Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei Controlli di servizio VPC

Questo argomento fornisce una panoramica dei Controlli di servizio VPC e ne descrive i vantaggi e le funzionalità.

Chi dovrebbe utilizzare i Controlli di servizio VPC

La tua organizzazione potrebbe possedere proprietà intellettuale sotto forma di dati altamente sensibili oppure potrebbe gestire dati sensibili soggetti a ulteriori normative sulla protezione dei dati, come PCI DSS. La perdita o la divulgazione involontaria di dati sensibili può comportare conseguenze negative significative per l'attività.

Se esegui la migrazione da on-premise al cloud, uno dei tuoi obiettivi potrebbe essere replicare l'architettura di sicurezza basata sulla rete on-premise mentre sposti i tuoi dati su Google Cloud. Per proteggere i tuoi dati altamente sensibili, potresti voler assicurarti che le tue risorse siano accessibili solo da reti attendibili. Alcune organizzazioni potrebbero consentire l'accesso pubblico alle risorse a condizione che la richiesta provenga da una rete attendibile, che può essere identificata in base all'indirizzo IP della richiesta.

Per ridurre i rischi di esfiltrazione di dati, la tua organizzazione potrebbe anche voler garantire uno scambio di dati sicuro oltre i confini organizzativi con controlli granulari. In qualità di amministratore, potresti voler assicurarti di quanto segue:

I clienti con accesso con privilegi non hanno anche accesso alle risorse partner.
I clienti con accesso ai dati sensibili possono solo leggere i set di dati pubblici, ma non scriverci.

In che modo i Controlli di servizio VPC riducono i rischi di esfiltrazione di dati

I Controlli di servizio VPC contribuiscono a proteggere da azioni accidentali o mirate da parte di entità esterne o interne, il che contribuisce a ridurre al minimo i rischi diesfiltrazione di datii non autorizzata da servizi come Cloud Storage e BigQuery. Google Cloud Puoi utilizzare i Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi che specifichi in modo esplicito.

I Controlli di servizio VPC proteggono i tuoi Google Cloud servizi definendo i seguenti controlli:

I client all'interno di un perimetro che hanno accesso privato alle risorse non hanno accesso a risorse non autorizzate (potenzialmente pubbliche) al di fuori del perimetro.
I dati non possono essere copiati in risorse non autorizzate al di fuori del perimetro utilizzando operazioni di servizio come gcloud storage cp o bq mk.
Lo scambio di dati tra client e risorse separati da perimetri è protetto dall'utilizzo di regole per il traffico in entrata e in uscita.
L'accesso sensibile al contesto alle risorse si basa su attributi client, come tipo di identità (account di servizio o utente), identità, dati del dispositivo e origine di rete (indirizzo IP o rete VPC). Di seguito sono riportati alcuni esempi di accesso sensibile al contesto:
- I client esterni al perimetro che si trovano su Google Cloud o on-premise si trovano all'interno delle risorse VPC autorizzate e utilizzano l'accesso privato Google per accedere alle risorse all'interno di un perimetro.
- L'accesso a internet alle risorse all'interno di un perimetro è limitato a un intervallo di indirizzi IPv4 e IPv6.
Per ulteriori informazioni, vedi Accesso sensibile al contesto tramite regole per il traffico in entrata.

I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa della sicurezza per i serviziGoogle Cloud indipendente da Identity and Access Management (IAM). Mentre IAM consente un controllo degli accessi basato sull'identità granulare, i Controlli di servizio VPC consentono una sicurezza perimetrale basata sul contesto più ampia, incluso il controllo dell'uscita dei dati attraverso il perimetro. Ti consigliamo di utilizzare sia i Controlli di servizio VPC sia IAM per una difesa in profondità.

I Controlli di servizio VPC ti consentono di monitorare i pattern di accesso alle risorse nei perimetri di servizio utilizzando Cloud Audit Logs. Per maggiori informazioni, consulta Log di controllo dei Controlli di servizio VPC.

Vantaggi in termini di sicurezza dei Controlli di servizio VPC

I Controlli di servizio VPC contribuiscono a mitigare i seguenti rischi per la sicurezza senza sacrificare i vantaggi in termini di prestazioni dell'accesso privato diretto alle risorse Google Cloud:

Accesso da reti non autorizzate utilizzando credenziali rubate: consentendo l'accesso privato solo da reti VPC autorizzate, i Controlli di servizio VPC contribuiscono a proteggere dal rischio di esfiltrazione di dati presentato dai client che utilizzano credenziali OAuth o di account di servizio rubate.
Esfiltrazione di dati da parte di insider malintenzionati o codice compromesso: I Controlli di servizio VPC integrano i controlli di uscita di rete impedendo ai client all'interno di queste reti di accedere alle risorse dei servizi gestiti da Google al di fuori del perimetro.

I controlli di servizio VPC impediscono anche la lettura o la copia di dati da una risorsa esterna al perimetro. Controlli di servizio VPC impedisce operazioni di servizio come la copia di un comando gcloud storage cp in un bucket Cloud Storage pubblico o la copia di un comando bq mk in una tabella BigQuery esterna permanente.

Google Cloud fornisce anche un IP virtuale limitato integrato con i Controlli di servizio VPC. Il VIP con limitazioni consente inoltre di effettuare richieste ai servizi supportati dai Controlli di servizio VPC senza esporre queste richieste a internet.
Esposizione pubblica di dati privati causata da policy IAM configurate in modo errato: i controlli di servizio VPC forniscono un ulteriore livello di sicurezza negando l'accesso da reti non autorizzate, anche se i dati sono esposti da policy IAM configurate in modo errato.
Monitoraggio dell'accesso ai servizi: utilizza i Controlli di servizio VPC in modalità dry run per monitorare le richieste ai servizi protetti senza impedire l'accesso e per comprendere le richieste di traffico ai tuoi progetti. Puoi anche creare perimetri honeypot per identificare tentativi imprevisti o dannosi di sondare i servizi accessibili.

Puoi utilizzare una policy di accesso dell'organizzazione e configurare Controlli di servizio VPC per l'intera organizzazione Google Cloud oppure utilizzare policy con ambito e configurare Controlli di servizio VPC per una cartella o un progetto nell'organizzazione. Mantieni la flessibilità di elaborare, trasformare e copiare i dati all'interno del perimetro.

Per impostazione predefinita, le configurazioni di Controlli di servizio VPC vengono gestite a livello di organizzazione, ma è possibile utilizzare policy di accesso con ambito per cartelle o progetti per delegare l'amministrazione dei perimetri di servizio più in basso nella gerarchia delle risorse.

Controlli di servizio VPC e metadati

Controlli di servizio VPC non è progettato per applicare controlli completi allo spostamento dei metadati.

In questo contesto, i dati sono definiti come contenuti archiviati in una risorsa Google Cloud . Ad esempio, i contenuti di un oggetto Cloud Storage. I metadati sono definiti come gli attributi della risorsa o del relativo elemento principale. Ad esempio, i nomi dei bucket Cloud Storage.

L'obiettivo principale dei Controlli di servizio VPC è controllare lo spostamento dei dati, anziché dei metadati, all'interno di un perimetro di servizio tramite i servizi supportati. I Controlli di servizio VPC gestiscono anche l'accesso ai metadati, ma potrebbero verificarsi scenari in cui è possibile copiare e accedere ai metadati senza i controlli dei criteri Controlli di servizio VPC.

Ti consigliamo di utilizzare IAM, incluso l'uso di ruoli personalizzati, per garantire un controllo adeguato sull'accesso ai metadati.

Funzionalità

I Controlli di servizio VPC ti consentono di definire criteri di sicurezza che impediscono l'accesso ai servizi gestiti da Google al di fuori di un perimetro attendibile, bloccano l'accesso ai dati da località non attendibili e mitigano i rischi di esfiltrazione di dati.

Puoi utilizzare Controlli di servizio VPC per i seguenti casi d'uso:

Isola Google Cloud le risorse e le reti VPC nei perimetri di servizio
Estendi i perimetri alle reti on-premise utilizzando reti VPC di zone di destinazione VPN o Cloud Interconnect autorizzate.
Controllare l'accesso alle Google Cloud risorse da internet
Proteggi lo scambio di dati tra perimetri e organizzazioni utilizzando le regole per il traffico in entrata e in uscita
Consenti l'accesso sensibile al contesto alle risorse in base agli attributi client utilizzando le regole di ingresso

Isolare Google Cloud le risorse in perimetri di servizio

Un perimetro di servizio crea un confine di sicurezza attorno alle risorse Google Cloud. Un perimetro di servizio consente la libera comunicazione all'interno del perimetro, ma per impostazione predefinita blocca la comunicazione con i servizi al di fuori del perimetro. Google Cloud

Il perimetro funziona in modo specifico con i servizi gestiti. Google Cloud Il perimetro non blocca l'accesso a servizi o API di terze parti su internet.

Puoi configurare un perimetro per controllare i seguenti tipi di comunicazioni:

Da internet pubblico alle risorse del cliente all'interno dei servizi gestiti
Dalle macchine virtuali (VM) a un Google Cloud servizio (API)
Tra Google Cloud servizi

I controlli di servizio VPC non richiedono una rete Virtual Private Cloud (VPC). Per utilizzare i controlli di servizio VPC senza risorse in una rete VPC, puoi consentire il traffico da intervalli IP esterni o da determinati principali IAM. Per saperne di più, consulta la pagina Creare e gestire i livelli di accesso.

Ecco alcuni esempi di Controlli di servizio VPC che creano un confine di sicurezza:

Una VM all'interno di una rete VPC che fa parte di un perimetro di servizio può leggere o scrivere in un bucket Cloud Storage nello stesso perimetro. Tuttavia, Controlli di servizio VPC non consente alle VM all'interno delle reti VPC che si trovano al di fuori del perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro. Devi specificare una policy di ingresso per consentire alle VM all'interno delle reti VPC che si trovano al di fuori del perimetro di accedere ai bucket Cloud Storage che si trovano all'interno del perimetro.
Un progetto host che contiene più reti VPC ha un criterio perimetrale diverso per ogni rete VPC nel progetto host.
Un'operazione di copia tra due bucket Cloud Storage va a buon fine se entrambi i bucket si trovano nello stesso perimetro di servizio, ma se uno dei bucket si trova al di fuori del perimetro, l'operazione di copia non va a buon fine.
Controlli di servizio VPC non consente a una VM all'interno di una rete VPC che si trova all'interno di un perimetro di servizio di accedere ai bucket Cloud Storage che si trovano all'esterno del perimetro.

Il seguente diagramma mostra un perimetro di servizio che consente la comunicazione tra un progetto VPC e un bucket Cloud Storage all'interno del perimetro, ma blocca tutte le comunicazioni al di fuori del perimetro:

Estendi i perimetri a una VPN o a Cloud Interconnect autorizzati

Puoi configurare la comunicazione privata con le risorse Google Cloud dalle reti VPC che coprono gli ambienti ibridi con le estensioni on-premise dell'accesso privato Google. Per accedere privatamente alle risorseGoogle Cloud all'interno di un perimetro, la rete VPC che contiene la landing zone on-premise deve far parte del perimetro per le risorse nella rete on-premise.

Le VM con indirizzi IP privati in una rete VPC protetta da un perimetro di servizio non possono accedere alle risorse gestite al di fuori del perimetro di servizio. Se necessario, puoi continuare ad abilitare l'accesso ispezionato e controllato a tutte le API Google (ad esempio Gmail) su internet.

Il seguente diagramma mostra un perimetro di servizio che si estende agli ambienti ibridi con l'accesso privato Google:

Controllare l'accesso alle risorse Google Cloud da internet

L'accesso da internet alle risorse gestite all'interno di un perimetro di servizio è negato per impostazione predefinita. (Facoltativo) Puoi attivare l'accesso in base al contesto della richiesta. A questo scopo, puoi creare regole in entrata o livelli di accesso per consentire l'accesso in base a vari attributi, come l'indirizzo IP di origine, l'identità o il progetto Google Cloud di origine. Se le richieste effettuate da internet non soddisfano i criteri definiti nella regola di ingresso o nel livello di accesso, le richieste vengono rifiutate.

Per utilizzare la console Google Cloud per accedere alle risorse all'interno di un perimetro, devi configurare un livello di accesso che consenta l'accesso da uno o più intervalli IPv4 e IPv6 o a specifici account utente.

Il seguente diagramma mostra un perimetro di servizio che consente l'accesso da internet alle risorse protette in base ai livelli di accesso configurati, ad esempio l'indirizzo IP o il criterio del dispositivo:

Altri controlli per ridurre i rischi di esfiltrazione di dati

Condivisione limitata per i domini: puoi valutare la possibilità di configurare un criterio dell'organizzazione per limitare la condivisione delle risorse alle identità che appartengono a una risorsa dell'organizzazione specifica. Per ulteriori informazioni, vedi Limitazione delle identità per dominio.
Accesso uniforme a livello di bucket: per controllare in modo uniforme l'accesso ai bucket Cloud Storage, valuta la possibilità di configurare le autorizzazioni IAM a livello di bucket. L'utilizzo dell'accesso uniforme a livello di bucket consente di utilizzare altre Google Cloud funzionalità di sicurezza come la condivisione con limitazioni del dominio, la federazione delle identità per la forza lavoro e le condizioni IAM.
Autenticazione a più fattori: ti consigliamo di utilizzare l'autenticazione a più fattori per accedere alle tue Google Cloud risorse.
Scansioni post-deployment: puoi prendere in considerazione l'utilizzo dei seguenti strumenti di scansione post-deployment per cercare bucket Cloud Storage aperti:
1. Security Command Center
2. Cloud Asset Inventory per cercare la cronologia dei metadati degli asset e analizzare il criterio IAM per capire chi ha accesso a cosa.
3. Strumenti di terze parti come Palo Alto PrismaCloud
Anonimizzazione dei dati sensibili: puoi prendere in considerazione l'utilizzo di Sensitive Data Protection per rilevare, classificare e anonimizzare i dati sensibili all'interno e all'esterno di Google Cloud. L'anonimizzazione dei dati sensibili può essere eseguita tramite oscuramento, tokenizzazione o crittografia.
Automazione tramite strumenti di infrastruttura come codice: ti consigliamo di eseguire il deployment dei bucket Cloud Storage utilizzando uno strumento di automazione per controllare l'accesso ai bucket. Sottoponi l'infrastruttura come codice a revisioni umane o automatiche prima del deployment.

Servizi non supportati

Per ulteriori informazioni sui prodotti e servizi supportati dai Controlli di servizio VPC, consulta la pagina Prodotti supportati.

Avviso:anche se potrebbe essere possibile consentire ai servizi non supportati di accedere ai dati di prodotti e servizi supportati, ti consigliamo di non farlo. Potrebbero verificarsi problemi imprevisti quando si tenta di accedere a un servizio supportato utilizzando un servizio non supportato, soprattutto all'interno dello stesso progetto.

I servizi non supportati potrebbero non funzionare affatto se abilitati in un progetto protetto da Controlli di servizio VPC, soprattutto quando i servizi di archiviazione di basso livello come Cloud Storage o Pub/Sub sono limitati. Ti consigliamo di eseguire il deployment dei servizi non supportati in progetti al di fuori dei perimetri. Per consentire a questi servizi di accedere ai dati nelle risorse all'interno di un perimetro, crea un livello di accesso che includa il account di servizio per quel servizio e applicalo ai perimetri in base alle esigenze.

Il tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud o l'API Access Context Manager genererà un errore.

L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC. Inoltre, il VIP con limitazioni può essere utilizzato per bloccare la possibilità dei carichi di lavoro di chiamare servizi non supportati.

Limitazioni note

Esistono alcune limitazioni note relative a determinati servizi, prodotti e interfacce quando utilizzi Controlli di servizio VPC. Google Cloud Ad esempio, Controlli di servizio VPC non supporta tutti i Google Cloud servizi. Pertanto, non attivare i servizi Google Cloud non supportati nel perimetro. Per ulteriori informazioni, consulta l'elenco dei prodotti supportati dai Controlli di servizio VPC. Se devi utilizzare un servizio non supportato da Controlli di servizio VPC, attivalo in un progetto al di fuori del perimetro.

Ti consigliamo di esaminare le limitazioni note prima di includere i serviziGoogle Cloud nel perimetro. Per ulteriori informazioni, consulta le limitazioni del servizio Controlli di servizio VPC.

Glossario

In questo argomento hai scoperto diversi nuovi concetti introdotti dai Controlli di servizio VPC:

Controlli di servizio VPC: Tecnologia che ti consente di definire un perimetro di servizio intorno alle risorse dei servizi gestiti da Google per controllare le comunicazioni con quei servizi.
perimetro di servizio: Un perimetro di servizio intorno alle risorse gestite da Google. Consente la libera comunicazione all'interno del perimetro, ma per impostazione predefinita blocca tutte le comunicazioni al di fuori del perimetro.
regola in entrata: Una regola che consente a un client API esterno al perimetro di accedere alle risorse all'interno di un perimetro. Per maggiori informazioni, vedi Regole di ingresso e di uscita.
regola in uscita: Una regola che consente a un client API o a una risorsa all'interno del perimetro di accedere Google Cloud alle risorse all'esterno del perimetro. Il perimetro non blocca l'accesso a servizi o API di terze parti su internet.

bridge del perimetro di servizio: Un bridge del perimetro consente ai progetti in perimetri di servizio diversi di comunicare. I bridge di perimetro sono bidirezionali e consentono ai progetti di ogni perimetro di servizio di accedere in modo equo nell'ambito del bridge.

Nota: anziché utilizzare un bridge del perimetro, ti consigliamo di utilizzare regole di ingresso e di uscita che forniscono controlli più granulari.
Gestore contesto accesso: Un servizio di classificazione delle richieste sensibile al contesto che può mappare una richiesta a un livello di accesso in base agli attributi specificati del client, ad esempio l'indirizzo IP di origine. Per saperne di più, vedi Panoramica di Gestore contesto accesso.
livello di accesso: Una classificazione delle richieste su internet in base a diversi attributi, come intervallo IP di origine, dispositivo client, geolocalizzazione e altri. Come una regola in entrata, puoi utilizzare un livello di accesso per configurare un perimetro di servizio per concedere l'accesso da internet in base al livello di accesso associato a una richiesta. Puoi creare un livello di accesso utilizzando Gestore contesto accesso.
policy di accesso: Un oggetto risorsa Google Cloud che definisce i perimetri di servizio. Puoi creare criteri di accesso con ambito limitato a cartelle o progetti specifici insieme a un criterio di accesso che può essere applicato all'intera organizzazione. Un'organizzazione può avere una sola norma di accesso a livello di organizzazione.
norma con ambito: Un criterio con ambito è un criterio di accesso limitato a cartelle o progetti specifici, oltre a un criterio di accesso che si applica all'intera organizzazione. Per saperne di più, consulta la panoramica delle policy con ambito.
VIP con limitazioni: Il VIP con accesso limitato fornisce un percorso di rete privato per i prodotti e le API supportati dai controlli di servizio VPC per rendere inaccessibili da internet i dati e le risorse utilizzati da questi prodotti. restricted.googleapis.com risolve in 199.36.153.4/30. Questo intervallo di indirizzi IP non viene annunciato su internet.

Passaggi successivi

Scopri di più sulla configurazione del perimetro di servizio.
Scopri come gestire le reti VPC nei perimetri di servizio
Esamina le limitazioni note dei servizi.