Migliorare la sicurezza con i Controlli di servizio VPC

Google Cloud Search supporta i Controlli di servizio VPC per migliorare la sicurezza dei tuoi dati. I Controlli di servizio VPC ti consentono di definire un perimetro di servizio attorno alle risorse Google Cloud Platform per applicare vincoli ai dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Prerequisiti

Prima di iniziare, installa l'interfaccia a riga di comando gcloud.

Abilitare i Controlli di servizio VPC

Per attivare i Controlli di servizio VPC:

1. Ottieni gli ID e i numeri di progetto per il progetto Google Cloud Platform che vuoi utilizzare. Per ottenere gli ID e i numeri dei progetti, consulta Identificazione dei progetti.

2. Utilizza gcloud per creare un criterio di accesso per la tua organizzazione Google Cloud Platform:

   1. Recupera l'ID organizzazione.
   2. Crea una policy di accesso.
   3. Recupera il nome della tua policy di accesso.

3. Crea un perimetro di servizio con Cloud Search come servizio con limitazioni eseguendo questo comando gcloud:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Dove:

   • NAME è il nome del perimetro.
   • TITLE è il titolo leggibile del perimetro.
   • PROJECTS è un elenco separato da virgole di uno o più numeri di progetto, ciascuno preceduto dalla stringa projects/. Utilizza i numeri di progetto ottenuti nel passaggio 1. Ad esempio, se avevi due progetti, 12345 e 67890, l'impostazione sarebbe --resource=projects/12345, project/67890 .Questo flag supporta solo i numeri di progetto, non i nomi o gli ID.
   • RESTRICTED-SERVICES è un elenco separato da virgole di uno o più servizi. Utilizza cloudsearch.googleapis.com.
   • POLICY_NAME è il nome numerico della policy di accesso della tua organizzazione ottenuto nel passaggio 2c.

   Per ulteriori informazioni su come creare un perimetro di servizio, consulta Creazione di un perimetro di servizio.

4. (Facoltativo) Se vuoi applicare restrizioni basate su IP o regione, crea livelli di accesso e aggiungili al perimetro di servizio creato nel passaggio 3:

   1. Per creare un livello di accesso, consulta la sezione Creazione di un livello di accesso base. Per un esempio di come creare una condizione di livello di accesso che consenta l'accesso solo da un intervallo specifico di indirizzi IP, ad esempio quelli all'interno di una rete aziendale, consulta Limitare l'accesso a una rete aziendale.
   2. Dopo aver creato un livello di accesso, aggiungilo al perimetro di servizio. Per istruzioni sull'aggiunta di un livello di accesso a un perimetro di servizio, consulta Aggiunta di un livello di accesso a un perimetro esistente. L'applicazione di questa modifica può richiedere fino a 30 minuti.

5. Utilizza l'API REST del servizio clienti di Cloud Search per aggiornare le impostazioni del cliente con il progetto protetto dal perimetro Controlli di servizio VPC:

1. Ottieni un token di accesso OAuth 2.0 dal server di autorizzazione Google. Per informazioni su come ottenere il token, consulta il passaggio 2 dell'articolo Utilizzare OAuth 2.0 per accedere alle API di Google. Quando ottieni il token di accesso, utilizza uno dei seguenti ambiti OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, o https://www.googleapis.com/auth/cloud_search

2. Esegui questo comando curl per impostare il progetto nelle impostazioni dei Controlli di servizio VPC in Impostazioni cliente in Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Dove:

• YOUR_ACCESS_TOKEN è il token di accesso OAuth 2.0 ottenuto nel passaggio 5a.

• PROJECT_ID è l'ID progetto ottenuto nel passaggio 1.

  In caso di esito positivo, dovresti ricevere una risposta 200 OK accompagnata dalle impostazioni cliente aggiornate.

Una volta completati correttamente i passaggi precedenti, le limitazioni dei Controlli di servizio VPC, come definite nel perimetro di servizio, vengono applicate a tutte le API Google Cloud Search, alle ricerche all'indirizzo cloudsearch.google.com e alla visualizzazione e alla modifica della configurazione o dei report utilizzando la Console di amministrazione. Le richieste successive all'API Google Cloud Search che non rispettano i livelli di accesso ricevono un errore PERMISSION_DENIED “Request is prohibited by organization’s policy”.