Périmètres de service : détails et configuration

Cette page décrit les périmètres de service et indique les principales étapes à suivre pour les configurer.

À propos des périmètres de service

Cette section détaille le fonctionnement des périmètres de service, et explique la différence entre périmètres forcés et périmètres de simulation.

Vous pouvez spécifier des périmètres de service au niveau de l'organisation pour protéger les services Google Cloud au sein de vos projets et limiter le risque d'exfiltration de données. Pour en savoir plus sur les avantages des périmètres de service, consultez la page Présentation de VPC Service Controls.

En outre, les services accessibles dans un périmètre (par exemple, à partir de VM d'un réseau VPC hébergé dans un périmètre) peuvent être restreints à l'aide de la fonctionnalité Services accessibles par VPC.

Vous pouvez configurer les périmètres VPC Service Controls en mode forcé ou en mode de simulation. Les mêmes étapes de configuration s'appliquent aux périmètres forcés et aux périmètres de simulation. La différence réside dans le fait que les périmètres de simulation n'empêchent pas l'accès aux services restreints. Ils ne consignent que les violations comme si les périmètres étaient forcés.

Mode application forcée

Le mode application forcée est le mode par défaut pour les périmètres de service. Lorsqu'un périmètre de service est forcé, les requêtes qui ne respectent pas la règle de périmètre, telles que les requêtes adressées à des services restreints en dehors d'un périmètre, sont refusées.

Un périmètre en mode forcé protège les ressources Google Cloud en appliquant la limite du périmètre aux services restreints dans la configuration du périmètre. Les requêtes API adressées aux services restreints n'excèdent pas la limite du périmètre, sauf si les conditions des règles d'entrée et de sortie requises par le périmètre sont remplies. Un périmètre forcé protège des risques d'exfiltration de données, tels que des identifiants volés, des autorisations mal configurées ou des attaques internes malveillantes pouvant accéder aux projets.

Mode de simulation

En mode de simulation, les requêtes qui ne respectent pas la règle de périmètre ne sont pas refusées, mais sont seulement consignées. Les périmètres de service de simulation permettent de tester la configuration du périmètre et de surveiller l'utilisation des services, sans empêcher l'accès aux ressources. Voici quelques cas d'utilisation courants :

  • Déterminer l'impact des modifications apportées aux périmètres de service existants.

  • Prévisualiser l'impact des nouveaux périmètres de service.

  • Surveiller les requêtes adressées à des services restreints provenant de l'extérieur d'un périmètre de service (par exemple, identifier d'où proviennent les requêtes adressées à un service donné ou identifier une utilisation inattendue du service dans votre organisation).

  • Dans votre environnement de développement, créer une architecture de périmètre calquée sur votre environnement de production. Cela vous permet d'identifier et de limiter les problèmes causés par vos périmètres de service avant d'appliquer des modifications à votre environnement de production.

Pour en savoir plus, consultez la section Mode de simulation.

Étapes de configuration du périmètre de service

VPC Service Controls peut être configuré à l'aide de Google Cloud Console, de l'outil de ligne de commande gcloud et des API Access Context Manager.

Pour configurer VPC Service Controls, procédez comme suit :

  1. Pour créer vos périmètres de service à l'aide de l'outil de ligne de commande gcloud ou des API Access Context Manager, créez une règle d'accès.

  2. Sécurisez les ressources de l'outil de ligne de commande gcloud à l'aide de périmètres de service.

  3. Configurez des services accessibles par VPC pour ajouter des restrictions supplémentaires à l'utilisation des services dans vos périmètres (facultatif).

  4. Configurez une connectivité privée à partir d'un réseau VPC (facultatif).

  5. Autorisez l'accès contextuel depuis l'extérieur du périmètre de service à l'aide de règles d'entrée (facultatif).

  6. Configurez l'échange de données sécurisé à l'aide de règles d'entrée et de sortie (facultatif).

Créer une règle d'accès

Une règle d'accès collecte les périmètres de service et les niveaux d'accès que vous avez créés pour votre organisation. Une organisation ne peut disposer que d'une seule règle d'accès.

Lorsque des périmètres de service sont créés et gérés depuis la page VPC Service Controls de Cloud Console, vous n'avez pas besoin de créer de règle d'accès.

Toutefois, lorsque vous créez et configurez vos périmètres de service à l'aide de l'outil de ligne de commande gcloud ou des API Access Context Manager, vous devez d'abord créer une règle d'accès.

Pour en savoir plus sur Access Context Manager et sur les règles d'accès, consultez la présentation d'Access Context Manager.

Sécuriser des ressources Google Cloud à l'aide de périmètres de service

Les périmètres de service servent à protéger les services utilisés par les projets de votre organisation. Une fois que vous avez identifié les projets et les services que vous souhaitez protéger, créez un ou plusieurs périmètres de service.

Pour en savoir plus sur le fonctionnement des périmètres de service et sur les services pouvant être sécurisés à l'aide de VPC Service Controls, consultez la présentation de VPC Service Controls.

Certains services présentent des limites d'utilisation avec VPC Service Controls. Si vous rencontrez des problèmes au niveau de vos projets après avoir configuré vos périmètres de service, reportez-vous à la section Dépannage.

Configurer des services accessibles par VPC

Lorsque vous activez les services accessibles par VPC pour un périmètre, l'accès depuis les points de terminaison du réseau à l'intérieur de votre périmètre est limité à un ensemble de services que vous spécifiez.

Pour en savoir plus sur la façon de limiter l'accès dans votre périmètre à un ensemble spécifique de services uniquement, consultez la page Services accessibles par VPC.

Configurer une connectivité privée à partir d'un réseau VPC

Pour renforcer la sécurité des réseaux VPC et des hôtes sur site protégés par un périmètre de service, nous vous recommandons d'utiliser l'accès privé à Google. Pour en savoir plus, consultez la section Connectivité privée à partir de réseaux sur site.

Pour en savoir plus sur la configuration d'une connectivité privée, consultez la page Configurer une connectivité privée aux API et services Google.

En limitant l'accès aux ressources Google Cloud à un accès privé depuis des réseaux VPC, l'accès via des interfaces telles que Cloud Console et la console Cloud Monitoring est refusé. Vous pouvez continuer à utiliser l'outil de ligne de commande gcloud ou les API clientes des réseaux VPC qui partagent un périmètre de service ou une liaison de périmètre avec des ressources limitées.

Autoriser l'accès contextuel depuis l'extérieur du périmètre de service à l'aide de règles d'entrée

Vous pouvez autoriser l'accès contextuel aux ressources limitées par un périmètre en fonction d'attributs clients, tels que le type d'identité (compte de service ou utilisateur), l'identité, les données de l'appareil et l'origine du réseau (adresse IP ou réseau VPC).

Par exemple, vous pouvez configurer des règles d'entrée pour autoriser l'accès Internet aux ressources d'un périmètre en fonction de la plage d'adresses IPv4 et IPv6. Pour en savoir plus sur l'utilisation des règles d'entrée pour configurer l'accès contextuel, consultez la page Accès contextuel.

Configurer l'échange de données sécurisé à l'aide de règles d'entrée et de sortie

Vous ne pouvez inclure votre projet que dans un seul périmètre de service. Si vous souhaitez autoriser la communication au-delà des limites du périmètre, configurez des règles d'entrée et de sortie. Par exemple, vous pouvez spécifier des règles d'entrée et de sortie pour permettre aux projets de plusieurs périmètres de partager des journaux situés dans un autre périmètre. Pour en savoir plus sur les cas d'utilisation d'échange de données sécurisé, consultez la page Échange de données sécurisé.