VPC Service Controls
为您的云端资源、敏感数据和网络创建隔离边界,防止数据渗漏。
通过隔离多租户服务降低数据渗漏风险
确保只能从经过授权的网络访问敏感数据
限制只有经过允许的 IP 地址、身份和受信任的客户端设备可以访问资源
控制从 VPC 网络可以访问哪些 Google Cloud 资源
优势
缓解数据渗漏风险
使用 VPC Service Controls 实施安全边界以隔离多租户 Google Cloud 服务的资源,从而降低数据渗漏或数据泄露的风险。
让数据留在 VPC 内,保证其私密性
配置跨云端和本地混合式部署的 VPC 网络中的云资源之间的私密通信。充分利用 Cloud Storage、Bigtable 和 BigQuery 等全代管式工具。
提供独立的数据访问权限控制机制
VPC Service Controls 通过深度防御方式为多租户服务提供额外一层控制措施,帮助保护对服务的访问不受内外部威胁的危害。
主要特性
主要特性
大规模集中管理多租户服务访问权限
借助 VPC Service Controls,企业安全团队可以定义精细的边界控制措施,并跨众多 Google Cloud 服务和项目实施此类安全布置。用户可以灵活地在服务边界内创建、更新和删除资源,轻松地将其安全控制措施规模化。
身份和情境信息可帮助安全地访问多租户服务
借助 VPC Service Controls,您可以为云资源启用情境感知访问权限这种控制方法。企业可以根据用户身份和 IP 地址等特性在 Google Cloud 中制定精细的访问控制政策。这些政策有助于确保适当的安全控制措施能够在授予对云资源的互联网访问权限时落实到位。
为基于 API 的服务建立虚拟安全边界
用户可以为 Google Cloud 资源(例如 Cloud Storage 存储桶、Bigtable 实例和 BigQuery 数据集)建立安全边界,以便将数据限制在 VPC 内部并控制数据的流动。借助 VPC Service Controls,企业可以在充分利用 Google Cloud 的全托管式存储和数据处理功能的同时,保证其敏感数据的私密性。
文档
文档
设置通往 Google API 和服务的专用连接
为 GKE 专用集群设置 Container Registry
用于管理 VPC Service Controls 的 Cloud IAM 角色
将数据从 Amazon S3 转移到 Cloud Storage
没有看到您需要的内容?
使用场景
使用场景
减轻数据渗漏等威胁
利用 VPC Service Controls,客户可以应对诸多威胁,例如数据失窃、意外数据丢失,以及对存储在 Google Cloud 多租户服务中的数据的过度访问。它使客户端能够紧密控制哪些实体可以访问哪些服务,以便降低有意攻击造成的损失和意料之外的损失。
按信任级别隔离环境的各部分
VPC Service Controls 提供一种将多租户服务环境划分为多个部分并隔离服务和数据的方法。它能根据服务和身份对环境进行微细分。Service Controls 使客户端能够扩展其网络以包括多租户 Google Cloud 服务以及控制数据的入站和出站。
保护对多租户服务的访问
VPC Service Controls 提供对多租户服务的零信任访问模式。客户端可以实行限制,在从互联网和其他服务连接到多租户服务时,仅将访问权限授予经过授权的 IP、客户端情境和设备参数。例如 GKE 和 BigQuery。它使客户端能够保持其整个数据处理流水线的私密性。
所有特性
所有特性
| 服务涵盖范围 | VPC SC 提供大量互联网到服务、服务到服务、VPC 到服务的访问控制措施。 |
| 丰富的安全日志 | 持续维护包含拒绝访问记录的日志,以便发现 Google Cloud 资源上的潜在恶意活动。流日志可采集有关进出 Compute Engine 网络接口的 IP 流量的信息。这些日志可帮助您近乎实时地发现问题。 |
| 混合环境支持 | 使用专用 Google 访问通道,在跨云端和本地混合部署的 VPC 网络与云资源之间配置私密通信。 |
| 安全通信 | 通过全面控制哪些资源可以连接其他资源或外部资源,跨服务边界安全地共享数据。 |
| 情境感知访问权限 | 根据 IP 地址和用户身份等情境感知访问权限特性,控制互联网对 Google Cloud 服务的访问权限。 |
| 适用于代管式 Google Cloud 服务的边界安全机制 | 配置服务边界以控制虚拟机与代管式 Google Cloud 资源之间的通信。实施服务边界后,边界内部的资源之间可自由进行通信,而所有来自边界外部的服务通信都将被阻止。 |
价格
价格
使用 VPC Service Controls 无需另行付费。
