Detalhes e configuração de perímetro de serviço

Esta página descreve perímetros de serviço e inclui as etapas avançadas para configurar perímetros.

Sobre perímetros de serviço

Nesta seção, há detalhes sobre como os perímetros de serviço funcionam e as diferenças entre perímetros aplicados e de teste.

Você pode especificar os perímetros de serviço no nível da organização para proteger os serviços do Google Cloud nos projetos e reduzir o risco de exfiltração de dados. Para mais informações sobre os benefícios dos perímetros de serviço, consulte Visão geral do VPC Service Controls.

Além disso, os serviços acessíveis dentro de um perímetro, como os de VMs em uma rede VPC hospedada dentro de um perímetro, podem ser restritos usando o recurso Serviços acessíveis por VPC.

É possível configurar os perímetros do VPC Service Controls no modo aplicado ou de simulação. As mesmas etapas de configuração se aplicam a ambos. A diferença é que os perímetros de simulação registram violações como que os perímetros são aplicados, mas não impedem o acesso a serviços restritos.

Modo restrito

O modo aplicado é o padrão para perímetros de serviço. Quando um perímetro de serviço for aplicado, as solicitações que violam a política do perímetro, como solicitações para serviços restritos de fora de um perímetro, serão negadas.

Um perímetro no modo aplicado protege os recursos do Google Cloud ao impor o limite do perímetro para os serviços restritos na configuração do perímetro. As solicitações de API para serviços restritos não ultrapassam o limite do perímetro, a menos que as condições das regras de entrada e saída necessárias do perímetro sejam atendidas. Um perímetro aplicado protege contra riscos de exfiltração de dados, como credenciais roubadas, permissões configuradas incorretamente ou pessoas mal-intencionadas com informações privilegiadas que têm acesso aos projetos.

Modo de teste

No modo de simulação, as solicitações que violam a política de perímetro não são negadas, apenas registradas. Os perímetros de serviço de simulação são usados para testar a configuração do perímetro e monitorar o uso de serviços sem impedir o acesso aos recursos. Veja a seguir alguns dos casos de uso comuns:

  • Determinar o impacto quando você altera os perímetros de serviço atuais.

  • Visualizar o impacto quando você adiciona novos perímetros de serviço.

  • Monitorar solicitações para serviços restritos originados fora de um perímetro de serviço. Por exemplo, para identificar a origem das solicitações de um determinado serviço ou identificar o uso inesperado de um serviço na sua organização.

  • Criar uma arquitetura de perímetro que seja análoga ao ambiente de produção no ambiente de desenvolvimento. É possível identificar e reduzir os problemas causados pelos perímetros de serviço antes de enviar alterações ao ambiente de produção.

Para mais informações, consulte Modo de simulação.

Estágios de configuração do perímetro de serviço

O VPC Service Controls pode ser configurado usando o Console do Google Cloud, a ferramenta de linha de comando gcloud e as APIs Access Context Manager.

É possível configurar o VPC Service Controls conforme descrito nas etapas de alto nível a seguir:

  1. Se quiser usar a ferramenta de linha de comando gcloud ou as APIs Access Context Manager para gerar seus perímetros de serviço, crie uma política de acesso.

  2. Proteger recursos gerenciados do Google com perímetros de serviço.

  3. Configure os serviços acessíveis por VPC para adicionar outras restrições sobre como os serviços podem ser usados dentro dos perímetros (opcional).

  4. Configure a conectividade particular por meio de uma rede VPC (opcional).

  5. Permitir acesso baseado no contexto de fora de um perímetro de serviço usando regras de entrada (opcional).

  6. Configure a troca segura de dados usando regras de entrada e saída (opcional).

Criar uma política de acesso

Uma política de acesso coleta os perímetros de serviço e os níveis de acesso que você cria para a organização. Uma organização pode ter apenas uma política de acesso.

Quando os perímetros de serviço são criados e gerenciados por meio da página VPC Service Controls do Console do Cloud, você não precisa criar uma política de acesso.

No entanto, ao usar a ferramenta de linha de comando gcloud ou as APIs Access Context Manager para criar e configurar perímetros de serviço, primeiro é preciso criar uma política de acesso.

Para saber mais sobre o Access Context Manager e as políticas de acesso, leia a visão geral do Access Context Manager.

Proteger recursos gerenciados pelo Google com perímetros de serviço

Os perímetros de serviço são usados para proteger serviços usados por projetos na organização. Depois de identificar os projetos e serviços que serão protegidos, crie um ou mais perímetros de serviço.

Para saber mais como os perímetros de serviço funcionam e os serviços que podem ser protegidos com o VPC Service Controls, leia a Visão Geral do VPC Service Controls.

Alguns serviços têm limitações de uso com o VPC Service Controls. Se encontrar problemas nos projetos depois de configurar os perímetros de serviço, leia Solução de problemas.

Configurar serviços acessíveis por VPC

Ao ativar os serviços acessíveis por VPC para um perímetro, o acesso de endpoints de rede dentro do seu perímetro é limitado a um conjunto de serviços que você especifica.

Para saber mais sobre como limitar o acesso dentro do perímetro a apenas um conjunto específico de serviços, consulte serviços acessíveis por VPC.

Configurar a conectividade particular de uma rede VPC

Para reforçar a segurança das redes VPC e dos hosts locais protegidos por um perímetro de serviço, recomendamos o uso do Acesso privado do Google. Para mais informações, consulte Conectividade particular em redes locais.

Para aprender a configurar a conectividade particular, leia Como configurar a conectividade particular com APIs e serviços do Google.

Restringir o acesso aos recursos do Google Cloud apenas a acesso particular a partir de redes VPC significa que será negado o acesso por meio de interfaces, como o Console do Cloud e o console do Cloud Monitoring. Você continua usando a ferramenta de linha de comando gcloud ou clientes de API de redes VPC que compartilham um perímetro de serviço ou ponte do perímetro com os recursos restritos.

Permitir acesso baseado no contexto de fora de um perímetro de serviço usando regras de entrada

É possível permitir o acesso baseado no contexto a recursos restritos por um perímetro com base nos atributos do cliente. Especifique atributos do cliente, como tipo de identidade (conta ou usuário), identidade, dados do dispositivo e origem da rede (endereço IP ou rede VPC).

Por exemplo, é possível configurar regras de entrada para permitir o acesso à Internet a recursos dentro de um perímetro com base no intervalo de endereços IPv4 e IPv6. Para mais informações sobre como usar regras de entrada para configurar o acesso baseado no contexto, consulte Acesso baseado no contexto.

Configurar a troca segura de dados usando regras de entrada e saída

Só é possível incluir seu projeto em um perímetro de serviço. Se você quiser permitir a comunicação através do limite do perímetro, configure regras de entrada e saída. Por exemplo, é possível especificar regras de entrada e saída para permitir que projetos de vários perímetros compartilhem registros em um perímetro separado. Para saber mais sobre casos de uso de troca de dados segura, leia troca de dados segura.