שיפור האבטחה עם פקדי שירות VPC

שירות Google Cloud Search תומך ב-VPC Service Controls כדי לשפר את האבטחה של הנתונים שלכם. בעזרת VPC Service Controls תוכלו להגדיר מתחם שירות היקפי מסביב למשאבים של Google Cloud Platform, וכך להגביל את הנתונים ולעזור בצמצום הסיכונים לזליגת נתונים.

דרישות מוקדמות

לפני שמתחילים, צריך להתקין את ממשק שורת הפקודה (CLI) של gcloud.

הפעלת VPC Service Controls

כדי להפעיל את VPC Service Controls:

  1. מקבלים את מזהי הפרויקט ומספרי הפרויקט של הפרויקט ב-Google Cloud Platform שבו רוצים להשתמש. כדי לקבל את המזהים ומספרי הפרויקטים, אפשר לעיין במאמר זיהוי פרויקטים.

  2. משתמשים ב-gcloud כדי ליצור מדיניות גישה לארגון ב-Google Cloud Platform:

    1. איך מוצאים את מספר הארגון
    2. יוצרים מדיניות גישה.
    3. איך מוצאים את השם של מדיניות הגישה
  3. כדי ליצור גבול גזרה של שירות עם Cloud Search כשירות מוגבל, מריצים את הפקודה הבאה של gcloud:

    gcloud access-context-manager perimeters create NAME \
        --title=TITLE \
        --resources=PROJECTS \
        --restricted-services=RESTRICTED-SERVICES \
        --policy=POLICY_NAME
    

    כאשר:

    • NAME הוא השם של המתחם.
    • TITLE הוא שם ההיקף שקריא לבני אדם.
    • PROJECTS היא רשימה מופרדת בפסיקים של מספר פרויקט אחד או יותר, שמוביל לכל מספר המחרוזת projects/. משתמשים במספרי הפרויקטים שהתקבלו בשלב 1. לדוגמה, אם יש לכם שני פרויקטים, פרויקט 12345 ו-67890, ההגדרה שלכם תהיה --resource=projects/12345, project/67890 .הדגל הזה תומך רק במספרי פרויקטים, ולא בשמות או במזהים.
    • RESTRICTED-SERVICES היא רשימה של שירות אחד או יותר, מופרדים בפסיקים. שימוש ב-cloudsearch.googleapis.com.
    • POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון, שהתקבל בשלב 2ג.

    למידע נוסף על יצירת גבולות גזרה לשירות, ראו יצירת גבולות גזרה לשירות.

  4. (אופציונלי) אם רוצים להחיל הגבלות על סמך כתובת IP או אזור, יוצרים רמות גישה ומוסיפים אותן למתחם השירות שנוצר בשלב 3:

    1. במאמר יצירת רמת גישה בסיסית מוסבר איך יוצרים רמת גישה. לדוגמה ליצירת תנאי ברמת הגישה שמאפשר גישה רק מטווח ספציפי של כתובות IP, כמו כתובות ברשת ארגונית, אפשר לעיין במאמר הגבלת הגישה ברשת ארגונית.
    2. אחרי שיוצרים רמת גישה, מוסיפים אותה לגבולות הגזרה של השירות. להוראות להוספת רמת גישה למתחם שירות, ראו הוספת רמת גישה למתחם קיים. יכול להיות שיחלפו עד 30 דקות עד שהשינוי ייכנס לתוקף.
  5. משתמשים ב-Cloud Search Customer Service REST API כדי לעדכן את הגדרות הלקוח בפרויקט המוגן בגבולות הגזרה של VPC Service Controls:

  1. מקבלים אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. מידע על קבלת האסימון זמין בשלב 2 במאמר שימוש ב-OAuth 2.0 כדי לגשת ל-Google APIs. כשמקבלים את אסימון הגישה, צריך להשתמש באחד מההיקפים הבאים של OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, או https://www.googleapis.com/auth/cloud_search

  2. מריצים את הפקודה הבאה ב-curl כדי להגדיר את הפרויקט בהגדרות של VPC Service Controls בקטע Customer settings (הגדרות לקוח) בחיפוש Google Cloud:

    curl --request PATCH \
      'https://cloudsearch.googleapis.com/v1/settings/customer' \
      --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
      --header 'Accept: application/json' \
      --header 'Content-Type: application/json' \
      --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
      --compressed
    

    כאשר:

  • YOUR_ACCESS_TOKEN הוא אסימון הגישה מסוג OAuth 2.0 שהתקבל בשלב 5א'.
  • PROJECT_ID הוא מזהה הפרויקט שהתקבל בשלב 1.

    אם הפעולה בוצעה בהצלחה, אמורה להגיע תגובה מסוג 200 OK עם ההגדרות המעודכנות של הלקוח.

אחרי השלמת השלבים שלמעלה, ההגבלות של VPC Service Controls, כפי שמוגדרות בגבולות השירות, חלות על כל ממשקי ה-API של חיפוש Google Cloud, על חיפושים ב-cloudsearch.google.com ועל הצגה ושינוי של הגדרות או דוחות באמצעות מסוף Admin. בקשות נוספות ל-Google Cloud Search API שלא עומדות ברמות הגישה יקבלו את השגיאה PERMISSION_DENIED “Request is prohibited by organization’s policy”.