O VPC Service Controls pode melhorar a sua capacidade de mitigar o risco de exfiltração de dados dos Google Cloud serviços. Pode usar os VPC Service Controls para criar perímetros de serviço que ajudam a proteger os recursos e os dados dos serviços que especificar explicitamente.
Para adicionar o serviço Looker (Google Cloud core) a um perímetro de serviço dos VPC Service Controls, siga as instruções sobre como criar um perímetro de serviço na página de documentação Crie um perímetro de serviço e selecione API Looker (Google Cloud core) na caixa de diálogo Especifique os serviços a restringir. Para saber mais sobre a utilização dos VPC Service Controls, visite a página de documentação Vista geral dos VPC Service Controls.
Os VPC Service Controls suportam instâncias do Looker (essencial para o Google Cloud) que cumprem dois critérios:
- As edições de instância têm de ser Enterprise ou Embed
- As configurações de rede da instância têm de usar apenas o IP privado
Funções necessárias
Para compreender as funções da IAM necessárias para configurar os VPC Service Controls, visite a página Controlo de acesso com a IAM da documentação dos VPC Service Controls.
Remover o trajeto predefinido
Quando uma instância do Looker (Google Cloud core) é criada num Google Cloud projeto que está dentro de um perímetro do VPC Service Controls ou está dentro de um projeto que é adicionado a um perímetro do VPC Service Controls, tem de remover a rota predefinida para a Internet.
Para remover a rota predefinida para a Internet, selecione uma das seguintes opções:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud core).
Para mais informações, visite a página de documentação gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP e URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corpo JSON do pedido:
{
"consumerNetwork": NETWORK
}
Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud core).
Para mais informações, visite a página de documentação Method: services.enableVpcServiceControls.
Estabelecer ligação a recursos ou serviços fora do perímetro do VPC Service Controls
Para estabelecer ligação a outro Google Cloud recurso ou serviço, pode ter de configurar regras de entrada e saída se o projeto em que o recurso se encontra estiver localizado fora do perímetro do VPC Service Controls.
Para obter informações sobre o acesso a outros recursos externos, siga as instruções para o tipo de recurso ao qual quer estabelecer ligação na página de documentação Aceda a serviços externos através do acesso a serviços privados ou Acesso de saída do Looker (Google Cloud core) a serviços externos através do Private Service Connect (consoante a sua instância use o acesso a serviços privados ou o Private Service Connect).
Adicionar chaves CMEK a um perímetro
Por vezes, uma instância do Looker (Google Cloud core) ativada com chaves de encriptação geridas pelo cliente (CMEK) tem a chave do Cloud KMS alojada num Google Cloud projeto diferente. Para este cenário, quando ativa os VPC Service Controls, tem de adicionar o projeto de alojamento da chave do KMS ao perímetro de segurança.
O que se segue?
- Associe o Looker (Google Cloud Core) à sua base de dados
- Configure a instância do Looker (Google Cloud Core)