VPC Service Controls

隔离多租户 Google Cloud 服务的资源以降低数据渗漏风险。

免费试用
  • action/check_circle_24px 使用 Sketch 创建。

    通过隔离多租户服务降低数据渗漏风险

  • action/check_circle_24px 使用 Sketch 创建。

    确保只能从授权网络访问敏感数据

  • action/check_circle_24px 使用 Sketch 创建。

    限制只有经过允许的 IP 地址、身份和受信任的客户端设备可以访问资源

  • action/check_circle_24px 使用 Sketch 创建。

    控制从 VPC 网络可以访问哪些 Google Cloud 资源

优势

缓解数据渗漏风险

使用 VPC Service Controls 实施安全边界以隔离多租户 Google Cloud 服务的资源,从而降低数据渗漏或数据泄露的风险。

让数据留在 VPC 内,保证其私密性

配置跨云端和本地混合式部署的 VPC 网络中的云资源之间的私密通信。充分利用 Cloud StorageBigtableBigQuery 等全代管式工具。

提供独立的数据访问权限控制机制

VPC Service Controls 通过深度防御方式为多租户服务提供额外一层控制措施,帮助保护对服务的访问不受内外部威胁的危害。

主要特性

主要特性

大规模集中管理多租户服务访问权限

借助 VPC Service Controls,企业安全团队可以定义精细的边界控制措施,并跨众多 Google Cloud 服务和项目实施此类安全布置。用户可以灵活地在服务边界内创建、更新和删除资源,轻松地将其安全控制措施规模化。

身份和情境信息可帮助安全地访问多租户服务

借助 VPC Service Controls,您可以为云资源启用情境感知访问权限这种控制方法。企业可以根据用户身份和 IP 地址等特性在 Google Cloud 中制定精细的访问控制政策。这些政策有助于确保适当的安全控制措施能够在授予对云资源的互联网访问权限时落实到位。

为基于 API 的服务建立虚拟安全边界

用户可以为 Google Cloud 资源(例如 Cloud Storage 存储分区、Bigtable 实例和 BigQuery 数据集)建立安全边界,以便将数据限制在 VPC 内部并控制数据的流动。借助 VPC Service Controls,企业可以在充分利用 Google Cloud 的全代管式存储和数据处理功能的同时,保证其敏感数据的私密性。

查看所有特性

文档

文档

最佳做法
支持的产品和限制

浏览 VPC Service Controls 支持的产品和服务列表,以及特定服务和接口的已知限制列表。

最佳做法
服务边界详情和配置

全面了解服务边界,包括它们如何运行、如何对其进行配置以及正式实施的边界与试运行的边界之间的差异。

最佳做法
创建服务边界

了解如何创建服务边界,包括如何加入项目和保护服务。

最佳做法
设置通往 Google API 和服务的专用连接

了解如何通过 VPC Service Controls 控制对使用专用 IP 地址的主机上的 Google API 和服务的访问权限。

最佳做法
为 GKE 专用集群设置 Container Registry

介绍配置 DNS 条目的过程,以便将 Container Registry 与 Google Kubernetes Engine 专用集群和 VPC Service Controls 配合使用。

最佳做法
用于管理 VPC Service Controls 的 Cloud IAM 角色

介绍配置 VPC Service Controls 所需的 Cloud Identity and Access Management (Cloud IAM) 角色。

Google Cloud 基础知识
概念

查看 VPC Service Controls 的概览以及囊括方方面面的详细介绍(从服务边界配置到审核日志)。

架构
将数据从 Amazon S3 转移到 Cloud Storage

学习如何使用 Storage Transfer Service 借由 VPC Service Controls 边界对从 Amazon Simple Storage Service 到 Cloud Storage 的数据转移进行安全强化。

架构
利用 VM-Series 产品实现的安全威胁和数据失窃防范政策

使用虚拟机来布置基于应用的政策,通过对您允许的流量实施安全威胁和数据失窃防范政策来减少可能面临的威胁。

使用场景

使用场景

使用场景
减轻数据渗漏等威胁

利用 VPC Service Controls,客户可以应对诸多威胁,例如数据失窃、意外数据丢失,以及对存储在 Google Cloud 多租户服务中的数据的多余访问。它使客户端能够紧密控制哪些实体可以访问哪些服务,以便降低预料中与意外的损失。

使用场景
按信任级别隔离环境的各部分

VPC Service Controls 提供一种将多租户服务环境划分为多个部分并隔离服务和数据的方法。它能根据服务和身份对环境进行微细分。Service Controls 使客户端能够扩展其网络以包括多租户 Google Cloud 服务以及控制数据的入站和出站。

使用场景
保护对多租户服务的访问

VPC Service Controls 提供对多租户服务的零信任访问模式。客户端可以做出限制,仅将访问权限授予经过授权的 IP、客户端情境和设备参数,同时从互联网和其他服务连接多租户服务,例如 GKE、BigQuery 等。它使客户端能够保持其完整数据处理流水线的私密性。

所有特性

所有特性

服务涵盖范围 VPC SC 提供大量互联网到服务、服务到服务、VPC 到服务的访问控制措施。
丰富的安全日志 持续维护记录拒绝访问的日志,以便发现 Google Cloud 资源上的潜在恶意活动。流日志可采集有关进出 Compute Engine 网络接口的 IP 流量的信息。这些日志可帮助您近乎实时地发现问题。
混合环境支持 使用专用 Google 访问通道,为跨云端和本地混合部署的 VPC 网络中的云资源配置私密通信。
安全通信 通过全面控制哪些资源可以连接其他资源或外部资源,跨服务边界安全地共享数据。
情境感知访问权限 根据 IP 地址和用户身份等情境感知访问权限特性,控制互联网对 Google Cloud 服务的访问权限。
适用于代管式 Google Cloud 服务的边界安全机制 配置服务边界以控制虚拟机与代管式 Google Cloud 资源之间的通信。实施服务边界后,边界内部的资源之间可自由进行通信,而来自边界外部的所有服务通信都将被阻止。

价格

价格

使用 VPC Service Controls 无需另行付费。