Tăng cường bảo mật bằng VPC Service Controls

Google Cloud Search hỗ trợ giải pháp VPC Service Controls để tăng cường bảo mật cho dữ liệu của bạn. VPC Service Controls cho phép bạn xác định một ranh giới dịch vụ xung quanh các tài nguyên của Google Cloud Platform để hạn chế dữ liệu và giúp giảm thiểu rủi ro rò rỉ dữ liệu.

Điều kiện tiên quyết

Trước khi bắt đầu, hãy cài đặt giao diện dòng lệnh gcloud.

Bật tính năng Kiểm soát dịch vụ VPC

Cách bật VPC Service Controls:

1. Lấy mã dự án và số dự án cho dự án Google Cloud Platform mà bạn muốn sử dụng. Để lấy mã và số dự án, hãy tham khảo phần Xác định dự án.

2. Sử dụng gcloud để tạo chính sách truy cập cho tổ chức của bạn trên Google Cloud Platform:

   1. Lấy mã tổ chức.
   2. Tạo chính sách truy cập.
   3. Lấy tên của chính sách truy cập.

3. Tạo một chu vi dịch vụ có Cloud Search làm dịch vụ bị hạn chế bằng cách chạy lệnh gcloud sau:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Trong trường hợp:

   • NAME là tên của chu vi.
   • TITLE là tiêu đề mà con người có thể đọc được của chu vi.
   • PROJECTS là danh sách gồm một hoặc nhiều số dự án được phân tách bằng dấu phẩy, mỗi số dự án đều có chuỗi projects/ ở phía trước. Sử dụng số dự án thu được ở bước 1. Ví dụ: nếu bạn có hai dự án là 12345 và 67890, thì chế độ cài đặt của bạn sẽ là --resource=projects/12345, project/67890 .Cờ này chỉ hỗ trợ số dự án, chứ không hỗ trợ tên hoặc mã dự án.
   • RESTRICTED-SERVICES là danh sách gồm một hoặc nhiều dịch vụ được phân tách bằng dấu phẩy. Sử dụng cloudsearch.googleapis.com.
   • POLICY_NAME là tên bằng số của chính sách truy cập của tổ chức mà bạn nhận được ở bước 2c.

   Để biết thêm thông tin về cách tạo một phạm vi dịch vụ, hãy tham khảo bài viết Tạo phạm vi dịch vụ.

4. (không bắt buộc) Nếu bạn muốn áp dụng các hạn chế dựa trên IP hoặc khu vực, hãy tạo các cấp truy cập và thêm các cấp đó vào chu vi dịch vụ đã tạo ở bước 3:

   1. Để tạo cấp truy cập, hãy tham khảo phần Tạo cấp truy cập cơ bản. Để xem ví dụ về cách tạo điều kiện cấp độ truy cập chỉ cho phép truy cập từ một dải địa chỉ IP cụ thể (chẳng hạn như những địa chỉ IP trong mạng của công ty), hãy tham khảo bài viết Giới hạn quyền truy cập trên mạng của công ty.
   2. Sau khi tạo cấp truy cập, hãy thêm cấp truy cập đó vào ranh giới dịch vụ. Để biết hướng dẫn về cách thêm cấp truy cập vào một chu vi dịch vụ, hãy tham khảo bài viết Thêm cấp truy cập vào một chu vi hiện có. Thay đổi này có thể mất đến 30 phút để lan truyền và có hiệu lực.

5. Sử dụng Cloud Search Customer Service REST API để cập nhật chế độ cài đặt khách hàng bằng dự án được bảo vệ bằng phạm vi VPC Service Controls:

1. Lấy mã truy cập OAuth 2.0 từ Máy chủ uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 trong phần Sử dụng OAuth 2.0 để truy cập vào các API của Google. Khi lấy mã truy cập, hãy sử dụng một trong các phạm vi OAuth sau đây: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings hoặc https://www.googleapis.com/auth/cloud_search

2. Chạy lệnh curl sau đây để đặt dự án trong chế độ cài đặt VPC Service Controls trong phần Chế độ cài đặt của khách hàng trong Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Trong trường hợp:

• YOUR_ACCESS_TOKEN là mã truy cập OAuth 2.0 thu được ở bước 5a.

• PROJECT_ID là mã dự án mà bạn nhận được ở bước 1.

  Nếu thành công, bạn sẽ nhận được phản hồi 200 OK kèm theo chế độ cài đặt khách hàng đã cập nhật.

Sau khi bạn hoàn tất thành công các bước trên, các hạn chế của VPC Service Controls (Kiểm soát dịch vụ bằng VPC) (như được xác định trong ranh giới dịch vụ) sẽ được áp dụng cho tất cả các API Google Cloud Search, các lượt tìm kiếm tại cloudsearch.google.com, cũng như việc xem và thay đổi cấu hình hoặc báo cáo bằng Bảng điều khiển dành cho quản trị viên. Các yêu cầu khác đối với Google Cloud Search API không tuân theo các cấp truy cập sẽ nhận được lỗi PERMISSION_DENIED “Request is prohibited by organization’s policy”.