Detalhes e configuração de perímetro de serviço

Esta página descreve perímetros de serviço e inclui as etapas avançadas para configurar perímetros.

Sobre perímetros de serviço

Nesta seção, há detalhes sobre como os perímetros de serviço funcionam e as diferenças entre perímetros aplicados e de teste.

Os perímetros de serviço são um método no nível da organização para proteger os serviços do Google Cloud nos projetos a fim de reduzir o risco de exfiltração de dados. Para uma visão detalhada dos benefícios dos perímetros de serviço, consulte a Visão geral do VPC Service Controls.

Além disso, os serviços acessíveis dentro de um perímetro, como os de VMs em uma rede VPC hospedada dentro de um perímetro, podem ser restritos usando o recurso Serviços acessíveis por VPC.

Os perímetros do VPC Service Controls podem ser configurados de dois modos: aplicação e simulação. Em geral, as mesmas etapas de configuração se aplicam a ambos. A diferença fundamental é que os perímetros de simulação não impedem o acesso a serviços protegidos, apenas registram violações como se os perímetros fossem aplicados. Este guia explica as diferenças entre perímetros de serviço aplicados e de simulação.

Modo restrito

O modo aplicado é o padrão para perímetros de serviço. Quando um perímetro de serviço for aplicado, as solicitações que violam a política do perímetro, como solicitações para serviços protegidos de fora de um perímetro, serão negadas.

Quando um serviço é protegido por um perímetro aplicado:

  • esse serviço não pode transmitir dados para fora do perímetro.

    Os serviços protegidos funcionam normalmente dentro do perímetro, mas não podem executar ações que enviam recursos e dados para fora do perímetro. Isso ajuda a evitar que usuários mal-intencionados com acesso a projetos no perímetro exfiltrem dados.

  • As solicitações de fora do perímetro para o serviço protegido são atendidas somente se respeitarem os critérios dos níveis de acesso atribuídos ao perímetro.

  • Esse serviço pode ser disponibilizado para projetos em outros perímetros usando pontes do perímetro.

Modo de teste

No modo de simulação, as solicitações que violam a política de perímetro não são negadas, apenas registradas. Os perímetros de serviço de simulação são usados para testar a configuração do perímetro e monitorar o uso de serviços sem impedir o acesso aos recursos. Os casos de uso comuns incluem:

  • Determinar o impacto das alterações nos perímetros de serviço existentes.

  • Visualizar o impacto dos novos perímetros de serviço.

  • Monitorar solicitações para serviços protegidos originados fora de um perímetro de serviço. Por exemplo, ver a origem das solicitações de um determinado serviço ou identificar o uso inesperado de um serviço na sua organização.

  • Nos ambientes de desenvolvimento, criar uma arquitetura de perímetro análoga ao ambiente de produção. Isso permite identificar e reduzir os problemas que serão causados pelos perímetros de serviço antes de enviar alterações ao ambiente de produção.

Para mais informações, consulte Modo de simulação.

Estágios de configuração do perímetro de serviço

O VPC Service Controls pode ser configurado usando o Console do Google Cloud, a ferramenta de linha de comando gcloud e as APIs Access Context Manager.

Para configurar o VPC Service Controls:

  1. Se quiser usar a ferramenta de linha de comando gcloud ou as APIs Access Context Manager para gerar seus perímetros de serviço, crie uma política de acesso.

  2. Proteja os recursos do GCP com perímetros de serviço.

  3. Configure os serviços acessíveis por VPC para adicionar outras restrições sobre como os serviços podem ser usados dentro dos perímetros (opcional).

  4. Configure a conectividade particular por meio de uma rede VPC (opcional).

  5. Conceda acesso de fora de um perímetro de serviço usando níveis de acesso (opcional).

  6. Configure o compartilhamento de recursos entre perímetros usando pontes de perímetro de serviço (opcional).

Criar uma política de acesso

Uma política de acesso coleta os perímetros de serviço e os níveis de acesso que você cria para a organização. Uma organização pode ter apenas uma política de acesso.

Quando os perímetros de serviço são criados e gerenciados por meio da página VPC Service Controls do Console do Cloud, você não precisa criar uma política de acesso.

No entanto, ao usar a ferramenta de linha de comando gcloud ou as APIs Access Context Manager para criar e configurar perímetros de serviço, primeiro é preciso criar uma política de acesso.

Para saber mais sobre o Access Context Manager e as políticas de acesso, leia a visão geral do Access Context Manager.

Proteger recursos do GCP com perímetros de serviço

Os perímetros de serviço são usados para proteger serviços usados por projetos na organização. Depois de identificar os projetos e serviços que serão protegidos, crie um ou mais perímetros de serviço.

Para saber mais como os perímetros de serviço funcionam e os serviços que podem ser protegidos com o VPC Service Controls, leia a Visão Geral do VPC Service Controls.

Alguns serviços têm limitações de uso com o VPC Service Controls. Se encontrar problemas nos projetos depois de configurar os perímetros de serviço, leia Solução de problemas.

Configurar serviços acessíveis por VPC

Ao ativar os serviços acessíveis por VPC para um perímetro, o acesso de endpoints de rede dentro do seu perímetro é limitado a um conjunto de serviços que você especifica.

Para saber mais sobre como limitar o acesso dentro do perímetro a apenas um conjunto específico de serviços, consulte serviços acessíveis por VPC.

Configurar a conectividade particular de uma rede VPC

Para reforçar a segurança das redes VPC protegidas por um perímetro de serviço, recomendamos o uso do acesso privado do Google. Isso inclui conectividade particular de redes locais.

Para aprender a configurar a conectividade particular, leia Como configurar a conectividade particular com APIs e serviços do Google.

Restringir o acesso aos recursos do Google Cloud apenas a acesso particular a partir de redes VPC significa que será negado o acesso por meio de interfaces, como o Console do Cloud e o console do Cloud Monitoring. Você continua usando a ferramenta de linha de comando gcloud ou clientes de API de redes VPC que compartilham um perímetro de serviço ou ponte do perímetro com os recursos restritos.

Conceder acesso de fora de um perímetro de serviço com níveis de acesso

Os níveis de acesso podem ser usados para permitir solicitações de fora de um perímetro de serviço a recursos protegidos por esse perímetro.

Usando os níveis de acesso, é possível especificar blocos CIDR IPv4 e IPv6 públicos e contas de usuário e serviço individuais que terão permissão para acessar recursos protegidos pelo VPC Service Controls.

Se estiver restringindo recursos usando conectividade particular de redes VPC, poderá reativar usando o Console do Cloud para acessar serviços protegidos. Para isso, adicione um bloco CIDR a um nível de acesso que inclua o endereço IP público do host onde o Console do Cloud está sendo usado. Se quiser reativar o Console do Cloud para um usuário específico, independentemente do endereço IP, adicione essa conta de usuário como membro ao nível de acesso.

Para saber como usar níveis de acesso, leia Como criar um nível de acesso.

Como compartilhar dados entre perímetros de serviço

Um projeto pode ser incluído apenas em um perímetro de serviço. Para permitir a comunicação entre dois perímetros, crie uma ponte do perímetro de serviço.

Pontes do perímetro podem ser usadas para permitir a comunicação entre projetos em diferentes perímetros de serviço. Um projeto pode pertencer a mais de uma ponte do perímetro.

Para saber mais sobre pontes do perímetro, leia Como compartilhar entre perímetros com pontes.