Hướng dẫn cơ bản về biện pháp kiểm soát dịch vụ đám mây riêng ảo (VPC) I

1. Giới thiệu

Chế độ kiểm soát dịch vụ VPC (VPC-SC) là một biện pháp kiểm soát bảo mật cấp tổ chức trong Google Cloud, cho phép khách hàng doanh nghiệp giảm thiểu rủi ro đánh cắp dữ liệu. VPC Service Controls cung cấp quyền truy cập vào các dịch vụ đa khách hàng theo nguyên tắc không tin tưởng bất cứ điều gì (zero-trust) bằng cách cho phép khách hàng hạn chế quyền truy cập vào các IP được cấp phép, ngữ cảnh máy khách và các thông số thiết bị trong khi kết nối với các dịch vụ đa khách hàng qua Internet và các dịch vụ khác nhằm giảm thiểu cả tổn thất do cố ý và vô ý. Bạn có thể dùng giải pháp VPC Service Controls để tạo những ranh giới giúp bảo vệ tài nguyên và dữ liệu của những dịch vụ mà bạn chỉ định rõ ràng.

Mục tiêu của hướng dẫn này là:

  • Tìm hiểu thông tin cơ bản về dịch vụ VPC Service Controls
  • Tạo phạm vi dịch vụ VPC
  • Bảo vệ dự án bằng giải pháp VPC Service Controls
  • Khắc phục lỗi vi phạm lưu lượng vào dịch vụ VPC Service Controls

2. Thiết lập và yêu cầu

Đối với hướng dẫn này, chúng ta cần những điều kiện tiên quyết sau đây:

  • Tổ chức GCP.
  • Một thư mục trong phần Tổ chức.
  • 2 dự án GCP trong cùng một Tổ chức được đặt trong thư mục này.
  • Các quyền bắt buộc ở cấp tổ chức.
  • Tài khoản thanh toán cho cả hai dự án.

1a62ebea85d6d4fc.png.

Thiết lập tài nguyên

  1. Trong Google Cloud Console, hãy tạo một thư mục trong phần Tổ chức và tạo 2 dự án mới.(bạn có thể sử dụng lại các dự án hiện có).

(Nếu chưa có tài khoản Google Workspace/Cloud Identity, bạn phải mua lại một tài khoản vì bạn cần có một Tổ chức để xem hướng dẫn này).

  1. Xác minh rằng bạn có quyền phù hợp đối với hướng dẫn này ở cấp tổ chức.
  1. Hãy đảm bảo cả hai dự án đều có sẵn trong thư mục này vì chúng ta cần tạo chính sách theo phạm vi ở cấp thư mục. Tìm hiểu về cách di chuyển dự án vào một thư mục.

f7c75ab82028cb15.png

Chi phí

Bạn phải bật tính năng thanh toán trong Cloud Console để sử dụng các API/tài nguyên trên Cloud. Việc chạy qua lớp học lập trình này sẽ không tốn nhiều chi phí. Để tắt các tài nguyên nhằm tránh phát sinh việc thanh toán ngoài hướng dẫn này, bạn có thể xoá các tài nguyên bạn đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí 300 USD.

Tài nguyên duy nhất sẽ tạo ra chi phí là Phiên bản máy ảo. Bạn có thể xem chi phí ước tính trong công cụ tính giá.

3. Tạo chu vi

Trong phòng thí nghiệm này, chúng ta sẽ thực hiện các bước sau:

  1. Trong Google Console, hãy chọn Tổ chức của bạn rồi chọn Truy cập vào VPC Service Controls. Hãy đảm bảo rằng bạn đang ở cấp tổ chức.

43d5af2d5f084bb4.png.

  1. Nhấp vào "Quản lý chính sách" để tạo một chính sách mới về quyền truy cập trong phạm vi "Lớp học lập trình" .

9f75d949ca9992c4.pngS

  1. Tạo Chu vi mới ở chế độ thực thi. Đặt tên là "SuperProtection" cho hướng dẫn này.
  • Khi bạn tạo chu vi, hãy chọn dự án cần thực thi là ProjectZ.
  • Chọn loại chu vi là "Thường".
  • Trong hộp thoại Specify services to Restricted (Chỉ định dịch vụ cần hạn chế), hãy chọn dịch vụ mà bạn muốn hạn chế là "Compute Engine".

Thiết lập chu vi sẽ có dạng như sau:

914d603103cb21.pngs

4. Xác minh rằng phạm vi đã được thực thi

  1. Truy cập ProjectX và xác minh xem bạn có thể truy cập vào Compute Engine API hay không bằng cách truy cập vào trang chủ của Phiên bản máy ảo. Bạn có thể làm như vậy vì projectX không được bảo vệ bằng phạm vi VPC SC đã tạo.
  2. Truy cập vào ProjectZ và xác minh xem bạn có thể truy cập vào Compute Engine hay không. Bạn có thể thấy rằng yêu cầu đã bị VPC Service Controls cấm vì SuperProtection của ranh giới dịch vụ bảo vệ ProjectZ và Compute Engine API.

d5073543f783e9c7.png

5. Khắc phục sự cố từ chối

Trước tiên, chúng ta phải xác định chính xác vấn đề ở đây để xác định cách gỡ rối.

  1. Nhật ký VPC Service Controls bao gồm thông tin chi tiết về các yêu cầu đối với tài nguyên được bảo vệ và lý do khiến VPC Service Controls từ chối yêu cầu. Hãy tìm Mã nhận dạng duy nhất cho các tuỳ chọn kiểm soát dịch vụ VPC trong nhật ký kiểm tra của ProjectZ bằng cách sử dụng truy vấn sau trong Trình khám phá nhật ký:
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Thao tác này sẽ hiển thị tất cả nhật ký kiểm tra của VPC Service Controls. Chúng tôi sẽ tìm nhật ký lỗi mới nhất.

  1. Nhấp vào tiêu đề VPC Service Controls (Điều khiển dịch vụ VPC) rồi chọn "Khắc phục sự cố từ chối" Thao tác này sẽ mở Trình khắc phục sự cố về biện pháp kiểm soát dịch vụ VPC.

API này sẽ cho chúng tôi biết lý do vi phạm trong một giao diện người dùng thân thiện, cũng như liệu đây có phải là lỗi vi phạm lưu lượng truy cập vào hay ra, cùng nhiều thông tin hữu ích khác hay không.

Đối với bài tập này, chúng ta sẽ tìm những nội dung sau:

"principalEmail": "user@domain"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection
"ingressViolations": [
        {
"targetResource": "projects/[PROJECT_NUMBER]",
"servicePerimeter": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "[PROJECT_ID]"

Chúng tôi có 2 cách để khắc phục việc từ chối này trong ProjectZ.

  • Tạo cấp truy cập để cho phép truy cập vào dự án bên trong phạm vi bằng cách cấp quyền truy cập vào IP hệ thống của tôi.
  • Tạo quy tắc nhập dữ liệu để cho phép ứng dụng API truy cập từ bên ngoài phạm vi dịch vụ vào các tài nguyên trong phạm vi dịch vụ.

Trong hướng dẫn này, chúng ta sẽ khắc phục sự cố bằng cách tạo Cấp truy cập.

  1. Chuyển đến phần Access Context Manager ở phạm vi Thư mục (Lớp học lập trình) rồi tạo một cấp truy cập mới.
  2. Sử dụng "Chế độ cơ bản" và chúng tôi sẽ cho phép truy cập khi mạng con IP và Vị trí địa lý được đáp ứng.

678f0f9d7bac921d.pngS

  1. Chuyển đến phần VPC Service Controls ở phạm vi Tổ chức. Chọn chính sách truy cập của bạn cho lớp học lập trình này và chỉnh sửa phạm vi mà chúng ta đã tạo trước đó.
  2. Thêm cấp truy cập được tạo ở phạm vi thư mục rồi lưu.

c0af5691dfe9dd75.png

6. Kết quả thử nghiệm.

Xác nhận rằng chúng tôi có quyền truy cập vào Compute Engine và có thể tạo một phiên bản máy ảo. Bây giờ, chúng ta đã tạo Cấp truy cập, hãy thử truy cập vào Compute Engine trong ProjectZ và tạo một thực thể máy ảo.

  1. Truy cập vào Compute Engine rồi nhấp vào Create Instance (Tạo phiên bản)

c1206aaf18497ec1.png

  1. Hãy giữ nguyên mọi thứ theo mặc định và cố gắng tạo một phiên bản máy ảo có chi phí thấp.

Sau khoảng 1 phút, bạn sẽ thấy thực thể máy ảo được tạo và có thể xác minh rằng mình có toàn quyền truy cập vào Compute Engine được bảo vệ bên trong phạm vi.

5b2ded02f669b2ef.png.

7. Dọn dẹp

Mặc dù bạn không phải trả phí riêng cho việc sử dụng dịch vụ VPC Service Controls khi không sử dụng dịch vụ này, nhưng tốt nhất là bạn nên dọn dẹp chế độ thiết lập được sử dụng trong phòng thí nghiệm này. Bạn cũng có thể xoá phiên bản máy ảo và/hoặc dự án Cloud để tránh phát sinh phí. Khi bạn xoá dự án Cloud của mình, hệ thống sẽ ngừng tính phí cho tất cả tài nguyên dùng trong dự án đó.

  1. Để xoá phiên bản máy ảo của bạn, hãy đánh dấu vào hộp ở bên trái tên phiên bản máy ảo đó, rồi nhấp vào Xoá.

da0abf0894fe03cd.png

  1. Để xoá phạm vi, hãy hoàn tất các bước sau:
  • Trong bảng điều khiển Google Cloud, hãy nhấp vào Bảo mật, rồi nhấp vào Chế độ kiểm soát dịch vụ VPC ở phạm vi Tổ chức.
  • Trên trang VPC Service Controls, trong hàng của bảng tương ứng với phạm vi mà bạn muốn xoá, hãy nhấp vào "Xoá biểu tượng"
  1. Để xoá Cấp truy cập, hãy hoàn tất các bước sau:
  • trong bảng điều khiển Google Cloud, hãy mở trang Access Context Manager ở phạm vi Thư mục.
  • Trong lưới, tại hàng tương ứng với cấp truy cập mà bạn muốn xoá, hãy nhấp vào "Xoá Biểu tượng", sau đó nhấp vào Xoá.
  1. Để tắt Dự án, hãy hoàn tất các bước sau:
  • Trong bảng điều khiển Google Cloud, hãy chuyển đến IAM & Trang Cài đặt quản trị của dự án mà bạn muốn xoá.
  • Trên IAM và trang Cài đặt quản trị, nhấp vào Tắt.
  • Nhập mã dự án rồi nhấp vào Vẫn tắt.

8. Xin chúc mừng!

Trong lớp học lập trình này, bạn đã tạo và thực thi và khắc phục sự cố cho phạm vi của VPC Service Controls.

Tìm hiểu thêm

Giấy phép

Tác phẩm này được cấp phép theo Giấy phép chung Ghi nhận tác giả Creative Commons 2.0.