Cette page décrit les périmètres de service et indique les principales étapes à suivre pour les configurer.
À propos des périmètres de service
Cette section détaille le fonctionnement des périmètres de service, et explique la différence entre périmètres forcés et périmètres de simulation.
Pour protéger les services Google Cloud dans vos projets et limiter le risque d'exfiltration de données, vous pouvez spécifier des périmètres de service au niveau du projet ou du réseau VPC. Pour en savoir plus sur les avantages des périmètres de service, consultez la page Présentation de VPC Service Controls.
En outre, les services accessibles dans un périmètre (par exemple, à partir de VM d'un réseau VPC hébergé dans un périmètre) peuvent être restreints à l'aide de la fonctionnalité Services accessibles par VPC.
Vous pouvez configurer les périmètres VPC Service Controls en mode forcé ou en mode de simulation. Les mêmes étapes de configuration s'appliquent aux périmètres forcés et aux périmètres de simulation. La différence est que les périmètres de simulation consignent les violations comme si les périmètres étaient appliqués, mais n'empêchent pas l'accès aux services restreints.
Mode application forcée
Le mode application forcée est le mode par défaut pour les périmètres de service. Lorsqu'un périmètre de service est forcé, les requêtes qui ne respectent pas la règle de périmètre, telles que les requêtes adressées à des services restreints en dehors d'un périmètre, sont refusées.
Un périmètre en mode forcé protège les ressources Google Cloud en appliquant la limite du périmètre aux services restreints dans la configuration du périmètre. Les requêtes API adressées aux services restreints n'excèdent pas la limite du périmètre, sauf si les conditions des règles d'entrée et de sortie requises par le périmètre sont remplies. Un périmètre forcé protège des risques d'exfiltration de données, tels que des identifiants volés, des autorisations mal configurées ou des attaques internes malveillantes pouvant accéder aux projets.
Mode de simulation
En mode de simulation, les requêtes qui ne respectent pas la règle de périmètre ne sont pas refusées, mais sont seulement consignées. Les périmètres de service de simulation permettent de tester la configuration du périmètre et de surveiller l'utilisation des services, sans empêcher l'accès aux ressources. Voici quelques cas d'utilisation courants :
Déterminer l'impact des modifications apportées aux périmètres de service existants.
Prévisualiser l'impact des nouveaux périmètres de service.
Surveiller les requêtes adressées à des services restreints provenant de l'extérieur d'un périmètre de service (par exemple, identifier d'où proviennent les requêtes adressées à un service donné ou identifier une utilisation inattendue du service dans votre organisation).
Dans votre environnement de développement, créer une architecture de périmètre calquée sur votre environnement de production. Cela vous permet d'identifier et de limiter les problèmes causés par vos périmètres de service avant d'appliquer des modifications à votre environnement de production.
Pour en savoir plus, consultez la section Mode de simulation.
Étapes de configuration du périmètre de service
Pour configurer VPC Service Controls, vous pouvez utiliser Google Cloud Console, l'outil de ligne de commande gcloud
et les API Access Context Manager.
Pour configurer VPC Service Controls, procédez comme suit :
Créez une règle d'accès.
Sécurisez les ressources gérées par Google à l'aide de périmètres de service.
Configurez des services accessibles par VPC pour ajouter des restrictions supplémentaires à l'utilisation des services dans vos périmètres (facultatif).
Configurez une connectivité privée à partir d'un réseau VPC (facultatif).
Autorisez l'accès contextuel depuis l'extérieur du périmètre de service à l'aide de règles d'entrée (facultatif).
Configurez l'échange de données sécurisé à l'aide de règles d'entrée et de sortie (facultatif).
Créer une règle d'accès
Une règle d'accès collecte les périmètres de service et les niveaux d'accès que vous avez créés pour votre organisation. Une organisation peut disposer d'une seule règle d'accès pour l'ensemble de l'organisation et de plusieurs règles d'accès ciblées pour les dossiers et les projets.
Vous pouvez utiliser la console Google Cloud, l'outil de ligne de commande gcloud
ou les API Access Context Manager pour créer une règle d'accès.
Pour en savoir plus sur Access Context Manager et sur les règles d'accès, consultez la présentation d'Access Context Manager.
Sécuriser les ressources gérées par Google à l'aide de périmètres de service
Les périmètres de service servent à protéger les services utilisés par les projets de votre organisation. Une fois que vous avez identifié les projets et les services que vous souhaitez protéger, créez un ou plusieurs périmètres de service.
Pour en savoir plus sur le fonctionnement des périmètres de service et sur les services pouvant être sécurisés à l'aide de VPC Service Controls, consultez la présentation de VPC Service Controls.
Certains services présentent des limites d'utilisation avec VPC Service Controls. Si vous rencontrez des problèmes au niveau de vos projets après avoir configuré vos périmètres de service, reportez-vous à la section Dépannage.
Configurer des services accessibles par VPC
Lorsque vous activez les services accessibles par VPC pour un périmètre, l'accès depuis les points de terminaison du réseau à l'intérieur de votre périmètre est limité à un ensemble de services que vous spécifiez.
Pour en savoir plus sur la façon de limiter l'accès dans votre périmètre à un ensemble spécifique de services uniquement, consultez la page Services accessibles par VPC.
Configurer une connectivité privée à partir d'un réseau VPC
Pour renforcer la sécurité des réseaux VPC et des hôtes sur site protégés par un périmètre de service, nous vous recommandons d'utiliser l'accès privé à Google. Pour en savoir plus, consultez la section Connectivité privée à partir de réseaux sur site.
Pour en savoir plus sur la configuration d'une connectivité privée, consultez la page Configurer une connectivité privée aux API et services Google.
En limitant l'accès aux ressources Google Cloud à un accès privé depuis des réseaux VPC, l'accès via des interfaces telles que la console Google Cloud et la console Cloud Monitoring sera refusé. Vous pouvez continuer à utiliser l'outil de ligne de commande gcloud
ou les API clientes des réseaux VPC qui partagent un périmètre de service ou une liaison de périmètre avec des ressources limitées.
Autoriser l'accès contextuel depuis l'extérieur du périmètre de service à l'aide de règles d'entrée
Vous pouvez autoriser l'accès contextuel aux ressources limitées par un périmètre en fonction d'attributs clients. Vous pouvez spécifier des attributs clients, tels que le type d'identité (compte de service ou utilisateur), l'identité, les données de l'appareil et l'origine du réseau (adresse IP ou réseau VPC).
Par exemple, vous pouvez configurer des règles d'entrée pour autoriser l'accès Internet aux ressources d'un périmètre en fonction de la plage d'adresses IPv4 et IPv6. Pour en savoir plus sur l'utilisation des règles d'entrée pour configurer l'accès contextuel, consultez la page Accès contextuel.
Configurer l'échange de données sécurisé à l'aide de règles d'entrée et de sortie
Vous ne pouvez inclure votre projet que dans un seul périmètre de service. Si vous souhaitez autoriser la communication au-delà des limites du périmètre, configurez des règles d'entrée et de sortie. Par exemple, vous pouvez spécifier des règles d'entrée et de sortie pour permettre aux projets de plusieurs périmètres de partager des journaux situés dans un autre périmètre. Pour en savoir plus sur les cas d'utilisation d'échange de données sécurisé, consultez la page Échange de données sécurisé.