שיפור האבטחה באמצעות VPC Service Controls

אפליקציית Google Cloud Search תומכת ב-VPC Service Controls כדי לשפר את אבטחת הנתונים. בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירות מסביב למשאבים של Google Cloud, וכך להגביל את הנתונים ולצמצם את הסיכונים לזליגת נתונים.

דרישות מוקדמות

לפני שמתחילים, מתקינים את ה-CLI של gcloud.

הפעלת VPC Service Controls

כדי להפעיל את VPC Service Controls:

  1. מקבלים את המזהים והמספרים של הפרויקט ב-Google Cloud שבו רוצים להשתמש. איך מזהים פרויקטים

  2. משתמשים ב-gcloud כדי ליצור מדיניות גישה לארגון ב-Google Cloud:

    1. איך מוצאים את מספר הארגון
    2. יצירת מדיניות גישה
    3. איך מקבלים את השם של מדיניות הגישה

  3. יוצרים גבולות גזרה לשירות עם Cloud Search כשירות מוגבל:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    כאשר:

    • NAME הוא שם ההיקף.
    • TITLE היא הכותרת של ההיקף.
    • PROJECTS היא רשימה של מספרי פרויקטים שמופרדים בפסיקים, ולפני כל מספר מופיע projects/. לדוגמה, --resources=projects/12345,projects/67890. הדגל הזה תומך רק במספרי פרויקטים.
    • RESTRICTED-SERVICES היא רשימה מופרדת בפסיקים. שימוש ב-cloudsearch.googleapis.com.
    • POLICY_NAME הוא השם המספרי של מדיניות הגישה של הארגון.

    מידע נוסף זמין במאמר יצירת גבולות גזרה לשירות.

  4. (אופציונלי) כדי להחיל הגבלות שמבוססות על כתובת IP או על אזור, יוצרים רמות גישה ומוסיפים אותן לגבולות הגזרה:

    1. כדי ליצור רמת גישה, ראו יצירת רמת גישה בסיסית. דוגמה מופיעה במאמר בנושא הגבלת הגישה ברשת ארגונית.
    2. מוסיפים את רמת הגישה להיקף. ראו הוספת רמת גישה להיקף קיים. ההפצה יכולה להימשך עד 30 דקות.

  5. משתמשים ב-Cloud Search Customer Service API בארכיטקטורת REST כדי לעדכן את הגדרות הלקוח בפרויקט המוגן:

    1. מקבלים אסימון גישה מסוג OAuth 2.0. מידע נוסף זמין במאמר בנושא שימוש ב-OAuth 2.0 לגישה ל-Google APIs. משתמשים באחד מההיקפים הבאים:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. מריצים את פקודת ה-curl הבאה:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      מחליפים את YOUR_ACCESS_TOKEN ואת PROJECT_ID.

עדכון מוצלח מחזיר תגובה 200 OK. ההגבלות של VPC Service Controls חלות עכשיו על כל ממשקי Cloud Search API, על חיפושים בכתובת cloudsearch.google.com ועל הגדרות או דוחות במסוף Admin. בקשות שמפרות את רמות הגישה מקבלות שגיאה PERMISSION_DENIED.