de créer de règle d'accès.

Toutefois, lorsque vous créez et configurez vos périmètres de service à l'aide de l'outil de ligne de commande gcloud ou des API Access Context Manager, vous devez d'abord créer une règle d'accès.

Pour en savoir plus sur Access Context Manager et sur les règles d'accès, consultez la présentation d'Access Context Manager.

Sécuriser des ressources GCP à l'aide de périmètres de service

Les périmètres de service servent à protéger les services utilisés par les projets de votre organisation. Une fois que vous avez identifié les projets et les services que vous souhaitez protéger, créez un ou plusieurs périmètres de service.

Pour en savoir plus sur le fonctionnement des périmètres de service et sur les services pouvant être sécurisés à l'aide de VPC Service Controls, consultez la présentation de VPC Service Controls.

Certains services présentent des limites d'utilisation avec VPC Service Controls. Si vous rencontrez des problèmes au niveau de vos projets après avoir configuré vos périmètres de service, reportez-vous à la section Dépannage.

Configurer des services accessibles au VPC

Lorsque vous activez les services accessibles au VPC pour un périmètre, l'accès depuis les points de terminaison du réseau à l'intérieur de votre périmètre est limité à un ensemble de services que vous spécifiez.

Pour en savoir plus sur la façon de limiter l'accès dans votre périmètre à un ensemble spécifique de services uniquement, consultez la page Services accessibles au VPC.

Configurer une connectivité privée à partir d'un réseau VPC

Pour renforcer la sécurité des réseaux VPC protégés par un périmètre de service, nous vous recommandons d'utiliser l'accès privé à Google. Cela inclut la connectivité privée à partir de réseaux sur site.

Pour en savoir plus sur la configuration d'une connectivité privée, consultez la section Configurer une connectivité privée aux API et services Google.

En limitant l'accès aux ressources Google Cloud à un accès privé depuis des réseaux VPC, l'accès via des interfaces telles que Cloud Console et la console Cloud Monitoring sera refusé. Vous pouvez continuer à utiliser l'outil de ligne de commande gcloud ou les API clientes des réseaux VPC qui partagent un périmètre de service ou une liaison de périmètre avec des ressources limitées.

Accorder un accès depuis l'extérieur du périmètre de service à l'aide de niveaux d'accès

Les niveaux d'accès peuvent servir à autoriser des requêtes provenant de l'extérieur d'un périmètre de service vers des ressources protégées par celui-ci.

Grâce aux niveaux d'accès, vous pouvez spécifier les blocs CIDR IPv4 et IPv6 publics, ainsi que les comptes utilisateur et de service individuels que vous souhaitez autoriser à accéder aux ressources protégées par VPC Service Controls.

Si vous limitez les ressources à l'aide d'une connectivité privée à partir de réseaux VPC, vous pouvez réactiver l'utilisation de Cloud Console afin d'accéder aux services protégés. Pour cela, ajoutez un bloc CIDR à un niveau d'accès qui inclut l'adresse IP publique de l'hôte sur lequel vous utilisez Cloud Console. Si vous souhaitez réactiver Cloud Console pour un utilisateur spécifique, quelle que soit son adresse IP, ajoutez ce compte utilisateur en tant que membre au niveau d'accès.

Pour en savoir plus sur l'utilisation des niveaux d'accès, consultez la section Créer un niveau d'accès.

Partager des données entre plusieurs périmètres de service

Un projet ne peut faire partie que d'un seul périmètre de service. Si vous souhaitez autoriser la communication entre deux périmètres, vous devez créer une liaison de périmètre de service.

Les liaisons de périmètre permettent à des projets situés dans différents périmètres de service de communiquer. Un projet peut appartenir à plusieurs liaisons de périmètre.

Pour en savoir plus sur les liaisons de périmètre, consultez la section Effectuer des partages sur des périmètres à l'aide de liaisons.