Dettagli e configurazione dei perimetri di servizio

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive i perimetri di servizio e include i passaggi di alto livello per configurare i perimetri.

Informazioni sui perimetri di servizio

Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra i perimetri applicati e di prova.

Per proteggere i servizi Google Cloud nei progetti e ridurre il rischio di esfiltrazione dei dati, puoi specificare i perimetri di servizio a livello di organizzazione, cartella o progetto. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, vedi Panoramica dei controlli di servizio VPC.

Inoltre, è possibile limitare i servizi accessibili all'interno di un perimetro, ad esempio dalle VM in una rete VPC ospitata all'interno di un perimetro, utilizzando la funzionalità Servizi accessibili VPC.

Puoi configurare i perimetri Controlli di servizio VPC in modalità di applicazione forzata o di prova. Gli stessi passaggi di configurazione vengono applicati sia ai perimetri applicati che a quelli di prova. La differenza è che i perimetri di prova registrano le violazioni perché i perimetri vengono applicati, ma non impediscono l'accesso ai servizi limitati.

Modalità di applicazione forzata

La modalità applicata è quella predefinita per i perimetri di servizio. Quando viene applicato un perimetro di servizio, le richieste che violano il criterio del perimetro, come le richieste ai servizi con restrizioni esterne a un perimetro, vengono rifiutate.

Un perimetro in modalità di protezione applica le risorse Google Cloud applicando il confine del perimetro per i servizi limitati nella configurazione del perimetro. Le richieste API ai servizi limitati non superano il confine del perimetro, a meno che non vengano soddisfatte le condizioni delle regole in entrata e in uscita necessarie del perimetro. Un perimetro applicato protegge da rischi di esfiltrazione dei dati, come credenziali rubate, autorizzazioni configurate in modo errato o utenti malintenzionati interni all'accesso ai progetti.

Modalità test di prova

In modalità di prova, le richieste che violano il criterio del perimetro non vengono rifiutate, ma solo registrate. I perimetri di servizio vengono utilizzati per testare la configurazione del perimetro e monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni dei casi d'uso comuni:

  • Determinare l'impatto quando modifichi i perimetri di servizio esistenti.

  • Anteprima dell'impatto quando si aggiungono nuovi perimetri di servizio.

  • Monitoraggio delle richieste a servizi con restrizioni che hanno origine all'esterno di un perimetro di servizio. Ad esempio, per identificare la provenienza delle richieste a un determinato servizio o per identificare l'utilizzo imprevisto del servizio nella tua organizzazione.

  • Creazione di un'architettura perimetro nell'ambiente di sviluppo analogamente all'ambiente di produzione. Puoi identificare e mitigare eventuali problemi causati dai perimetri di servizio prima di inviare le modifiche all'ambiente di produzione.

Per ulteriori informazioni, vedi Modalità di prova.

Fasi di configurazione del perimetro di servizio

Per configurare Controlli di servizio VPC, puoi utilizzare la console Google Cloud, lo strumento a riga di comando gcloud e le API di Gestore contesto accesso.

Puoi configurare Controlli di servizio VPC come descritto nei seguenti passaggi generali:

  1. Crea un criterio di accesso.

  2. Proteggere le risorse gestite da Google con i perimetri di servizio.

  3. (Facoltativo) Configura i servizi accessibili da VPC per aggiungere ulteriori restrizioni al modo in cui possono essere utilizzati i servizi all'interno dei perimetri.

  4. Configurare la connettività privata da una rete VPC (facoltativo).

  5. Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata (facoltativo).

  6. (Facoltativo) Configurare lo scambio di dati sicuro utilizzando le regole di traffico in entrata e in uscita.

Crea un criterio di accesso

Un criterio di accesso raccoglie i perimetri di servizio e i livelli di accesso creati per l'organizzazione. Un'organizzazione può avere un solo criterio di accesso per l'intera organizzazione e più criteri di accesso con ambito multipli per le cartelle e i progetti.

Se crei i perimetri di servizio per l'organizzazione utilizzando la pagina Controlli di servizio VPC di Google Cloud Console, non è necessario creare un criterio di accesso per l'organizzazione. Se devi creare perimetri di servizio con ambito a una cartella o un progetto, devi creare manualmente i criteri di accesso con ambito utilizzando Google Cloud Console.

Tuttavia, quando utilizzi lo strumento a riga di comando gcloud o le API di Gestore contesto accesso per creare e configurare i perimetri di servizio, devi prima creare un criterio di accesso.

Per scoprire di più su Gestore contesto accesso e sui criteri di accesso, leggi la panoramica di Gestore contesto accesso.

Proteggere le risorse gestite da Google con i perimetri di servizio

I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti nella tua organizzazione. Dopo aver identificato i progetti e i servizi che vuoi proteggere, crea uno o più perimetri di servizio.

Per saperne di più su come funzionano i perimetri di servizio e su quali servizi i Controlli di servizio VPC possono essere utilizzati per proteggere, leggi la Panoramica dei Controlli di servizio VPC.

Alcuni servizi prevedono limitazioni relative all'utilizzo con i Controlli di servizio VPC. Se riscontri problemi con i tuoi progetti dopo aver configurato i perimetri di servizio, consulta la sezione Risoluzione dei problemi.

Configura i servizi accessibili da VPC

Quando abiliti i servizi accessibili da VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del tuo perimetro è limitato a un insieme di servizi che specifichi.

Per scoprire di più su come limitare l'accesso all'interno del tuo perimetro a un determinato insieme di servizi, scopri i servizi accessibili da VPC.

Configura la connettività privata da una rete VPC

Per maggiore sicurezza per le reti VPC e gli host on-premise protetti da un perimetro di servizio, ti consigliamo di utilizzare l'accesso privato Google. Per saperne di più, vedi Connettività privata da reti on-premise.

Per saperne di più sulla configurazione della connettività privata, consulta la pagina Configurare la connettività privata alle API e ai servizi Google.

Limitare l'accesso alle risorse Google Cloud solo all'accesso privato dalle reti VPC significa che viene negato l'accesso utilizzando interfacce come la console Google Cloud e la console Cloud Monitoring. Puoi continuare a utilizzare lo strumento a riga di comando gcloud o i client API di reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.

Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata

Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi dei client, ad esempio tipo di identità (account o utente di servizio), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC).

Ad esempio, puoi configurare regole di traffico in entrata per consentire l'accesso a Internet alle risorse all'interno di un perimetro sulla base dell'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole in entrata per configurare l'accesso sensibile al contesto, vedi Accesso sensibile al contesto.

Configurare uno scambio di dati sicuro con le regole del traffico in entrata e in uscita

Puoi includere il progetto solo in un perimetro di servizio. Se vuoi consentire la comunicazione all'interno del perimetro del perimetro, configura le regole relative al traffico in entrata e in uscita. Ad esempio, puoi specificare le regole di traffico in entrata e in uscita per consentire ai progetti da più perimetri di condividere i log in un perimetro separato. Per saperne di più sui casi d'uso di Scambio dati protetti, leggi Scambio dati protetti.