Questa pagina descrive i perimetri di servizio e include i passaggi di alto livello per la configurazione dei perimetri.
Informazioni sui perimetri di servizio
Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra perimetri applicati e di prova.
Per proteggere i servizi Google Cloud nei progetti e ridurre il rischio di esfiltrazione dei dati, puoi specificare i perimetri di servizio a livello di progetto o di rete VPC. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta la panoramica dei Controlli di servizio VPC.
Inoltre, i servizi accessibili all'interno di un perimetro, ad esempio dalle VM di una rete VPC ospitata all'interno di un perimetro, possono essere limitati utilizzando la funzionalità Servizi accessibili da VPC.
Puoi configurare i perimetri di Controlli di servizio VPC in modalità di prova o di prova. Gli stessi passaggi di configurazione vengono applicati ai perimetri applicati e in modalità di prova. La differenza è che i perimetri di prova continuano a registrare violazioni, anche se i perimetri vengono applicati ma non impediscono l'accesso ai servizi limitati.
Modalità di applicazione forzata
La modalità forzata è quella predefinita per i perimetri di servizio. Quando viene applicato un perimetro di servizio, le richieste che violano i criteri del perimetro, come le richieste a servizi con restrizioni dall'esterno di un perimetro, vengono rifiutate.
Un perimetro in modalità applicata protegge le risorse Google Cloud applicando il confine per i servizi limitati nella configurazione del perimetro. Le richieste API ai servizi limitati non superano il confine periferico, a meno che non vengano soddisfatte le condizioni delle regole in entrata e in uscita necessarie del perimetro. Un perimetro in modalità di applicazione forzata protegge da rischi di esfiltrazione dei dati, come credenziali rubate, autorizzazioni configurate in modo errato o utenti malintenzionati interni al dominio che hanno accesso ai progetti.
Modalità test di prova
In modalità di prova, le richieste che violano i criteri del perimetro non vengono rifiutate, ma solo registrate. I perimetri di servizio di prova vengono utilizzati per testare la configurazione del perimetro e per monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni dei casi d'uso comuni:
Determina l'impatto quando modifichi i perimetri di servizio esistenti.
Visualizzare l'impatto in anteprima quando si aggiungono nuovi perimetri di servizio.
Monitoraggio delle richieste a servizi limitati che provengono dall'esterno di un perimetro di servizio. Ad esempio, per identificare l'origine delle richieste a un determinato servizio o per identificare l'utilizzo imprevisto del servizio nella tua organizzazione.
Creare nell'ambiente di sviluppo un'architettura perimetrale analogica all'ambiente di produzione. Puoi identificare e mitigare eventuali problemi causati dai perimetri di servizio prima di inviare modifiche all'ambiente di produzione.
Per ulteriori informazioni, consulta la sezione Modalità di prova.
Fasi di configurazione del perimetro di servizio
Per configurare Controlli di servizio VPC, puoi utilizzare la console Google Cloud, lo strumento a riga di comando gcloud e le API Gestore contesto accesso.
Puoi configurare Controlli di servizio VPC come descritto nei seguenti passaggi di alto livello:
Crea un criterio di accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio.
(Facoltativo) Configura i servizi accessibili da VPC per aggiungere ulteriori restrizioni al modo in cui i servizi possono essere utilizzati all'interno dei perimetri.
Configura la connettività privata da una rete VPC (facoltativo).
(Facoltativo) Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata.
(Facoltativo) Configurare lo scambio di dati sicuri utilizzando le regole in entrata e in uscita.
Crea un criterio di accesso
Un criterio di accesso raccoglie i perimetri di servizio e i livelli di accesso che crei per la tua organizzazione. Un'organizzazione può avere un solo criterio di accesso per l'intera organizzazione e più criteri di accesso con ambito per le cartelle e i progetti.
Puoi usare la console Google Cloud, lo strumento a riga di comando gcloud o le API Gestore contesto accesso per creare un criterio di accesso.
Per scoprire di più su Gestore contesto accesso e sui criteri di accesso, consulta la panoramica di Gestore contesto accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio
I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti della tua organizzazione. Dopo aver identificato i progetti e i servizi che vuoi proteggere, crea uno o più perimetri di servizio.
Per scoprire di più su come funzionano i perimetri di servizio e su quali servizi possono essere utilizzati i Controlli di servizio VPC per proteggere, consulta la panoramica dei Controlli di servizio VPC.
Alcuni servizi prevedono limitazioni relative al loro utilizzo con i Controlli di servizio VPC. Se riscontri problemi con i tuoi progetti dopo aver configurato i perimetri di servizio, consulta la risoluzione dei problemi.
Configurare i servizi accessibili da VPC
Quando abiliti i servizi accessibili da VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a un insieme di servizi da te specificati.
Per scoprire di più su come limitare l'accesso all'interno del tuo perimetro solo a un insieme specifico di servizi, scopri di più sui servizi accessibili da VPC.
Configura la connettività privata da una rete VPC
Per garantire maggiore sicurezza per le reti VPC e gli host on-premise protetti da un perimetro di servizio, ti consigliamo di utilizzare l'accesso privato Google. Per saperne di più, vedi Connettività privata da reti on-premise.
Per saperne di più sulla configurazione della connettività privata, consulta Configurazione della connettività privata alle API e ai servizi Google.
Limitare l'accesso alle risorse Google Cloud solo all'accesso privato dalle reti VPC implica che l'accesso tramite interfacce come la console Google Cloud e la console Cloud Monitoring è negato. Puoi continuare a utilizzare lo strumento a riga di comando gcloud o i client API delle reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.
Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole Ingress
Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi dei client. Puoi specificare gli attributi dei client, come tipo di identità (account di servizio o utente), identità, dati del dispositivo e origine rete (indirizzo IP o rete VPC).
Ad esempio, puoi configurare regole in entrata per consentire l'accesso a Internet alle risorse all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole di accesso sensibile al contesto per configurare l'accesso sensibile al contesto, vedi Accesso sensibile al contesto.
Configurare lo scambio di dati sicuri utilizzando le regole in entrata e in uscita
Puoi includere il progetto in un solo perimetro di servizio. Se vuoi consentire la comunicazione oltre i confini perimetrali, configura le regole relative al traffico in entrata e in uscita. Ad esempio, puoi specificare le regole in entrata e in uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per scoprire di più sui casi d'uso dello scambio di dati sicuri, leggi l'articolo Scambio di dati protetti.