Dettagli e configurazione dei perimetri di servizio

Questa pagina descrive i perimetri di servizio e include i passaggi di alto livello per configurare i perimetri.

Informazioni sui perimetri di servizio

Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra perimetri applicati e di prova.

Per proteggere i servizi Google Cloud nei progetti e ridurre il rischio di esfiltrazione di dati, puoi specificare i perimetri di servizio a livello di organizzazione, cartella o progetto. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta la Panoramica dei Controlli di servizio VPC.

Inoltre, è possibile limitare i servizi accessibili all'interno di un perimetro, ad esempio dalle VM di una rete VPC ospitata all'interno di un perimetro, utilizzando la funzionalità Servizi accessibili da VPC.

Puoi configurare i perimetri Controlli di servizio VPC in modalità di applicazione forzata o di prova. Gli stessi passaggi di configurazione si applicano ai perimetri applicati e di prova. La differenza è che i perimetri di prova registrano le violazioni poiché i perimetri vengono applicati, ma non impediscono l'accesso ai servizi limitati.

Modalità di applicazione forzata

La modalità applicata è quella predefinita per i perimetri di servizio. Quando viene applicato un perimetro di servizio, vengono rifiutate le richieste che violano i criteri del perimetro, come le richieste a servizi limitati dall'esterno di un perimetro.

Un perimetro in modalità Applicata protegge le risorse Google Cloud applicando il confine del perimetro per i servizi limitati nella configurazione del perimetro. Le richieste API ai servizi limitati non superano il confine del perimetro, a meno che non vengano soddisfatte le condizioni delle regole in entrata e in uscita necessarie del perimetro. Un perimetro applicato protegge dai rischi di esfiltrazione dei dati, come le credenziali rubate, le autorizzazioni configurate in modo errato o gli utenti malintenzionati interni che hanno accesso ai progetti.

Modalità test di prova

In modalità di prova, le richieste che violano i criteri perimetrali non vengono rifiutate, ma vengono registrate solo. I perimetri di servizio a prova di prova vengono utilizzati per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni dei casi d'uso più comuni:

  • Determinare l'impatto quando modifichi i perimetri di servizio esistenti.

  • Visualizzazione dell'anteprima dell'impatto quando aggiungi nuovi perimetri di servizio.

  • Monitoraggio delle richieste a servizi con limitazioni che hanno origine da un perimetro di servizio. Ad esempio, per identificare la provenienza delle richieste a un determinato servizio o per identificare un utilizzo imprevisto del servizio nell'organizzazione.

  • Creazione di un'architettura periferica nel tuo ambiente di sviluppo che sia analoga a quella dell'ambiente di produzione. Puoi identificare e mitigare eventuali problemi causati dai tuoi perimetri di servizio prima di inviare modifiche al tuo ambiente di produzione.

Per ulteriori informazioni, vedi Modalità di prova.

Fasi di configurazione del perimetro di servizio

Per configurare i Controlli di servizio VPC, puoi utilizzare Google Cloud Console, lo strumento a riga di comando gcloud e le API di Gestore contesto accesso.

Puoi configurare i Controlli di servizio VPC come descritto nei seguenti passaggi di alto livello:

  1. Crea un criterio di accesso.

  2. Proteggi le risorse gestite da Google con i perimetri di servizio.

  3. (Facoltativo) Configura i servizi accessibili da VPC per aggiungere ulteriori restrizioni al modo in cui possono essere utilizzati i servizi all'interno dei tuoi perimetri.

  4. (Facoltativo) Configura la connettività privata da una rete VPC.

  5. Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata (facoltativo).

  6. Configurare lo scambio sicuro di dati utilizzando le regole di traffico in entrata e in uscita (facoltativo).

Crea un criterio di accesso

Un criterio di accesso raccoglie i perimetri di servizio e i livelli di accesso che crei per la tua organizzazione. Un'organizzazione può avere un solo criterio di accesso per l'intera organizzazione e più criteri di accesso con ambito multipli per le cartelle e i progetti.

Se crei i perimetri di servizio per l'organizzazione utilizzando la pagina Controlli di servizio VPC di Cloud Console, non è necessario creare un criterio di accesso per l'organizzazione. Per creare perimetri di servizio con ambito a una cartella o un progetto, devi creare manualmente i criteri di accesso con ambito utilizzando Cloud Console.

Tuttavia, quando utilizzi lo strumento a riga di comando gcloud o le API di Gestore contesto accesso per creare e configurare i perimetri di servizio, devi prima creare un criterio di accesso.

Per saperne di più su Gestore contesto accesso e sui criteri di accesso, leggi la panoramica di Gestore contesto accesso.

Proteggere le risorse gestite da Google con i perimetri di servizio

I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti nell'organizzazione. Dopo aver identificato i progetti e i servizi che vuoi proteggere, crea uno o più perimetri di servizio.

Per scoprire di più su come funzionano i perimetri di servizio e su quali servizi possono essere utilizzati i Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.

Alcuni servizi prevedono limitazioni relative all'utilizzo con i controlli di servizio VPC. Se riscontri problemi con i progetti dopo la configurazione dei perimetri di servizio, consulta la sezione Risoluzione dei problemi.

Configura i servizi accessibili da VPC

Quando abiliti servizi accessibili da VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del tuo perimetro è limitato a un insieme di servizi specificati da te.

Per scoprire di più su come limitare l'accesso all'interno del tuo perimetro a un solo insieme di servizi specifici, leggi l'articolo sui servizi accessibili da VPC.

Configurare la connettività privata da una rete VPC

Per maggiore sicurezza per le reti VPC e gli host on-premise protetti da un perimetro di servizio, ti consigliamo di utilizzare l'accesso privato Google. Per saperne di più, vedi Connettività privata dalle reti on-premise.

Per saperne di più sulla configurazione della connettività privata, consulta Configurazione della connettività privata alle API e ai servizi Google.

Limitare l'accesso alle risorse Google Cloud solo all'accesso privato dalle reti VPC significa che l'accesso tramite interfacce come Cloud Console e Cloud Monitoring è negato. Puoi continuare a utilizzare lo strumento a riga di comando gcloud o i client API delle reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.

Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata

Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi del client, ad esempio il tipo di identità (account o utente del servizio), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC).

Ad esempio, puoi configurare regole di traffico in entrata per consentire l'accesso a Internet alle risorse all'interno di un perimetro basato sull'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole in entrata per configurare l'accesso sensibile al contesto, vedi Accesso sensibile al contesto.

Configurare uno scambio di dati sicuro utilizzando le regole di traffico in entrata e in uscita

Puoi includere il progetto solo in un perimetro di servizio. Se vuoi consentire la comunicazione oltre il perimetro, configura le regole in entrata e in uscita. Ad esempio, puoi specificare le regole di traffico in entrata e in uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per ulteriori informazioni sui casi d'uso di scambio di dati sicuro, leggi scambio di dati sicuro.