שיפור האבטחה עם פקדי שירות VPC

Google Cloud Search תומך ב-VPC Service Controls כדי לשפר את אבטחת הנתונים. בעזרת VPC Service Controls תוכלו להגדיר גבולות גזרה לשירותים של Google Cloud Platform כדי להגביל את הנתונים ולעזור לצמצם את הסיכונים לזליגת נתונים.

דרישות מוקדמות

לפני שמתחילים, מתקינים את ממשק שורת הפקודה של gcloud.

הפעלת VPC Service Controls

כדי להפעיל את VPC Service Controls:

1. להשיג את מזהי הפרויקטים ואת מספרי הפרויקטים של הפרויקט ב-Google Cloud Platform שבו רוצים להשתמש. במאמר זיהוי פרויקטים תוכלו למצוא את המזהים ואת המספרים של הפרויקטים.

2. כדי ליצור מדיניות גישה לארגון שלכם ב-Google Cloud Platform, משתמשים ב-gcloud:

   1. איך מקבלים את מזהה הארגון.
   2. יוצרים מדיניות גישה.
   3. בודקים את השם של מדיניות הגישה.

3. כדי ליצור Service perimeter עם Cloud Search כשירות מוגבל, מריצים את הפקודה הבאה ב-gcloud:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   כאשר:

   • NAME הוא שם ההיקף.
   • TITLE - הכותרת הקריאת (לבני אדם) של ההיקף.
   • PROJECTS - רשימה מופרדת בפסיקים של מספר פרויקט אחד או יותר, לפני כל מספר פרויקט לפני המחרוזת projects/. השתמשו במספרי הפרויקטים שהתקבלו בשלב 1. לדוגמה, במקרה שיש שני פרויקטים, 12345 ו-67890, ההגדרה תהיה --resource=projects/12345, project/67890 .הדגל הזה תומך רק במספרי פרויקטים, ולא תומך בשמות או במזהים.
   • RESTRICTED-SERVICES היא רשימה מופרדת בפסיקים של שירות אחד או יותר. שימוש בחשבון cloudsearch.googleapis.com
   • POLICY_NAME זהו השם המספרי של מדיניות הגישה של הארגון שקיבלתם בשלב 2ג.

   איך יוצרים גבולות גזרה לשירות

4. (אופציונלי) אם אתם רוצים להחיל הגבלות לפי IP או אזור, יוצרים רמות גישה ומוסיפים אותן לגבולות הגזרה לשירות שנוצר בשלב 3:

   1. במאמר יצירת רמת גישה בסיסית מוסבר איך ליצור רמת גישה. במאמר הגבלת גישה ברשת ארגונית תוכלו לראות דוגמה ליצירת תנאי של רמת גישה שמאפשר גישה רק מטווח מסוים של כתובות IP, למשל כתובות בתוך רשת ארגונית.
   2. אחרי שיוצרים רמת גישה, מוסיפים אותה לגבולות הגזרה לשירות. במאמר הוספה של רמת גישה למתחם קיים מוסבר איך להוסיף רמת גישה לגבולות גזרה של שירות. יכול להיות שיחלפו עד 30 דקות לפני שהשינוי הזה יופץ וייכנס לתוקף.

5. משתמשים ב-API ל-REST של שירות הלקוחות ב-Cloud Search כדי לעדכן את הגדרות הלקוח בפרויקט שמוגן בצורה היקפית באמצעות VPC Service Controls:

1. קבלת אסימון גישה מסוג OAuth 2.0 משרת ההרשאות של Google. למידע על קבלת האסימון, יש לעיין בשלב 2 של שימוש ב-OAuth 2.0 לגישה ל-Google APIs. כשמקבלים את אסימון הגישה, צריך להשתמש באחד מהיקפי ההרשאות הבאים של OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings או https://www.googleapis.com/auth/cloud_search

2. מריצים את פקודת ה-curl הבאה כדי להגדיר את הפרויקט בהגדרות של VPC Service Controls בהגדרות הלקוח ב-Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   כאשר:

• YOUR_ACCESS_TOKEN הוא אסימון גישה מסוג OAuth 2.0 שהתקבל בשלב 5א.

• PROJECT_ID - מזהה הפרויקט שהתקבל בשלב 1.

  אם התהליך יסתיים בהצלחה, אמורה להופיע התשובה 200 OK יחד עם הגדרות הלקוח המעודכנות.

אחרי שהשלבים שלמעלה יושלמו, ההגבלות של VPC Service Controls, כפי שהוגדרו ב-Service perimeter, יחולו על כל ממשקי ה-API של Google Cloud Search, החיפושים בכתובת cloudsearch.google.com, ותוכלו לראות ולשנות את ההגדרות או הדוחות באמצעות מסוף Admin. בקשות נוספות ל-Google Cloud Search API שלא עומדות ברמות הגישה יקבלו את הודעת השגיאה PERMISSION_DENIED “Request is prohibited by organization’s policy”.