הגדרת VPC Service Controls עבור Integration Connectors

בעזרת VPC Service Controls אפשר להגדיר מתחם אבטחה היקפית מסביב לשירות Google Cloud של Integration Connectors. בעזרת מתחם האבטחה ההיקפית מסביב לשירות, תוכלו להגביל את הנתונים בתוך מתחם היקפי של VPC Service Controls ולצמצם את הסיכונים לזליגת נתונים. אם אתם לא מכירים את VPC Service Controls, מומלץ לעיין במידע הבא:

במאמר הזה מוסבר איך להגביל את הגישה לשירות Integration Connectors‏ (connectors.googleapis.com) באמצעות היקף הגישה של VPC Service Controls. אחרי שמגדירים את גבולות הגזרה, אפשר להגדיר מדיניות שקובעת לאילו שירותים או משתמשים אחרים ב-Google Cloud תהיה גישה לשירות connectors.googleapis.com.

לתשומת ליבכם

  • אם החיבור הוא למשאב ב-Google Cloud, צריך לוודא שאפשר לגשת למשאב הזה מתוך המתחם ההיקפי של VPC Service Controls.
  • אם יש לכם חיבורים קיימים לנקודת קצה ציבורית, לפני שמגדירים את גבולות הגזרה של VPC Service Controls, צריך לוודא שהחיבורים האלה משתמשים ב-PSC (Private Service Connect) כדי לחבר את מערכות הבק-אנד. בלי צירוף ה-PSC, חיבורים קיימים לנקודת קצה ציבורית ייכשלו אחרי שתגדירו את גבולות הגזרה של VPC Service Controls.
  • אם החיבור מתחבר למשאב שאינו ב-Google Cloud, היעד של החיבור צריך להיות קובץ מצורף של PSC. חיבורים שנוצרו בלי קובץ ה-PSC המצורף ייכשלו.
  • אם אתם מגדירים גבולות גזרה של VPC Service Controls לפרויקט בענן שלכם ב-Google Cloud, אתם צריכים להפעיל קישוריות פרטית למינויים לאירועים כדי להשתמש בתכונה 'מינוי לאירועים' בפרויקט.

לפני שמתחילים

חשוב לוודא שיש לכם את ההרשאות הנדרשות להגדרת גבולות גזרה לשירות ב-VPC Service Controls. כדי לראות רשימה של תפקידי IAM שנדרשים להגדרת VPC Service Controls, אפשר לעיין במאמר בנושא בקרת גישה באמצעות IAM במסמכי התיעוד של VPC Service Controls.

יצירה של service perimeter ב-VPC Service Controls

כדי ליצור גבול גזרה של VPC Service Controls, אפשר להשתמש בפקודה Google Cloud console או בפקודה gcloud, או ב-API‏ accessPolicies.servicePerimeters.create. מידע נוסף זמין במאמר יצירת גבולות גזרה לשירות.

בשלבים הבאים מוסבר איך ליצור גבול גזרה של VPC Service Controls עם גישת משתמשים מופעלת באמצעות פקודות gcloud.

  1. יוצרים קובץ access.yaml עם הפרטים של המשתמש שמורשה לגשת להיקף. לדוגמה: 
    - members:
    - user:USER_EMAIL
  2. כדי לקבל את מזהה מדיניות הגישה של הארגון, משתמשים בפקודה הבאה:
    3. gcloud access-context-manager policies list --organization=ORGANIZATION_ID

    הפקודה הזו מציגה רשימה של כל כללי המדיניות של הארגון. ברשימה, בוחרים את המדיניות שרוצים ליצור עבורה את גבולות הגזרה של VPC Service Controls.

    אפשר לראות את מזהה המשאב של הארגון באמצעות מסוף Google Cloud. מידע נוסף זמין במאמר קבלת מזהה משאב הארגון.

  3. יוצרים רמת גישה למשתמש. 
    gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
--title "CUSTOM_TITLE" \
--basic-level-spec access.yaml \
--policy=POLICY_ID

    בפקודה הזו, POLICY_ID הוא הערך שקיבלתם בשלב הקודם.

  4. בהגדרות הכלליות של הפרויקט ב-Google Cloud, מגדירים את הערך של המאפיין vpcsc ל-true. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": true}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    הפקודה הזו מחזירה מזהה פעולה ומתחילה פעולה ממושכת (LRO) שעשויה להימשך זמן מה. ממתינים לסיום ה-LRO. אפשר לעקוב אחרי התקדמות הפעולה באמצעות הפקודה הבאה:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  5. יוצרים את גבולות הגזרה של VPC Service Controls ומעניקים למשתמש גישה. 
    gcloud access-context-manager perimeters create PERIMETER_NAME \
--title="PERIMETER_TITLE" \
--resources=projects/PROJECT_ID \
--restricted-services=connectors.googleapis.com \
--access_levels=ACCESS_LEVEL_NAME

    השלמת הפקודה הזו נמשכת זמן מה, ובמהלכה אפשר להריץ משימות אחרות במסוף חדש.

    אם רוצים לעדכן את רמת הגישה ולהוסיף את שירות connectors.googleapis.com להיקף קיים, מריצים את הפקודה הבאה: 
    gcloud access-context-manager perimeters update PERIMETER_NAME \
--add-restricted-services="connectors.googleapis.com" \
--add-access-levels=ACCESS_LEVEL_NAME \
--policy=POLICY_ID

אימות ההיקף

כדי לאמת את גבולות הגזרה, משתמשים בפקודה gcloud access-context-manager perimeters describe PERIMETER_NAME. לדוגמה:

gcloud access-context-manager perimeters describe PERIMETER_NAME

מידע נוסף מופיע במאמר בנושא ניהול גבולות גזרה לשירות.

הסרת פרויקט מגבולות הגזרה של VPC Service Controls

כדי להסיר את הפרויקט שלכם ב-Google Cloud מהמתחם ההיקפי של VPC Service Controls, מבצעים את השלבים הבאים:

  1. בהגדרות הכלליות של הפרויקט ב-Google Cloud, מגדירים את הערך של המאפיין vpcsc ל-false. 
    curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": false}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

    הפקודה הזו מחזירה מזהה פעולה ומתחילה פעולה ממושכת (LRO) שעשויה להימשך זמן מה. ממתינים לסיום ה-LRO. אפשר לעקוב אחרי התקדמות הפעולה באמצעות הפקודה הבאה:

    curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
  2. מסירים את הפרויקט מההיקף של VPC Service Controls. 
    gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

המאמרים הבאים

איך VPC Service Controls מגן על הנתונים שלכם