Detail dan konfigurasi perimeter layanan

Halaman ini menjelaskan perimeter layanan dan mencakup langkah tingkat tinggi untuk mengonfigurasi perimeter.

Tentang perimeter layanan

Bagian ini memberikan detail tentang cara kerja perimeter layanan, dan perbedaan antara perimeter uji coba dan perimeter diterapkan.

Untuk melindungi Google Cloud layanan dalam project Anda dan mengurangi risiko pemindahan data yang tidak sah, Anda dapat menentukan perimeter layanan di tingkat project atau Jaringan VPC. Untuk mengetahui informasi selengkapnya tentang manfaat perimeter layanan, lihat Ringkasan Kontrol Layanan VPC.

Selain itu, layanan yang dapat diakses di dalam perimeter, seperti dari VM di Jaringan VPC yang dihosting di dalam perimeter, dapat dibatasi menggunakan fitur layanan yang dapat diakses VPC.

Anda dapat mengonfigurasi perimeter Kontrol Layanan VPC dalam mode diterapkan atau mode uji coba. Langkah konfigurasi yang sama berlaku untuk perimeter uji coba dan perimeter diterapkan. Perbedaannya adalah perimeter uji coba mencatat pelanggaran seolah-olah perimeter tersebut diterapkan, tetapi tidak mencegah akses ke layanan yang dibatasi.

Mode diterapkan

Mode diterapkan adalah mode default untuk perimeter layanan. Saat perimeter layanan diterapkan, permintaan yang melanggar kebijakan perimeter, seperti permintaan ke layanan yang dibatasi dari luar perimeter, akan ditolak.

Perimeter dalam mode diterapkan melindungi Google Cloud resource dengan menerapkan batas perimeter untuk layanan yang dibatasi dalam konfigurasi perimeter. Permintaan API ke layanan yang dibatasi tidak melewati batas perimeter kecuali jika kondisi aturan ingress dan egress yang diperlukan dari perimeter terpenuhi. Perimeter diterapkan melindungi dari risiko pemindahan data yang tidak sah, seperti kredensial yang dicuri, izin yang salah dikonfigurasi, atau orang dalam berniat jahat yang memiliki akses ke project.

Mode uji coba

Dalam mode uji coba, permintaan yang melanggar kebijakan perimeter tidak ditolak, tetapi hanya dicatat dalam log. Perimeter layanan uji coba digunakan untuk menguji konfigurasi perimeter dan memantau penggunaan layanan tanpa mencegah akses ke resource. Berikut adalah beberapa kasus penggunaan umum:

  • Menentukan dampak saat Anda mengubah perimeter layanan yang ada.

  • Melihat pratinjau dampak saat Anda menambahkan perimeter layanan baru.

  • Memantau permintaan ke layanan yang dibatasi yang berasal dari luar perimeter layanan. Misalnya, untuk mengidentifikasi dari mana permintaan ke layanan tertentu berasal atau untuk mengidentifikasi penggunaan layanan yang tidak terduga di organisasi Anda.

  • Membuat arsitektur perimeter di lingkungan pengembangan yang analog dengan lingkungan produksi Anda. Anda dapat mengidentifikasi dan mengatasi masalah yang disebabkan oleh perimeter layanan sebelum mengirimkan perubahan ke lingkungan produksi.

Untuk mengetahui informasi selengkapnya, lihat Mode uji coba.

Tahapan konfigurasi perimeter layanan

Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan konsol Google Cloud , alat command line gcloud, dan Access Context Manager API.

Anda dapat mengonfigurasi Kontrol Layanan VPC seperti yang dijelaskan dalam langkah tingkat tinggi berikut:

  1. Buat kebijakan akses.

  2. Amankan resource yang dikelola Google dengan perimeter layanan.

  3. Siapkan layanan yang dapat diakses VPC untuk menambahkan batasan tambahan pada cara layanan dapat digunakan di dalam perimeter Anda (opsional).

  4. Siapkan konektivitas pribadi dari Jaringan VPC (opsional).

  5. Izinkan akses kontekstual dari luar perimeter layanan menggunakan aturan ingress (opsional).

  6. Konfigurasi pertukaran data yang aman menggunakan aturan ingress dan egress (opsional).

Membuat kebijakan akses

Kebijakan akses mengumpulkan perimeter layanan dan tingkat akses yang Anda buat untuk organisasi Anda. Organisasi dapat memiliki satu kebijakan akses untuk seluruh organisasi dan beberapa kebijakan akses yang tercakup untuk folder dan project.

Anda dapat menggunakan Google Cloud konsol, alat command line gcloud, atau Access Context Manager API untuk membuat kebijakan akses.

Untuk mempelajari Access Context Manager dan kebijakan akses lebih lanjut, baca ringkasan Access Context Manager.

Mengamankan resource yang dikelola Google dengan perimeter layanan

Perimeter layanan digunakan untuk melindungi layanan yang digunakan oleh project di organisasi Anda. Setelah mengidentifikasi project dan layanan yang ingin Anda lindungi, buat satu atau beberapa perimeter layanan.

Untuk mempelajari lebih lanjut cara kerja perimeter layanan dan layanan yang dapat diamankan menggunakan Kontrol Layanan VPC, baca Ringkasan Kontrol Layanan VPC.

Beberapa layanan memiliki batasan terkait cara penggunaannya dengan Kontrol Layanan VPC. Jika Anda mengalami masalah dengan project setelah menyiapkan perimeter layanan, baca Pemecahan masalah.

Menyiapkan layanan yang dapat diakses VPC

Saat Anda mengaktifkan layanan yang dapat diakses VPC untuk perimeter, akses dari endpoint jaringan di dalam perimeter Anda dibatasi ke serangkaian layanan yang Anda tentukan.

Untuk mempelajari lebih lanjut cara membatasi akses di dalam perimeter Anda hanya ke serangkaian layanan tertentu, baca layanan yang dapat diakses VPC.

Menyiapkan konektivitas pribadi dari Jaringan VPC

Untuk memberikan keamanan tambahan bagi Jaringan VPC dan host lokal yang dilindungi oleh perimeter layanan, sebaiknya gunakan Akses Google Pribadi. Untuk mengetahui informasi selengkapnya, lihat konektivitas pribadi dari jaringan lokal.

Untuk mempelajari cara mengonfigurasi konektivitas pribadi, baca Menyiapkan konektivitas pribadi ke Google API dan layanan Google.

Membatasi akses ke Google Cloud resource hanya untuk akses pribadi dari Jaringan VPC berarti bahwa akses menggunakan antarmuka seperti konsol Google Cloud dan konsol Cloud Monitoring akan ditolak. Anda dapat terus menggunakan alat command line gcloud atau klien API dari Jaringan VPC yang berbagi perimeter layanan atau perantara perimeter dengan resource yang dibatasi.

Mengizinkan akses kontekstual dari luar perimeter layanan menggunakan aturan ingress

Anda dapat mengizinkan akses kontekstual ke resource yang dibatasi oleh perimeter berdasarkan atribut klien. Anda dapat menentukan atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan origin jaringan (alamat IP atau Jaringan VPC).

Misalnya, Anda dapat menyiapkan aturan ingress untuk mengizinkan akses internet ke resource dalam perimeter berdasarkan rentang alamat IPv4 dan IPv6. Untuk mengetahui informasi selengkapnya tentang cara menggunakan aturan ingress guna menyiapkan akses kontekstual, lihat Akses kontekstual.

Mengonfigurasi pertukaran data yang aman menggunakan aturan ingress dan egress

Anda dapat menyertakan project hanya dalam satu perimeter layanan. Jika Anda ingin mengizinkan komunikasi di seluruh batas perimeter, siapkan aturan ingress dan egress. Misalnya, Anda dapat menentukan aturan ingress dan egress untuk mengizinkan project dari beberapa perimeter berbagi log di perimeter terpisah. Untuk mempelajari lebih lanjut kasus penggunaan pertukaran data yang aman, baca pertukaran data yang aman.