אבטחה ב-Private Service Connect

בדף הזה מובאת סקירה כללית על האבטחה של Private Service Connect.

‫Private Service Connect מספק כמה אמצעי בקרה לניהול הגישה למשאבים של Private Service Connect. אתם יכולים לקבוע מי יכול לפרוס משאבים של Private Service Connect, אם אפשר ליצור חיבורים בין צרכנים לבין ספקים, ולאיזה תעבורת רשת מותר לגשת לחיבורים האלה.

הפקדים האלה מיושמים באמצעות הרכיבים הבאים:

באיור 1 מתואר איך אמצעי הבקרה האלה פועלים בצד הצרכן ובצד הבעלים של השירות המנוהל בחיבור Private Service Connect.

איור 1. הרשאות IAM, מדיניות ארגונית, רשימות של כתובות IP שאפשר לקבל או לדחות וכללי חומת אש של VPC פועלים יחד כדי לאבטח את הצדדים של הצרכן והיצרן בחיבור Private Service Connect (אפשר ללחוץ כדי להגדיל).

IAM

משאבים: כולם

כל משאב של Private Service Connect נשלט על ידי הרשאה אחת או יותר ב-IAM. ההרשאות האלה מאפשרות לאדמינים להגדיר אילו חשבונות משתמשים ב-IAM יכולים לפרוס משאבים של Private Service Connect.

ב-IAM לא נקבע אילו ישויות ב-IAM יכולות להתחבר לחיבור Private Service Connect או להשתמש בו. כדי לשלוט בנקודות הקצה או בשרתי הקצה העורפיים שיכולים ליצור חיבור לשירות, משתמשים במדיניות ארגונית או ברשימות של צרכנים שאושרו. כדי לקבוע אילו לקוחות יכולים לשלוח תנועה למשאבים של Private Service Connect, משתמשים בחומות אש של VPC או במדיניות חומת אש.

מידע נוסף על הרשאות ב-IAM זמין במאמר הרשאות ב-IAM.

במאמר יצירת נקודת קצה מוסבר אילו הרשאות נדרשות כדי ליצור נקודת קצה.

במאמר פרסום שירות באישור מפורש מפורטות ההרשאות שנדרשות כדי ליצור קובץ מצורף לשירות.

סטטוסים של חיבור

משאבים: נקודות קצה, קצה עורפי וקבצים מצורפים לשירות

לנקודות קצה, לבק-אנדים ולקבצים מצורפים של שירותים ב-Private Service Connect יש סטטוסים של חיבורים שמתארים את מצב החיבורים שלהם. למשאבי הצרכן והבעלים שיוצרים את שני הצדדים של החיבור יש תמיד את אותו סטטוס.

אפשר לראות את סטטוס החיבור כשמציגים את פרטי נקודת הקצה, מתארים את ה-Backend או מציגים את הפרטים של שירות שפורסם.

בטבלה הבאה מפורטים הסטטוסים האפשריים.

סטטוס החיבור תיאור
Accepted החיבור של Private Service Connect מתקבל על ידי הספק, והחיבור מותר על ידי ההגדרה. עם זאת, הסטטוס הזה לא מבטיח שאפשר להעביר תנועה דרך החיבור.
בהמתנה

החיבור של Private Service Connect לא נוצר, ולא ניתן להעביר תנועה ברשת בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות:

חיבורים שנחסמו מהסיבות האלה יישארו במצב 'בהמתנה' לזמן בלתי מוגבל עד שהבעיה הבסיסית תיפתר.

נדחתה

החיבור ל-Private Service Connect לא נוצר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות:

נדרשת התייחסות יש בעיה בצד של המפיק בחיבור. יכול להיות שחלק מעומס התנועה הקל יעבור בין שתי הרשתות, אבל יכול להיות שחלק מהחיבורים לא יפעלו. לדוגמה, יכול להיות שרשת המשנה של NAT של המפיק מוצתה ולא ניתן להקצות כתובות IP לחיבורים חדשים.
סגור

הקובץ המצורף עם השירות נמחק, והחיבור של Private Service Connect נסגר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות.

חיבור סגור הוא מצב סופי. כדי לשחזר את החיבור, צריך ליצור מחדש את קובץ השירות ואת נקודת הקצה או את ה-backend.

הגדרת קובץ מצורף עם השירות

אתם יכולים לקבוע אילו צרכנים יוכלו להתחבר לנקודת חיבור לשירות באמצעות התכונות הבאות.

העדפת חיבור

מקורות מידע: נקודות קצה ועורפי קצה

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יאושרו באופן אוטומטי.

  • אישור אוטומטי של כל החיבורים. קובץ ה-Service Attachment מקבל באופן אוטומטי את כל בקשות החיבור הנכנסות מכל צרכן.
  • מאשרים באופן מפורש חיבורים מצרכנים נבחרים. החיבור לשירות המצורף מתאפשר רק אם הצרכן נמצא ברשימת הצרכנים המורשים של השירות המצורף. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה נפרדת של Private Service Connect. אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר במפורש את החיבורים לצרכנים נבחרים. יכול להיות שיהיה לכם מתאים לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של אנשים שאושרו או נדחו

מקורות מידע: נקודות קצה ועורפי קצה

רשימות של צרכנים שאושרו ורשימות של צרכנים שנדחו הן תכונת אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים באמצעות Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לצירוף שירות, חיבור חדש מתקבל רק אם הצרכן נמצא ברשימת האישור ולא ברשימת הדחייה. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מופעלת האפשרות התאמת חיבורים.

רשימות הצרכנים שאושרו ונדחו מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

  • פרויקט
  • רשת VPC
  • נקודת קצה של Private Service Connect

    השיטה הזו לא חלה על בק-אנדים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-Service Attachment. אי אפשר לציין צרכנים לפי תיקייה.

שתי רשימות הצרכנים של קובץ מצורף לשירות חייבות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של הלקוח.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים לשירות שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל צריך לבצע את השינוי בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

  • אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
  • אפשר להוסיף עד 64 ערכים לרשימת הצרכנים שדחו את ההסכמה.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

  • צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
  • צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
  • לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

כשמעדכנים רשימה של צרכנים שאישרו או דחו את החיבור, ההשפעה על חיבורים קיימים משתנה בהתאם להגדרה של סנכרון החיבורים. מידע נוסף זמין במאמר התאמת חיבורים.

במאמר פרסום שירות עם אישור פרויקט מפורש מוסבר איך ליצור קובץ מצורף חדש לשירות עם רשימות של צרכנים שאושרו או נדחו.

מידע על עדכון רשימות של צרכנים שאושרו או נדחו זמין במאמר ניהול בקשות לגישה לשירות שפורסם.

מגבלות על חיבורים

מקורות מידע: נקודות קצה ועורפי קצה

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם הסכמה. המגבלות האלה מגדירות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל בחיבור שירות מפרויקט צרכן או מרשת VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לקבל מהן בקשות שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

יצרנים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים למצות את כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של היצרן. כל חיבור Private Service Connect שאושר מוריד מהמגבלה שהוגדרה לפרויקט צרכן או לרשת VPC. המגבלות מוגדרות כשיוצרים או מעדכנים רשימות של צרכנים שהסכימו לקבל הודעות. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

חיבורים שהועברו לא נכללים במגבלות האלה.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים מורשים שכוללת את project-1 ואת project-2, ולשניהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. מכיוון שב-project-1 יש הגבלה של חיבור אחד, החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המורשים, החיבור הזה עובר ממצב 'בהמתנה' למצב 'אושר'.

מדיניות הארגון

בעזרת כללי מדיניות הארגון אפשר לשלוט באופן כללי בפרויקטים שיכולים להתחבר לרשתות VPC או לארגונים באמצעות Private Service Connect.

מדיניות הארגון שמתוארת בדף הזה יכולה לחסום או לדחות חיבורים חדשים של Private Service Connect, אבל היא לא משפיעה על חיבורים קיימים.

מדיניות ארגון חלה על צאצאים של המשאב שאליו היא מתייחסת בהתאם להערכה היררכית. לדוגמה, מדיניות ארגונית שמגבילה את הגישה לארגון Google Cloud חלה גם על תיקיות הבנות, הפרויקטים והמשאבים של הארגון. באופן דומה, אם מציינים ארגון כערך מותר, אפשר לגשת גם לילדים של הארגון הזה.

מידע נוסף על מדיניות הארגון

מדיניות ארגונית בצד הצרכן

אפשר להשתמש באילוצים של רשימות כדי לשלוט בפריסה של נקודות קצה ושל קצה עורפי. אם נקודת קצה או קצה עורפי נחסמים על ידי מדיניות ארגונית של צרכן, יצירת המשאב נכשלת.

  • משתמשים באילוץ הרשימה restrictPrivateServiceConnectProducer כדי לקבוע אילו נקודות קצה ושרתי קצה עורפיים של שירותים מצורפים יכולים להתחבר על סמך הארגון שמספק את השירות.
  • כדי לשלוט בפריסת נקודות הקצה על סמך סוג החיבור של נקודת הקצה, משתמשים באילוץ הרשימה disablePrivateServiceConnectCreationForConsumers. אתם יכולים לחסום את הפריסה של נקודות קצה שמתחברות לממשקי Google API, או לחסום את הפריסה של נקודות קצה שמתחברות לשירותים שפורסמו.

חסימת נקודות קצה או שרתים עורפיים מהתחברות לארגונים שמפיקים תוכן

מקורות מידע: נקודות קצה ועורפי קצה

מדיניות ארגונית שמשתמשת באילוץ restrictPrivateServiceConnectProducer עם ערכים מותרים חוסמת נקודות קצה ושרתי קצה עורפיים להתחבר לצירופי שירות, אלא אם צירופי השירות משויכים לאחד מהערכים המותרים של המדיניות. מדיניות מהסוג הזה חוסמת חיבורים גם אם הם מותרים על ידי רשימת הצרכנים המורשים של קובץ ה-Service Attachment.

לדוגמה, מדיניות הארגון הבאה חלה על ארגון בשם Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
  rules:
    – values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER
        - under:organizations/433637338589

איור 2 מציג את התוצאה של מדיניות הארגון הזו. במדיניות מוגדרים ערכים מותרים ל-Org-A (ORG_A_NUMBER) ול-Google-org (433637338589). נקודות קצה ועורפים שנוצרו ב-Org-A יכולים לתקשר עם קבצים מצורפים של שירותים ב-Org-A, אבל לא עם קבצים מצורפים של שירותים ב-Org-B.

איור 2. מדיניות ארגונית מאפשרת לנקודת הקצה psc-1 להתחבר לצירוף השירות sa-1 וחוסמת את psc-3 להתחבר לצירופי שירות ב-Org-B. נקודות קצה ועורפים ב-Org-A יכולים להתחבר לצירופי שירות שבבעלות Google (לוחצים להגדלה).

אפשר לאפשר למופעים של סוגי המשאבים הבאים ליצור נקודות קצה עם האילוץ compute.restrictPrivateServiceConnectProducer:

  • ארגונים
  • תיקיות
  • פרויקטים

למידע על יצירת מדיניות ארגונית שמשתמשת באילוץ compute.restrictPrivateServiceConnectProducer, אפשר לעיין במאמר חסימת נקודות קצה ועורפים (backend) מחיבור לצירופי שירות לא מורשים.

חסימת יצירת נקודות קצה לפי סוג החיבור

מקורות המידע שהושפעו: נקודות קצה

אפשר להשתמש באילוץ disablePrivateServiceConnectCreationForConsumers list כדי לחסום את היצירה של נקודות קצה על סמך החיבור שלהן ל-Google APIs או לשירותים שפורסמו (קבצים מצורפים של שירותים).

מידע על יצירת מדיניות ארגון שמשתמשת באילוץ disablePrivateServiceConnectCreationForConsumers זמין במאמר חסימת פריסת נקודות קצה על ידי צרכנים לפי סוג החיבור.

מדיניות הארגון בצד המפיק

מקורות המידע שהושפעו: נקודות קצה ושרתי קצה עורפיים

אתם יכולים להשתמש במדיניות הארגון עם compute.restrictPrivateServiceConnectConsumer אילוץ הרשימה כדי לקבוע אילו נקודות קצה ובק-אנדים יכולים להתחבר ל-Service Attachments של Private Service Connect בארגון או בפרויקט של ספק. אם נקודת קצה או קצה עורפי נדחים על ידי מדיניות ארגונית של יצרן, יצירת המשאב מצליחה, אבל החיבור עובר למצב דחייה.

השליטה בגישה בדרך הזו דומה לשימוש ברשימות של אישור ודחייה, אבל מדיניות הארגון חלה על כל נקודות החיבור לשירות בפרויקט או בארגון, ולא על נקודת חיבור ספציפית לשירות.

אפשר להשתמש במדיניות ארגונית וברשימות של כתובות IP שאפשר לגשת אליהן יחד. המדיניות הארגונית אוכפת באופן כללי את הגישה לשירות מנוהל, והרשימות של כתובות IP שאפשר לגשת אליהן שולטות בגישה לצירופי שירות ספציפיים.

מדיניות ארגונית שמשתמשת באילוץ compute.restrictPrivateServiceConnectConsumer דוחה חיבורים מנקודות קצה ומשרתי קצה, אלא אם נקודת הקצה או שרת הקצה משויכים לאחד מהערכים המותרים של המדיניות. מדיניות מהסוג הזה דוחה חיבורים גם אם הם מופיעים ברשימת ההיתרים.

לדוגמה, מדיניות הארגון הבאה חלה על ארגון בשם Org-A:

name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/ORG_A_NUMBER

איור 3 מציג את התוצאה של מדיניות הארגון הזו. במדיניות מוגדר ערך מותר ל-Org-A (ORG_A_NUMBER). נקודות קצה ברשתות VPC אחרות ב-Org-A יכולות להתחבר ל-Service Attachments ב-Org-A. נקודות קצה ב-Org-B שמנסות להתחבר נדחות.

איור 3. מדיניות ארגון מאפשרת ל-psc-1 להתחבר ל-sa-1, אבל חוסמת את psc-2 מלהתחבר (לחצו להגדלה).

מדיניות ארגון חלה על צאצאים של המשאב שאליו היא מתייחסת בהתאם להערכה היררכית. לדוגמה, מדיניות ארגונית שמגבילה את הגישה לארגון Google Cloud חלה גם על תיקיות הבנות, הפרויקטים והמשאבים של הארגון. באופן דומה, אם מציינים ארגון כערך מותר, אפשר לגשת גם לילדים של הארגון הזה.

אפשר לאפשר למופעים של סוגי המשאבים הבאים ליצור נקודות קצה עם האילוץ restrictPrivateServiceConnectConsumer:

  • ארגונים
  • תיקיות
  • פרויקטים

מידע נוסף על שימוש במדיניות הארגון עם ספקי שירותים זמין במאמר מדיניות הארגון של הספק.

אינטראקציה בין רשימות של צרכנים שאושרו לבין מדיניות ארגונית

גם רשימות של צרכנים שאפשר לקבל מהם בקשות וגם מדיניות ארגונית קובעות אם אפשר ליצור חיבור בין שני משאבי Private Service Connect. החיבורים נחסמים אם רשימת ההיתרים או מדיניות הארגון דוחות את החיבור.

לדוגמה, אפשר להגדיר מדיניות עם האילוץ restrictPrivateServiceConnectConsumer כדי לחסום חיבורים מחוץ לארגון של היוצר. גם אם מצורף שירות מוגדר לקבל באופן אוטומטי את כל החיבורים, מדיניות הארגון עדיין חוסמת חיבורים מחוץ לארגון של היצרן. מומלץ להשתמש גם ברשימות של כתובות שאושרו וגם במדיניות הארגון כדי לספק אבטחה בשכבות.

חומות אש

משאבים: כולם

אתם יכולים להשתמש בכללי חומת אש ובמדיניות חומת אש של VPC כדי לשלוט בגישה ברמת הרשת למשאבים של Private Service Connect.

מידע נוסף על הכללים של חומת האש ב-VPC זמין במאמר בנושא הכללים של חומת האש ב-VPC.

מידע נוסף על שימוש בכללי חומת אש של VPC כדי להגביל את הגישה לנקודות קצה או לשרתי קצה בעורף ברשת VPC של צרכן זמין במאמר שימוש בכללי חומת אש כדי להגביל את הגישה לנקודות קצה או לשרתי קצה בעורף.