שיפור האבטחה באמצעות VPC Service Controls

שירות Google Cloud Search תומך ב-VPC Service Controls כדי לשפר את אבטחת הנתונים. בעזרת VPC Service Controls תוכלו להגדיר מתחם שירות מסביב למשאבים של Google Cloud Platform, וכך להגביל את הנתונים ולצמצם את הסיכונים לזליגת נתונים.

דרישות מוקדמות

לפני שמתחילים, צריך להתקין את ממשק שורת הפקודות (CLI) של gcloud.

הפעלת VPC Service Controls

כדי להפעיל את VPC Service Controls:

1. מקבלים את מזהי הפרויקט ואת מספרי הפרויקט של פרויקט Google Cloud Platform שבו רוצים להשתמש. כדי לקבל את מזהי הפרויקטים ואת מספרי הפרויקטים, אפשר לעיין במאמר בנושא זיהוי פרויקטים.

2. משתמשים ב-gcloud כדי ליצור מדיניות גישה לארגון Google Cloud Platform:

   1. איך מוצאים את מספר הארגון
   2. יצירה של מדיניות גישה
   3. איך מקבלים את השם של מדיניות הגישה

3. מריצים את פקודת gcloud הבאה כדי ליצור גבול שירות עם Cloud Search כשירות מוגבל:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   כאשר:

   • ‫NAME הוא שם ההיקף.
   • ‫TITLE הוא השם של ההיקף שקריא לבני אדם.
   • ‫PROJECTS היא רשימה מופרדת בפסיקים של מספר פרויקט אחד או יותר, שלפני כל אחד מהם מופיעה המחרוזת projects/. משתמשים במספרי הפרויקטים שהתקבלו בשלב 1. לדוגמה, אם יש לכם שני פרויקטים, project 12345 ו-67890, ההגדרה תהיה --resource=projects/12345, project/67890 .הדגל הזה תומך רק במספרי פרויקטים, ולא בשמות או במזהים.
   • ‫RESTRICTED-SERVICES היא רשימה של שירות אחד או יותר, מופרדת בפסיקים. שימוש ב-cloudsearch.googleapis.com.
   • ‫POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון שהתקבל בשלב 2c.

   מידע נוסף על יצירת גבולות גזרה לשירות זמין במאמר יצירת גבולות גזרה לשירות.

4. (אופציונלי) אם רוצים להחיל הגבלות שמבוססות על כתובת IP או על אזור, יוצרים רמות גישה ומוסיפים אותן למתחם בקרת הגישה שנוצר בשלב 3:

   1. כדי ליצור רמת גישה, אפשר לעיין במאמר בנושא יצירה של רמת גישה בסיסית. דוגמה ליצירת תנאי לרמת גישה שמאפשר גישה רק מטווח מסוים של כתובות IP, כמו כתובות ברשת ארגונית, מופיעה במאמר הגבלת הגישה ברשת ארגונית.
   2. אחרי שיוצרים רמת גישה, מוסיפים אותה לגבולות הגזרה לשירות. הוראות להוספת רמת גישה לגבולות גזרה של שירות מפורטות במאמר הוספת רמת גישה לגבולות גזרה קיימים. יכול להיות שיחלפו עד 30 דקות עד שהשינוי יתעדכן וייכנס לתוקף.

5. אתם יכולים להשתמש ב-Cloud Search Customer Service REST API כדי לעדכן את הגדרות הלקוח בפרויקט שמוגן על ידי גבולות גזרה של VPC Service Controls:

1. מקבלים אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. מידע על קבלת האסימון מופיע בשלב 2 של המאמר שימוש ב-OAuth 2.0 כדי לגשת אל Google APIs. כשמקבלים את אסימון הגישה, צריך להשתמש באחד מההיקפים הבאים של OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, או https://www.googleapis.com/auth/cloud_search

2. מריצים את פקודת ה-curl הבאה כדי להגדיר את הפרויקט בהגדרות של VPC Service Controls בקטע Customer settings (הגדרות לקוח) ב-Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   כאשר:

• ‫YOUR_ACCESS_TOKEN הוא אסימון הגישה מסוג OAuth 2.0 שהתקבל בשלב 5א.

• ‫PROJECT_ID הוא מזהה הפרויקט שהתקבל בשלב 1.

  אם הפעולה בוצעה ללא שגיאות, אמורה להתקבל תגובה 200 OK עם הגדרות הלקוח המעודכנות.

אחרי שמשלימים את השלבים שלמעלה, ההגבלות של VPC Service Controls, כפי שהוגדרו בפרימטר השירות, חלות על כל ממשקי ה-API של Google Cloud Search, על חיפושים ב-cloudsearch.google.com ועל צפייה בהגדרות או בדוחות ושינוי שלהם באמצעות מסוף Admin. בקשות נוספות ל-Google Cloud Search API שלא עומדות ברמות הגישה יקבלו שגיאה PERMISSION_DENIED “Request is prohibited by organization’s policy”.