Service perimeter 詳細資料與設定

本頁面說明 service perimeter,並提供設定 perimeter 的高階步驟。

關於 service perimeter

本節詳細說明 service perimeter 的運作方式,以及強制執行與 dry run perimeter 之間的差異。

如要保護專案中的 Google Cloud 服務,並降低資料竊取風險,您可以在專案或虛擬私有雲網路層級指定 service perimeter。如要進一步瞭解 service perimeter 的優點,請參閱「VPC Service Controls 總覽」。

此外,可以使用「可透過虛擬私有雲存取的服務」功能,限制 perimeter 內部可存取的服務,例如 perimeter 內部託管的虛擬私有雲網路中的 VM。

您可以設定強制執行或模擬測試模式的 VPC Service Controls perimeter。強制執行和 dry run perimeter 都適用相同的設定步驟。差異在於,dry run perimeter 會記錄違規事項,就好像 perimeter 已強制執行一樣,但不會禁止存取受限制服務。

強制執行模式

強制執行模式為 service perimeter 的預設模式。強制執行 service perimeter 時,系統會拒絕違反 perimeter 政策的要求,例如從 perimeter 外部要求存取受限制的服務。

強制執行模式下的 perimeter 會為 perimeter 設定中受限制的服務強制執行 perimeter 邊界,以保護 Google Cloud 資源。除非符合 perimeter 必要輸入和輸出規則的條件,否則對受限制服務發出的 API 要求不會跨越 perimeter 邊界。Enforced perimeter 可防範資料竊取風險,例如遭竊的憑證、設定錯誤的權限,或是可存取專案的惡意內部人員。

模擬測試模式

在模擬測試模式下,系統不會拒絕違反 perimeter 政策的要求,只會記錄這些要求。「模擬測試 service perimeter」可用於測試 perimeter 設定,以及監控服務用量,不會禁止存取資源。以下為一些常見用途:

  • 判斷變更現有 service perimeter 的影響。

  • 新增全新 service perimeter 時預覽影響。

  • 監控來自 service perimeter 外部的受限制服務要求。例如,您可以找出特定服務的要求來源,或找出組織中非預期的服務使用情形。

  • 在開發環境中建立與正式環境類似的 perimeter 架構。您可以在將變更提交至正式環境之前,找出並解決 service perimeter 造成的任何問題。

詳情請參閱「模擬測試模式」。

Service perimeter 設定階段

如要設定 VPC Service Controls,可以使用 Google Cloud 控制台、gcloud 指令列工具Access Context Manager API

您可以按照下列高階步驟所述設定 VPC Service Controls:

  1. 建立存取權政策。

  2. 使用 service perimeter 保護 Google 代管資源。

  3. 設定可透過虛擬私有雲存取的服務,進一步限制 perimeter 內部服務的使用方式 (選用)。

  4. 透過虛擬私有雲網路設定私人連線 (選用)。

  5. 使用輸入規則,允許來自 service perimeter 外部的情境感知存取權 (選用)。

  6. 使用輸入和輸出規則設定安全資料交換 (選用)。

建立存取權政策

存取權政策會收集您為組織建立的 service perimeter 和存取層級。組織可為整個組織設定一項存取權政策,並為資料夾和專案設定多項範圍存取權政策。

您可以使用 Google Cloud 控制台、gcloud 指令列工具Access Context Manager API建立存取權政策

如要進一步瞭解 Access Context Manager 和存取權政策,請參閱「Access Context Manager 總覽」。

使用 service perimeter 保護 Google 代管資源

Service perimeter 的用途是保護組織專案所使用的服務。確定您要保護的專案和服務後,請建立一或多個 service perimeter

如要進一步瞭解 service perimeter 的運作方式,以及可使用 VPC Service Controls 保護的服務,請參閱「VPC Service Controls 總覽」。

部分服務與 VPC Service Controls 搭配使用時具有限制。如果您在設定 service perimeter 後發生專案相關問題,請參閱「疑難排解」。

設定可透過虛擬私有雲存取的服務

為 perimeter 啟用可透過虛擬私有雲存取的服務後,perimeter 內部網路端點的存取權會受到限制,只能存取您指定的一組服務。

如要進一步瞭解如何限制 perimeter 內部的存取權,只允許存取一組特定服務,請參閱「可透過虛擬私有雲存取的服務」。

透過虛擬私有雲網路設定私人連線

如要為 service perimeter 保護的虛擬私有雲網路和地端部署主機提供額外安全性,建議使用 Private Google Access。詳情請參閱「地端部署網路的私人連線」。

如要進一步瞭解如何設定私人連線,請參閱「設定連至 Google API 與服務的私人連線」。

將 Google Cloud 資源的存取權設為僅限透過虛擬私有雲網路進行私人存取,代表系統會拒絕使用 Google Cloud 控制台和 Cloud Monitoring 控制台等介面進行的存取操作。不過,您仍可繼續透過與受限制資源共用 service perimeter 或 perimeter bridge 的虛擬私有雲網路,使用 gcloud 指令列工具或 API 用戶端。

使用輸入規則,允許來自 service perimeter 外部的情境感知存取權

您可以根據用戶端屬性,對受 perimeter 限制的資源允許情境感知存取權。您可以指定用戶端屬性,例如身分類型 (服務帳戶或使用者)、身分、裝置資料和網路來源 (IP 位址或虛擬私有雲網路)。

例如,您可以根據 IPv4 和 IPv6 位址範圍設定輸入規則,允許透過網際網路存取 perimeter 內的資源。如要進一步瞭解如何使用輸入規則設定情境感知存取權,請參閱「情境感知存取權」。

使用輸入和輸出規則設定安全資料交換

專案只能納入一個 service perimeter。如要允許跨越 perimeter 邊界進行通訊,請設定輸入和輸出規則。例如,您可以指定輸入和輸出規則,讓多個 perimeter 的專案在獨立的 perimeter 中共用記錄檔。如要進一步瞭解安全資料交換用途,請參閱「安全資料交換」。