Mehr Sicherheit mit VPC Service Controls

Google Cloud Search unterstützt VPC Service Controls, um die Sicherheit Ihrer Daten zu erhöhen. Mit VPC Service Controls können Sie einen Dienstperimeter für Google Cloud-Ressourcen definieren, um Daten einzuschränken und das Risiko einer Daten-Exfiltration zu minimieren.

Vorbereitung

Installieren Sie die gcloud-Befehlszeilenschnittstelle, bevor Sie beginnen.

VPC Service Controls aktivieren

So aktivieren Sie VPC Service Controls:

1. Rufen Sie die Projekt-IDs und Projektnummern für das Google Cloud-Projekt ab, das Sie verwenden möchten. Informationen zum Abrufen der Projekt-IDs und -Nummern finden Sie unter Projekte identifizieren.

2. So erstellen Sie mit gcloud eine Zugriffsrichtlinie für Ihre Google Cloud-Organisation:

   1. Organisations-ID abrufen
   2. Zugriffsrichtlinie erstellen
   3. Name Ihrer Zugriffsrichtlinie abrufen

3. Erstellen Sie einen Serviceperimeter mit Cloud Search als eingeschränkten Dienst, indem Sie den folgenden gcloud-Befehl ausführen:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Wobei:

   • NAME ist der Name des Perimeters.
   • TITLE ist der für Menschen lesbare Titel des Perimeters.
   • PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern, denen jeweils der String projects/ vorangestellt ist. Verwenden Sie die in Schritt 1 ermittelten Projektnummern. Wenn Sie beispielsweise zwei Projekte haben, Projekt 12345 und 67890, lautet Ihre Einstellung --resource=projects/12345, project/67890 .Dieses Flag unterstützt nur Projektnummern, keine Namen oder IDs.
   • RESTRICTED-SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Verwenden Sie cloudsearch.googleapis.com.
   • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation, die Sie in Schritt 2c erhalten haben.

   Weitere Informationen zum Erstellen eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.

4. Optional: Wenn Sie IP- oder regionsbasierte Einschränkungen anwenden möchten, erstellen Sie Zugriffsebenen und fügen Sie sie dem in Schritt 3 erstellten Dienstperimeter hinzu:

   1. Informationen zum Erstellen einer Zugriffsebene finden Sie unter Einfache Zugriffsebene erstellen. Ein Beispiel dafür, wie Sie eine Bedingung für eine Zugriffsebene erstellen, die den Zugriff nur aus einem bestimmten Bereich von IP-Adressen zulässt (z. B. innerhalb eines Unternehmensnetzwerks), finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.
   2. Nachdem Sie eine Zugriffsebene erstellt haben, fügen Sie sie dem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen einer Zugriffsebene zu einem Dienstperimeter finden Sie unter Zugriffsebene zu einem vorhandenen Perimeter hinzufügen. Es kann bis zu 30 Minuten dauern, bis diese Änderung übernommen wird und wirksam wird.

5. Verwenden Sie die Cloud Search Customer Service REST API, um die Kundeneinstellungen mit Ihrem VPC Service Controls-Perimeter-geschützten Projekt zu aktualisieren:

1. Rufen Sie ein OAuth 2.0-Zugriffstoken vom Google Authorization Server ab. Informationen zum Abrufen des Tokens finden Sie in Schritt 2 unter Mit OAuth 2.0 auf Google APIs zugreifen. Verwenden Sie beim Abrufen des Zugriffstokens einen der folgenden OAuth-Bereiche: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings oder https://www.googleapis.com/auth/cloud_search.

2. Führen Sie den folgenden curl-Befehl aus, um das Projekt in den VPC Service Controls-Einstellungen unter „Kundeneinstellungen“ in Google Cloud Search festzulegen:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Wobei:

• YOUR_ACCESS_TOKEN ist das in Schritt 5a abgerufene OAuth 2.0-Zugriffstoken.

• PROJECT_ID ist die in Schritt 1 ermittelte Projekt-ID.

  Wenn der Vorgang erfolgreich war, erhalten Sie eine 200 OK-Antwort mit den aktualisierten Kundeneinstellungen.

Nachdem die oben genannten Schritte erfolgreich abgeschlossen wurden, werden die in den Dienstperimetern definierten VPC Service Controls-Einschränkungen auf alle Google Cloud Search-APIs, Suchvorgänge unter cloudsearch.google.com sowie auf das Aufrufen und Ändern von Konfigurationen oder Berichten über die Admin-Konsole angewendet. Weitere Anfragen an die Google Cloud Search API, die nicht den Zugriffsebenen entsprechen, führen zu einem PERMISSION_DENIED “Request is prohibited by organization’s policy”-Fehler.