פרטים והגדרה של גבולות גזרה לשירות

בדף הזה מתוארים גבולות גזרה לשירות ומפורטים השלבים הכלליים להגדרת גבולות גזרה.

מידע על גבולות גזרה לשירות

בקטע הזה מוסבר איך גבולות גזרה לשירות פועלים, ומה ההבדלים בין גבולות גזרה לשירות שנאכפים לבין גבולות גזרה לשירות שמופעלים במצב ניסיון.

כדי להגן על שירותים בפרויקטים ולצמצם את הסיכון לזליגת נתונים, אפשר לציין גבולות גזרה לשירות ברמת הפרויקט או ברמת רשת ה-VPC. Google Cloud מידע נוסף על היתרונות של גבולות גזרה לשירות זמין במאמר סקירה כללית על VPC Service Controls.

בנוסף, אפשר להגביל את השירותים שאפשר לגשת אליהם מתוך perimeter, למשל ממכונות וירטואליות ברשת VPC שמארחת בתוך perimeter, באמצעות התכונה VPC accessible services.

אפשר להגדיר את גבולות הגזרה של VPC Service Controls במצב אכיפה או במצב פרימטר לבדיקות. אותם שלבי הגדרה חלים על היקפים עם אכיפה ועל היקפים עם הרצה יבשה. ההבדל הוא שבגבולות של הרצה יבשה, הפרות מתועדות כאילו הגבולות נאכפים, אבל לא נמנעת גישה לשירותים מוגבלים.

מצב אכיפה

מצב אכיפה הוא מצב ברירת המחדל לגבולות שירות. כשמפעילים גבולות גזרה לשירות, בקשות שמפירות את מדיניות הגבולות, כמו בקשות לשירותים מוגבלים שמגיעות מחוץ לגבולות הגזרה, נדחות.

גבולות גזרה במצב אכיפה מגנים על משאבים על ידי אכיפת הגבולות של השירותים שמוגבלים בהגדרת גבולות הגזרה. Google Cloud בקשות API לשירותים מוגבלים לא חוצות את גבולות הגזרה, אלא אם מתקיימים התנאים של כללי התעבורה הנכנסת והיוצאת הנדרשים של גבולות הגזרה. גבולות גזרה במצב אכיפה מספקים הגנה מפני סיכונים של זליגת נתונים, כמו גניבת פרטי כניסה, הרשאות שהוגדרו בצורה שגויה או משתמשים פנימיים זדוניים שיש להם גישה לפרויקטים.

מצב פרימטר לבדיקות

במצב פרימטר לבדיקות, בקשות שמפירות את מדיניות ההיקף לא נדחות אלא רק נרשמות ביומן. גבולות גזרה לשירות בהרצה יבשה משמשים לבדיקת ההגדרה של גבולות הגזרה ולמעקב אחרי השימוש בשירותים בלי למנוע גישה למשאבים. ריכזנו כאן כמה תרחישי שימוש נפוצים:

  • קביעת ההשפעה כשמשנים את היקפי השירות הקיימים.

  • תצוגה מקדימה של ההשפעה כשמוסיפים היקפי אבטחה חדשים.

  • מעקב אחרי בקשות לשירותים מוגבלים שמקורן מחוץ לגבולות גזרה לשירות. לדוגמה, כדי לזהות מאיפה מגיעות בקשות לשירות מסוים או כדי לזהות שימוש לא צפוי בשירות בארגון שלכם.

  • יצירת ארכיטקטורת גבולות גזרה בסביבת הפיתוח שדומה לארכיטקטורה בסביבת הייצור. אתם יכולים לזהות בעיות שנובעות ממתחמי האבטחה ולטפל בהן לפני שליחת השינויים לסביבת הייצור.

מידע נוסף זמין במאמר בנושא מצב פרימטר לבדיקות.

שלבים בהגדרת גבולות גזרה לשירות

כדי להגדיר את VPC Service Controls, אפשר להשתמש במסוף Google Cloud , בכלי שורת הפקודה gcloud ובממשקי ה-API של Access Context Manager.

אפשר להגדיר את VPC Service Controls לפי השלבים הבאים:

  1. יוצרים מדיניות גישה.

  2. אבטחת משאבים שמנוהלים על ידי Google באמצעות גבולות גזרה של שירותים.

  3. אפשר להגדיר שירותים עם גישה ל-VPC כדי להוסיף הגבלות נוספות על אופן השימוש בשירותים בתוך הגבולות (אופציונלי).

  4. הגדרה של קישוריות פרטית מרשת VPC (אופציונלי).

  5. אפשר בקרת גישה מבוססת-הקשר מחוץ לגבולות גזרה לשירות באמצעות כללי כניסה (אופציונלי).

  6. קביעת הגדרות להחלפת נתונים מאובטחת באמצעות כללי כניסה ויציאה (אופציונלי).

יצירת מדיניות גישה

מדיניות גישה כוללת את אזורי השירות ואת רמות הגישה שאתם יוצרים לארגון. בארגון יכולה להיות מדיניות גישה אחת לכל הארגון, וכמה מדיניות גישה בהיקף מוגבל לתיקיות ולפרויקטים.

כדי ליצור מדיניות גישה, אפשר להשתמש במסוף Google Cloud , בכלי שורת הפקודה gcloud או בממשקי Access Context Manager API.

מידע נוסף על Access Context Manager ומדיניות גישה זמין במאמר סקירה כללית על Access Context Manager.

אבטחת משאבים בניהול Google באמצעות אזורי אבטחה

גבולות גזרה לשירות משמשים להגנה על שירותים שמשמשים פרויקטים בארגון שלכם. אחרי שמזהים את הפרויקטים והשירותים שרוצים להגן עליהם, יוצרים גבול גזרה אחד או יותר לשירות.

במאמר סקירה כללית על VPC Service Controls אפשר לקרוא מידע נוסף על האופן שבו גבולות גזרה לשירות פועלים ועל השירותים שאפשר להשתמש ב-VPC Service Controls כדי לאבטח.

יש שירותים שבהם יש מגבלות על השימוש ב-VPC Service Controls. אם נתקלתם בבעיות בפרויקטים אחרי שהגדרתם את גבולות גזרה לשירות, מומלץ לקרוא את המאמר בנושא פתרון בעיות.

הגדרת שירותים שאפשר לגשת אליהם דרך VPC

כשמפעילים שירותים עם גישה ל-VPC עבור גבולות גזרה, הגישה מנקודות קצה ברשת בתוך גבולות הגזרה מוגבלת לקבוצת שירותים שאתם מציינים.

כדי לקרוא מידע נוסף על הגבלת הגישה בתוך גבולות הגזרה רק לקבוצה ספציפית של שירותים, אפשר לעיין במאמר בנושא שירותים שאפשר לגשת אליהם ב-VPC.

הגדרת קישוריות פרטית מרשת VPC

כדי לספק אבטחה נוספת לרשתות VPC ולמארחים מקומיים שמוגנים על ידי גבולות גזרה לשירות, מומלץ להשתמש בגישה פרטית ל-Google. מידע נוסף זמין במאמר בנושא קישוריות פרטית מרשתות מקומיות.

מידע על הגדרת קישוריות פרטית זמין במאמר הגדרת קישוריות פרטית ל-Google APIs ולשירותים של Google.

הגבלת הגישה ל Google Cloud משאבים לגישה פרטית בלבד מרשתות VPC פירושה שתימנע גישה באמצעות ממשקים כמו Google Cloud המסוף ומסוף Cloud Monitoring. אתם יכולים להמשיך להשתמש בכלי שורת הפקודה gcloud או בלקוחות API מרשתות VPC שמשתפות גבולות גזרה לשירות או גבולות גזרה מגושרים עם המשאבים המוגבלים.

מתן הרשאה לבקרת גישה מבוססת-הקשר מחוץ לגבולות גזרה לשירות באמצעות כללים לתעבורת נתונים נכנסת

אתם יכולים לאפשר בקרת גישה מבוססת-הקשר למשאבים שמוגבלים על ידי גבולות גזרה על סמך מאפייני לקוח. אתם יכולים לציין מאפייני לקוח, כמו סוג הזהות (חשבון שירות או משתמש), הזהות, נתוני המכשיר ומקור הרשת (כתובת IP או רשת VPC).

לדוגמה, אפשר להגדיר כללי כניסה כדי לאפשר גישה לאינטרנט למשאבים בתוך גבולות גזרה, על סמך טווח כתובות IPv4 ו-IPv6. מידע נוסף על שימוש בכללי כניסה להגדרת בקרת גישה מבוססת-הקשר זמין במאמר בנושא בקרת גישה מבוססת-הקשר.

הגדרה של חילופי נתונים מאובטחים באמצעות כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)

אפשר לכלול את הפרויקט רק בגבולות גזרה לשירות אחד. אם רוצים לאפשר תקשורת מעבר לגבולות גזרה, צריך להגדיר כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress). לדוגמה, אפשר לציין כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר לפרויקטים מכמה גבולות גזרה לשתף יומנים בגבול גזרה נפרד. למידע נוסף על תרחישי שימוש בהחלפת נתונים מאובטחת, אפשר לקרוא את המאמר החלפת נתונים מאובטחת.