‫VPC Service Controls עם Knowledge Catalog

המסמך הזה מיועד לאדמינים של אבטחה ולמהנדסי נתונים שצריכים לאבטח את השירותים של Knowledge Catalog (לשעבר Dataplex Universal Catalog). במאמר מוסבר איך להשתמש ב-VPC Service Controls כדי ליצור גבולות גזרה לשירות שמגנים על המשאבים של Knowledge Catalog ומצמצמים את הסיכונים לזליגת נתונים. מידע נוסף זמין במאמר סקירה כללית על VPC Service Controls.

תכונות נתמכות

כשמאבטחים את Knowledge Catalog באמצעות גבולות גזרה לשירות, התכונות הבאות נתמכות:

  • אגמים: אפשר ליצור ולנהל אגמים של Knowledge Catalog בתוך גבולות הגזרה.

  • נכסים: אתם יכולים לנהל נכסים בתוך גבולות הגזרה.

  • משאבי מטא-נתונים ב-Catalog: אתם יכולים לנהל משאבי מטא-נתונים בתוך ההיקף.

  • ייצוא מטא-נתונים: אפשר לייצא מטא-נתונים ל-Dataproc Metastore, אבל צריך להגדיר עוד הגדרות של VPC Service Controls. מידע נוסף זמין במאמר VPC Service Controls.

  • תובנות מנתונים: אתם יכולים להריץ סריקות של פרופיל נתונים, איכות נתונים ותובנות מטא-נתונים.

  • שושלת נתונים: אפשר לעקוב אחרי שושלת הנתונים באמצעות כתובת IP וירטואלית (VIP) מוגבלת.

  • חיפוש ב-Knowledge Catalog: אפשר להשתמש ב-SearchEntries API. כשמשתמשים בחיפוש ב-Knowledge Catalog בפרויקט שמוגן על ידי גבולות גזרה לשירות, תוצאות החיפוש כוללות רק משאבים שנמצאים באותו גבול גזרה. מידע נוסף זמין במאמרים בנושא היקף החיפוש ובידוד תוצאות החיפוש לפי סביבה באמצעות VPC Service Controls.

  • מוצרי נתונים (גרסת Preview): אתם יכולים להשתמש ב-VPC Service Controls כדי לאבטח מוצרי נתונים, ולוודא שהתקשורת בין מוצר הנתונים, נכסי הנתונים שמרכיבים אותו (כמו טבלאות BigQuery) והמשתמשים תישאר בגבולות המורשים. מידע נוסף זמין במאמר בנושא שימוש ב-VPC Service Controls עם מוצרי נתונים.

חיפוש ב-Knowledge Catalog ו-VPC Service Controls

כשמשתמשים בחיפוש ב-Knowledge Catalog בפרויקט שמוגן על ידי גבולות גזרה לשירות, תוצאות החיפוש כוללות רק משאבים ששייכים לאותו פרויקט שבו מתבצע החיפוש.

כדי לכלול משאבים מפרויקטים אחרים שנמצאים באותו גבולות גזרה לשירות, צריך להגדיר כללי תעבורת נתונים יוצאת (egress) של VPC Service Controls עבור פרויקט המתקשר של Knowledge Catalog. מידע נוסף מופיע במאמר בנושא הגדרת מדיניות כניסה ויציאה. הכללים האלה מאפשרים לתוצאות החיפוש לחצות את הגבולות של הפרויקטים בתוך ההיקף.

בדוגמה הבאה מוצגת הגדרה של מדיניות יציאה שמאפשרת לכלול בתוצאות החיפוש משאבי BigQuery מ-project A כשמבצעים את החיפוש מ-project B:

egressPolicies:
-   egressFrom:
    identityType: ANY_USER_ACCOUNT
  egressTo:
    operations:
    -   serviceName: bigquery.googleapis.com
      methodSelectors:
      -   method: '*'
    resources:
    -   projects/projectA

כשמבצעים חיפוש ב-Knowledge Catalog ב-project B,‏ Knowledge Catalog קורא ל-BigQuery API כדי לאתר נכסים ב-project A. המדיניות הזו מאפשרת באופן מפורש לכל חשבון משתמש ב-project B לבצע קריאות ל-BigQuery API מול project A, וכך נכסי BigQuery מ-project A יכולים להופיע בתוצאות החיפוש של Knowledge Catalog.

מגבלות

אפשר ליצור משאבים ב-Knowledge Catalog לפני שמגדירים את היקף האבטחה של VPC Service Controls, אבל המשאבים האלה לא יהיו מוגנים על ידי גבולות הגזרה.

כברירת מחדל, VPC Service Controls מונע ממשאבים בתוך גבולות גזרה לשירות לגשת לנתונים ולשירותים מחוץ לגבולות הגזרה האלה. לדוגמה, אי אפשר לגשת למקורות נתונים כמו טבלאות BigQuery או קבצים ב-Cloud Storage שנמצאים מחוץ לגבולות גזרה לשירות, באמצעות פרופיל נתונים וסריקות של איכות נתונים ב-Knowledge Catalog. באופן דומה, כשמייצאים תוצאות של סריקת נתונים, טבלת היעד ב-BigQuery צריכה להיות בפרויקט שמוגן על ידי ההיקף. במאמר יצירת רמת גישה מוסבר איך מעניקים גישה למשאבים המוגנים מחוץ לגבולות גזרה.

הגדרה של VPC Service Controls

כדי להגן על משאבים ב-Knowledge Catalog באמצעות VPC Service Controls, מבצעים את השלבים הבאים:

  1. הגדרת רשת ה-VPC.
  2. יצירת גבולות גזרה לשירות
  3. הוספת פרויקטים לגבולות גזרה
  4. הוספת Dataplex API לגבולות גזרה לשירות
  5. אופציונלי: יצירת רמת גישה.

הגדרת רשת הענן הווירטואלי הפרטי (VPC)

אפשר להגדיר את רשת ה-VPC כך שתגביל את הגישה הפרטית ל-Google ביחס לגבולות גזרה לשירות. כך תוכלו להבטיח שהמארחים ב-VPC או ברשת המקומית יוכלו לתקשר רק עם Google APIs ושירותים של Google שנתמכים על ידי VPC Service Controls, באופן שתואם למדיניות של גבולות הגזרה המשויכים.

למידע נוסף, תוכלו לקרוא את המאמר הגדרת קישוריות פרטית לממשקי API ולשירותים של Google.

יצירה של גבולות גזרה לשירות

כשיוצרים גבולות גזרה לשירות, בוחרים את הפרויקטים של Knowledge Catalog שרוצים שגבולות הגזרה לשירות של VPC Service Controls יגנו עליהם.

כדי ליצור גבולות גזרה לשירות, פועלים לפי ההוראות במאמר יצירת גבולות גזרה לשירות.

הוספת פרויקטים נוספים ל-service perimeter

כדי להוסיף פרויקטים קיימים של Knowledge Catalog לגבולות גזרה לשירות, פועלים לפי ההוראות במאמר בנושא עדכון גבולות גזרה לשירות.

הוספת Dataplex API לגבולות גזרה לשירות

כדי לצמצם את הסיכון להעברת נתונים מ-Knowledge Catalog, למשל באמצעות שיטות של Dataplex API, צריך להגביל את Dataplex API.

כדי להוסיף את Dataplex API כשירות מוגבל, פועלים לפי השלבים הבאים:

המסוף

  1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

    מעבר אל VPC Service Controls

  2. בדף VPC Service Controls (אמצעי בקרה של שירות VPC), בטבלה, לוחצים על השם של גבולות גזרה לשירות שרוצים לשנות.

  3. לוחצים על עריכת ההיקף.

  4. בדף עריכת היקף השירות, לוחצים על הוספת שירותים.

  5. מוסיפים את Dataplex API.

  6. לוחצים על Save.

gcloud

  • משתמשים בפקודה gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=dataplex.googleapis.com
    

    מחליפים את מה שכתוב בשדות הבאים:

    • PERIMETER_ID: המזהה של ההיקף או המזהה המלא של ההיקף
    • POLICY_ID: המזהה של מדיניות הגישה

אופציונלי: יצירת רמת גישה

כדי לאפשר גישה חיצונית למשאבים מוגנים בתוך היקף, אפשר להשתמש ברמות גישה. רמות הגישה חלות רק על בקשות למשאבים מוגנים שמגיעות מחוץ לגבולות גזרה לשירות. אי אפשר להשתמש ברמות גישה כדי לתת למשאבים מוגנים הרשאה לגשת לנתונים ולשירותים מחוץ לגבולות הגזרה.

מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ להיקף.

המאמרים הבאים