Questo documento descrive le architetture di deployment dei Controlli di servizio VPC consigliate. È destinato ad amministratori di rete, Security Architect e professionisti delle operazioni cloud che gestiscono e operano su deployment in produzione su vasta scala su Google Cloud e che vogliono mitigare il rischio di perdita di dati sensibili.
Poiché la protezione dei Controlli di servizio VPC influisce sul funzionamento dei servizi cloud, ti consigliamo di pianificare in anticipo l'attivazione di questo servizio e di tenerne conto durante la progettazione dell'architettura. È importante mantenere la progettazione dei Controlli di servizio VPC il più semplice possibile. Ti consigliamo di evitare progettazioni del perimetro che utilizzano più bridge, progetti di rete perimetrale o un perimetro DMZ e livelli di accesso complessi.
Utilizza un perimetro unificato comune
Un unico perimetro di grandi dimensioni, detto perimetro unificato comune, offre la protezione più efficace contro l'esfiltrazione di dati rispetto all'utilizzo di più perimetri segmentati.
Un perimetro unificato comune offre anche il vantaggio di un overhead di gestione inferiore per i team responsabili della creazione e della manutenzione del perimetro. Poiché i servizi e le risorse di rete all'interno di un perimetro possono comunicare liberamente con le autorizzazioni IAM e dei controlli di rete necessarie, i team responsabili della gestione del perimetro si occuperanno principalmente dell'accesso nord-sud, ovvero l'accesso da internet alle risorse all'interno del perimetro.
Quando un'organizzazione utilizza più perimetri di dimensioni più piccole, i team responsabili della gestione dei perimetri devono dedicare risorse alla gestione del traffico est-ovest tra i perimetri di un'organizzazione, oltre al traffico nord-sud proveniente dall'esterno dell'organizzazione. A seconda delle dimensioni dell'organizzazione e del numero di perimetri, questo overhead può essere notevole. Ti consigliamo di proteggere il tuo perimetro con controlli di sicurezza e best practice aggiuntivi, ad esempio assicurandoti che le risorse all'interno della rete VPC non abbiano un accesso diretto a internet.
I perimetri di servizio non devono sostituirsi ai controlli IAM né ridurne la necessità. Al momento di definire i controlli dell'accesso, assicurati che venga seguito il principio del privilegio minimo e che vengano applicate le best practice IAM.
Per saperne di più, consulta Crea un perimetro di servizio.
Utilizza più perimetri in un'unica organizzazione
Alcuni casi d'uso potrebbero richiedere che un'organizzazione abbia più perimetri. Ad esempio, un'organizzazione che gestisce dati sanitari potrebbe voler implementare un perimetro per i dati non offuscati e di massima affidabilità e un perimetro separato per i dati anonimizzati di livello inferiore, per facilitare la condivisione con entità esterne proteggendo al contempo i dati di massima affidabilità.
Se la tua organizzazione vuole rispettare standard come il PCI DSS, ti consigliamo di implementare un perimetro separato intorno ai tuoi dati regolamentati.
Se la condivisione dei dati è un caso d'uso primario per la tua organizzazione, valuta la possibilità di utilizzare più di un perimetro. Se produci e condividi dati di livello inferiore, come i dati sanitari dei pazienti anonimizzati, puoi utilizzare un perimetro separato per facilitare la condivisione con entità esterne. Per saperne di più, consulta i pattern di riferimento per lo scambio sicuro di dati.
Inoltre, se utilizzi la tua organizzazione Google Cloud per ospitare tenant indipendenti di terze parti, come partner o clienti, valuta la possibilità di definire un perimetro per ogni tenant. Se consideri il trasferimento di dati da uno di questi tenant a un altro come un'esfiltrazione, ti consigliamo di implementare un perimetro separato.
Progettazione del perimetro
Ti consigliamo di attivare tutti i servizi protetti quando crei un perimetro, in modo da ridurre la complessità operativa e minimizzare i possibili vettori di esfiltrazione. Poiché lasciare le API non protette aumenta i possibili vettori di esfiltrazione, è opportuno documentare con revisioni e giustificazioni l'eventuale scelta della tua organizzazione di proteggere un'API e non un'altra.
Tutti i nuovi progetti devono essere sottoposti alla procedura di revisione e qualificazione descritta nelle sezioni seguenti. Includi nel perimetro tutti i progetti che superano il test delle condizioni di qualifica.
Assicurati che non esista un percorso verso il VIP privato da nessuno dei VPC nel perimetro. Se consenti una route di rete a private.googleapis.com, annulli la protezione dei Controlli di servizio VPC dall'esfiltrazione di dati interna. Se devi consentire l'accesso a un servizio non supportato, prova a isolare l'utilizzo dei servizi non supportati in un progetto separato o a spostare l'intero workload all'esterno del perimetro.
Rivedi e qualifica i progetti
Un'azienda tipica ha molti progetti che rappresentano workload e costrutti di alto livello come piani di controllo, data lake, unità aziendali e fasi del ciclo di vita. Oltre a organizzare questi progetti e componenti in cartelle, ti consigliamo di qualificarli come interni o esterni al perimetro dei Controlli di servizio VPC. Per farlo, considera le seguenti domande:
Esiste un componente che ha una forte dipendenza da un servizio non supportato dai Controlli di servizio VPC?
L'applicazione dei Controlli di servizio VPC è univoca, pertanto questo tipo di dipendenza potrebbe non funzionare in un perimetro. Ti consigliamo di modificare il workload per isolare il requisito dei servizi non supportati in un progetto separato o di spostare il workload fuori dal perimetro.
Esiste un componente che non contiene dati sensibili e non utilizza dati sensibili di altri progetti?
Se hai risposto sì ad almeno una di queste domande, ti consigliamo di non inserire il progetto in un perimetro. Puoi ovviare a questo problema, come descritto nell'argomento Progettazione della lista consentita, tuttavia ti consigliamo di ridurre al minimo la complessità del perimetro.
Passaggi successivi
- Scopri come creare un perimetro di servizio.
- Scopri come testare l'impatto di un perimetro utilizzando la modalità dry run.
- Scopri le regole in entrata e in uscita che consentono la comunicazione tra i perimetri di servizio.