In today's world data is king. It is everywhere, collected seemingly by everyone, yet so many industries lack a good data platform. Cloud technologies enable us to build robust, scalable, and easy-to-use platforms fast, but one might wonder whether it is safe to store sensitive data in the cloud. In this talk, we will explore technical principles of securing a cloud data platform, look at examples in AWS and GCP, and discuss regulatory and compliance requirements.
4. Всі дані - для вашого задоволення
Потоки даних* Логи Дані клієнтів
* Картинка з видрами авторства Мітча Сеймура з книги “Gently Down the Stream”
Дії користувачів
ouvessvit
12. Безпека в AWS з VPC Endpoints
ouvessvit
AWS
Приватні
сервіси
VPC
Subnet
Інтернет
13. Та ж історія в Google Cloud
Project 1 Project 2 Project 3
VPC
Storage BQ BQ
Cloud
Functions
Корпоративний Wifi
ouvessvit
14. VPC Service Perimeter
Захист даних в Google Cloud з VPC Service Controls
Інтернет
NO_MATCHING_POLICY
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Неавторизована особа
Неавторизований проєкт GCP
Ingress/Egress Policy
Дозволена особа
IP адреси VPN чи офісів
Корпоративний
Wifi
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
ouvessvit
15. VPC Service Perimeter
Захист даних в Google Cloud з VPC Service Controls
Інтернет
NO_MATCHING_POLICY
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Неавторизована особа
Неавторизований проєкт GCP
Ingress/Egress Policy
Дозволена особа
IP адреси VPN чи офісів
Корпоративний
Wifi
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
ouvessvit
16. VPC Service Perimeter
Захист даних в Google Cloud з VPC Service Controls
Інтернет
NO_MATCHING_POLICY
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Неавторизована особа
Неавторизований проєкт GCP
Ingress/Egress Policy
Дозволена особа
IP адреси VPN чи офісів
Корпоративний
Wifi
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
ouvessvit
17. VPC Service Perimeter
Захист даних в Google Cloud з VPC Service Controls
Інтернет
NO_MATCHING_POLICY
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Неавторизована особа
Неавторизований проєкт GCP
Ingress/Egress Policy
Дозволена особа
IP адреси VPN чи офісів
Корпоративний
Wifi
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
ouvessvit
18. VPC Service Perimeter
Захист даних в Google Cloud з VPC Service Controls
Інтернет
NO_MATCHING_POLICY
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
Неавторизована особа
Неавторизований проєкт GCP
Ingress/Egress Policy
Дозволена особа
IP адреси VPN чи офісів
Корпоративний
Wifi
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
ouvessvit
19. Bridges: для зʼєднання
проєктів в різних
периметрах
Access Levels: для
визначення, хто має
доступ та звідки
Ingress/Egress Policies:
перелік певних API
запитів, що можуть
перетинати кордони
периметру
* All IDs and IP addresses are randomly generated
Захист даних в Google Cloud з VPC Service Controls
ouvessvit
VPC Service Perimeter
Захищені API
Проєкт 1
Проєкт 2
Проєкт 3
Звʼязок між
сервісами
Google Cloud
залишається в
межах мереж
Гугла
20. Налаштовуємо Cloud Run & Cloud Functions
ERROR: VPC Service Controls: Request is prohibited by organization’s policy.
Мій Проєкт
VPC Service Perimeter
func-sa my-func1 my-
dataset
Cloud Functions, Cloud Run та інші
безсерверні продукти категорії compute
працюють в так званих тіньових проєктах;
для забезпечення комунікації з захищеними
сервісами даних недостатньо додати їх до
одного периметру.
ouvessvit
21. Налаштовуємо Cloud Run & Cloud Functions
Twitter: ouvessvit
Мій Проєкт
VPC Service Perimeter
func-sa my-func1 my-
dataset
Варіант 1: додати service account функції до
спеціального access level, що приєднаний
до периметру.
Таким чином, запит до датасету прийде від
дозволеного користувача, і буде
дозволений в периметрі.
cloud-functions-access-
lvl:
- members:
- func-sa@my-
project.iam.gserviceacc
ount.com
ouvessvit
22. Налаштовуємо Cloud Run & Cloud Functions
Мій Проєкт
VPC Service Perimeter
func-sa my-func1 my-
dataset
Варіант 2: сконфігурувати функцію в
підмережі за використання Serverless VPC
Access Connector.
Таким чином, для периметру запит
виглядатиме як такий, що надійшов з
довіреної мережі (мережі того ж проєкта).
Serverless VPC
connector
subnet
ouvessvit