這份文件說明建議的 VPC Service Controls 部署架構,適用於負責在 Google Cloud 上執行及運作大規模正式版部署作業,且希望降低機密資料遺失風險的網路管理員、安全架構師和雲端營運專業人員。
由於 VPC Service Controls 保護機制會影響雲端服務功能,建議您事先規劃啟用 VPC Service Controls,並在架構設計期間考量 VPC Service Controls。請務必盡可能簡化 VPC Service Controls 設計。建議您避免使用多個 bridge、perimeter 網路專案或 DMZ perimeter,而且存取層級複雜的 perimeter 設計。
使用常見的統一 perimeter
相較於使用多個區隔的 perimeter,單一大型 perimeter (稱為「常見的統一 perimeter」) 可提供最有效的資料竊取防護。
此外,常見的統一 perimeter 可為負責建立及維護 perimeter 的團隊降低管理負擔。由於 perimeter 內的服務和網路資源可自由通訊,且具備必要的 IAM 和網路控制項權限,因此負責管理 perimeter 的團隊主要會關注南北向存取,也就是從網際網路存取 perimeter 內資源的行為。
如果組織使用多個較小的 perimeter,perimeter 管理團隊除了要管理來自組織外部的南北向流量,還必須投入資源管理組織 perimeter 之間的東西向流量。視組織規模和 perimeter 數量而定,這項額外負擔可能相當可觀。建議您在 perimeter 中加入額外的安全控管措施和最佳做法,例如確保虛擬私有雲網路中的資源沒有直接網際網路輸出。
service perimeter 並非用來取代或減少 IAM 控制項的需求。定義存取控管時,建議您確保遵循最小權限原則,並套用 IAM 最佳做法。
詳情請參閱「建立 service perimeter」。
在單一組織中使用多個 perimeter
某些用途可能需要為組織建立多個 perimeter。舉例來說,處理醫療照護資料的組織可能需要一個用於高信任度、非模糊化資料的 perimeter,以及另一個用於低層級去識別化資料的 perimeter,以便與外部實體共用資料,同時保護高信任度資料。
如果貴組織想遵守 PCI DSS 等標準,可能需要為受監管資料建立個別的 perimeter。
如果貴組織的主要用途是資料共用,建議使用多個 perimeter。如果您製作及共用的資料屬於較低層級 (例如去識別化的病患健康資料),可以使用獨立的 perimeter,以便與外部實體共用。詳情請參閱安全資料交換的參考模式。
此外,如果您使用 Google Cloud 組織託管獨立的第三方租戶 (例如合作夥伴或客戶),請考慮為每個租戶定義 perimeter。如果您認為從這些租戶之一將資料移至另一個租戶屬於竊取行為,建議您實作獨立的 perimeter。
perimeter 設計
建議您在建立 perimeter 時啟用所有受保護的服務,這有助於降低作業複雜度,並盡量減少潛在的竊取向量。由於未受保護的 API 會增加可能的資料竊取向量,如果貴組織選擇保護某個 API 而不是另一個,就應進行審查並提出正當理由。
所有新專案都應通過以下章節所述的審查和資格程序。請將所有符合資格條件的專案納入 perimeter。
確認 perimeter 中任何虛擬私有雲都沒有連往私人 VIP 的路徑。如果您允許網路連往 private.googleapis.com,VPC Service Controls 就無法防範內部人員竊取資料。如果必須允許存取不支援的服務,請嘗試將不支援的服務使用作業隔離到個別專案,或將整個工作負載移出 perimeter。
查看及評估專案
一般企業有許多專案,代表工作負載和高階建構,例如控制層、資料湖泊、業務單位和生命週期階段。除了將這些專案和元件整理到資料夾以外,我們建議您將這些專案和元件移入或移出 VPC Service Controls perimeter。如要進行資格評估,請考慮以下問題:
是否有某個元件硬性依附於 VPC Service Controls 不支援的服務?
VPC Service Controls 的強制執行方式明確,因此這類依附元件可能無法在 perimeter 內運作。建議您修改工作負載,將不支援服務的需求隔離到個別專案,或將工作負載完全移出 perimeter。
是否有不含機密資料,且不會取用其他專案機密資料的元件?
如果上述任何問題的答案為「是」,建議您不要將專案納入 perimeter。如要解決這個問題,請參閱「許可清單設計」主題。不過,我們建議您盡量簡化 perimeter。
後續步驟
- 瞭解如何建立 service perimeter。
- 瞭解如何使用模擬測試模式測試 perimeter 帶來的影響。
- 瞭解可讓 service perimeter 之間通訊的輸入和輸出規則。