Questa pagina descrive i perimetri di servizio e include i passaggi generali per la configurazione dei perimetri.
Informazioni sui perimetri di servizio
Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra perimetri in modalità di applicazione forzata e quelli dry run.
Per proteggere i servizi nei progetti e limitare il rischio di esfiltrazione di dati, puoi specificare perimetri di servizio a livello di progetto o rete VPC. Google Cloud Per saperne di più sui vantaggi dei perimetri di servizio, consulta la sezione Panoramica dei Controlli di servizio VPC.
Inoltre, i servizi accessibili all'interno di un perimetro, ad esempio dalle VM in una rete VPC ospitata all'interno di un perimetro, possono essere limitati utilizzando la funzionalità Servizi accessibili da VPC.
Puoi configurare i perimetri dei Controlli di servizio VPC in modalità di applicazione forzata o dry run. Gli stessi passaggi di configurazione si applicano sia ai perimetri in modalità di applicazione forzata sia a quelli dry run. La differenza è che questi ultimi registrano le violazioni come se fossero applicati in modo forzato, ma non impediscono l'accesso ai servizi limitati.
Modalità di applicazione forzata
La modalità di applicazione forzata è quella predefinita per i perimetri di servizio. Quando un perimetro di servizio viene applicato in modo forzato, le richieste che violano le policy del perimetro, ad esempio quelle a servizi limitati provenienti dall'esterno di un perimetro, vengono rifiutate.
Un perimetro in modalità di applicazione forzata protegge le risorse applicando il confine del perimetro per i servizi limitati nella configurazione del perimetro. Google Cloud Le richieste API ai servizi limitati non attraversano il confine del perimetro, a meno che non siano soddisfatte le condizioni delle regole necessarie in entrata e in uscita del perimetro. Un perimetro in modalità di applicazione forzata protegge da eventuali rischi di esfiltrazione di dati, come credenziali rubate, autorizzazioni configurate in modo errato o insider malintenzionati che hanno accesso ai progetti.
Modalità dry run
In modalità dry run, le richieste che violano la policy del perimetro non vengono rifiutate, ma solo registrate. I perimetri di servizio modalità dry run vengono utilizzati per testare la configurazione del perimetro e per monitorare l'utilizzo dei servizi senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni casi d'uso comuni:
Determinare l'impatto della modifica dei perimetri di servizio esistenti.
Visualizzare in anteprima l'impatto quando si aggiungono nuovi perimetri di servizio.
Monitorare le richieste ai servizi limitati provenienti dall'esterno di un perimetro di servizio. Ad esempio, per conoscere la provenienza delle richieste a un determinato servizio o per identificare un utilizzo imprevisto del servizio all'interno dell'organizzazione.
Creare nell'ambiente di sviluppo un'architettura perimetrale analoga a quella dell'ambiente di produzione. Puoi identificare e mitigare eventuali problemi causati dai perimetri di servizio prima di inviare le modifiche all'ambiente di produzione.
Per ulteriori informazioni, vedi Modalità dry run.
Fasi di configurazione del perimetro di servizio
Per configurare i Controlli di servizio VPC, puoi utilizzare la console Google Cloud , lo strumento a riga di comando gcloud e le API di Gestore contesto accesso.
Puoi configurare i Controlli di servizio VPC come descritto nei seguenti passaggi generali:
Crea una policy di accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio.
(Facoltativo) Configura i servizi accessibili da VPC per aggiungere ulteriori limitazioni all'utilizzo dei servizi all'interno dei perimetri.
(Facoltativo) Configura la connettività privata da una rete VPC.
(Facoltativo) Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando regole per il traffico in entrata.
(Facoltativo) Configura lo scambio sicuro dei dati utilizzando regole per il traffico in entrata e in uscita.
Crea una policy di accesso
Una policy di accesso raccoglie i perimetri di servizio e i livelli di accesso che crei per l'organizzazione. Può esistere una singola policy di accesso per l'intera organizzazione e più policy di accesso con ambito per le cartelle e i progetti.
Puoi utilizzare la console Google Cloud , lo strumento a riga di comando gcloud o le API di Gestore contesto accesso per creare una policy di accesso.
Per scoprire di più su Gestore contesto accesso e sulle policy di accesso, leggi la panoramica di Gestore contesto accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio
I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti nell'organizzazione. Dopo aver identificato i progetti e i servizi che vuoi proteggere, crea uno o più perimetri di servizio.
Per scoprire di più su come funzionano i perimetri di servizio e su quali servizi possono essere protetti con i Controlli di servizio VPC, leggi la panoramica dei Controlli di servizio VPC.
Alcuni servizi hanno delle limitazioni per quanto riguarda il loro utilizzo con i Controlli di servizio VPC. Se riscontri problemi con i progetti dopo aver configurato i perimetri di servizio, scopri come risolvere i problemi.
Configura i servizi accessibili da VPC
Quando abiliti i servizi accessibili da VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a una serie di servizi che specifichi.
Per scoprire di più su come limitare l'accesso all'interno del perimetro solo a un insieme specifico di servizi, leggi la sezione dedicata ai servizi accessibili da VPC.
Configura la connettività privata da una rete VPC
Per rafforzare la sicurezza delle reti VPC e degli host on-premise protetti da un perimetro di servizio, consigliamo di utilizzare l'accesso privato Google. Per saperne di più, consulta la sezione dedicata alla connettività privata dalle reti on-premise.
Per informazioni sulla configurazione della connettività privata, consulta Configurazione della connettività privata alle API e ai servizi Google.
La limitazione dell'accesso alle risorse Google Cloud al solo accesso privato dalle reti VPC prevede che l'accesso venga negato tramite interfacce come la console Google Cloud e la console Cloud Monitoring. Puoi continuare a utilizzare
lo strumento a riga di comando gcloud o i client API dalle reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.
Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando regole per il traffico in entrata
Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare attributi del client come il tipo di identità (service account o utente), l'identità, i dati del dispositivo e l'origine della rete (indirizzo IP o rete VPC).
Ad esempio, puoi configurare regole in entrata per consentire l'accesso a internet alle risorse che si trovano all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole in entrata per configurare l'accesso sensibile al contesto, vedi Accesso sensibile al contesto.
Configura lo scambio sicuro dei dati utilizzando regole per il traffico in entrata e in uscita
Puoi includere il progetto in un singolo perimetro di servizio. Se vuoi consentire la comunicazione oltre il confine del perimetro, configura le regole in entrata e in uscita. Ad esempio, puoi specificare regole in entrata e in uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per scoprire di più sui casi d'uso dello scambio sicuro dei dati, consulta questa pagina.