שיפור האבטחה עם פקדי שירות VPC

כדי לשפר את אבטחת הנתונים שלכם, ב-Google Cloud Search יש תמיכה ב-VPC Service Controls. בעזרת VPC Service Controls תוכלו להגדיר מתחם שירות היקפי מסביב למשאבים של Google Cloud Platform, וכך להגביל את הנתונים ולעזור בצמצום הסיכונים לזליגת נתונים.

דרישות מוקדמות

לפני שמתחילים, צריך להתקין את ממשק שורת הפקודה (CLI) של gcloud.

הפעלת VPC Service Controls

כדי להפעיל את VPC Service Controls:

1. מקבלים את מזהי הפרויקטים ואת מספרי הפרויקטים של הפרויקט ב-Google Cloud Platform שבו רוצים להשתמש. כדי לקבל את המזהים ומספרי הפרויקטים, אפשר לעיין במאמר זיהוי פרויקטים.

2. משתמשים ב-gcloud כדי ליצור מדיניות גישה לארגון ב-Google Cloud Platform:

   1. איך מוצאים את מספר הארגון
   2. יוצרים מדיניות גישה.
   3. איך מקבלים את השם של מדיניות הגישה.

3. כדי ליצור גבול גזרה של שירות עם Cloud Search כשירות מוגבל, מריצים את הפקודה הבאה של gcloud:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   כאשר:

   • NAME הוא שם ההיקף.
   • TITLE הוא שם ההיקף שקריא לבני אדם.
   • PROJECTS היא רשימה מופרדת בפסיקים של מספר פרויקט אחד או יותר, שמוביל לכל מספר המחרוזת projects/. משתמשים במספרי הפרויקטים שהתקבלו בשלב 1. לדוגמה, אם יש לכם שני פרויקטים, פרויקט 12345 ו-67890, ההגדרה שלכם תהיה --resource=projects/12345, project/67890 .הדגל הזה תומך רק במספרי פרויקטים, ולא בשמות או במזהים.
   • RESTRICTED-SERVICES היא רשימה שמופרדת בפסיקים של שירות אחד או יותר. שימוש ב-cloudsearch.googleapis.com.
   • POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון, שמתקבלת בשלב 2ג.

   למידע נוסף על יצירת גבולות גזרה לשירות, ראו יצירת גבולות גזרה לשירות.

4. (אופציונלי) אם רוצים להחיל הגבלות על סמך כתובת IP או אזור, יוצרים רמות גישה ומוסיפים אותן למתחם השירות שנוצר בשלב 3:

   1. כדי ליצור רמת גישה, קראו את המאמר יצירת רמת גישה בסיסית. לדוגמה ליצירת תנאי ברמת הגישה שמאפשר גישה רק מטווח ספציפי של כתובות IP, כמו כתובות ברשת ארגונית, אפשר לעיין במאמר הגבלת הגישה ברשת ארגונית.
   2. אחרי שיוצרים רמת גישה, מוסיפים אותה לגבולות הגזרה של השירות. להוראות להוספת רמת גישה למתחם שירות, אפשר לעיין במאמר הוספת רמת גישה למתחם קיים. יכול להיות שיעברו עד 30 דקות עד שהשינוי הזה ייכנס לתוקף וייכנס לתוקף.

5. משתמשים ב-Cloud Search Customer Service REST API כדי לעדכן את הגדרות הלקוח בפרויקט המוגן בגבולות הגזרה של VPC Service Controls:

1. קבלת אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. מידע על קבלת האסימון זמין בשלב 2 במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs. כשמקבלים את אסימון הגישה, צריך להשתמש באחד מההיקפים הבאים של OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, או https://www.googleapis.com/auth/cloud_search

2. כדי להגדיר את הפרויקט בהגדרות של VPC Service Controls בקטע 'הגדרות לקוח' ב-Google Cloud Search, מריצים את פקודת ה-Curl הבאה:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   כאשר:

• YOUR_ACCESS_TOKEN הוא אסימון גישה מסוג OAuth 2.0 שהתקבל בשלב 5א'.

• PROJECT_ID הוא מזהה הפרויקט שהתקבל בשלב 1.

  אם הפעולה בוצעה בהצלחה, אמורה להגיע תגובה מסוג 200 OK עם ההגדרות המעודכנות של הלקוח.

אחרי השלמת השלבים שלמעלה, ההגבלות של VPC Service Controls, כפי שמוגדרות בגבולות השירות, חלות על כל ממשקי ה-API של חיפוש Google Cloud, על חיפושים ב-cloudsearch.google.com ועל הצגה ושינוי של הגדרות או דוחות באמצעות מסוף Admin. בקשות נוספות ל-Google Cloud Search API שלא עומדות ברמות הגישה יקבלו את השגיאה PERMISSION_DENIED “Request is prohibited by organization’s policy”.