Proteger repositórios em um perímetro de serviço

Os VPC Service Controls melhoram sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados de serviços gerenciados pelo Google.

Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.

Como usar o Artifact Registry com o VPC Service Controls

Se você estiver usando clusters privados do Artifact Registry e do Google Kubernetes Engine em um projeto em um perímetro de serviço, será possível acessar as imagens de contêiner dentro do perímetro de serviço, bem como as imagens fornecidas pelo Google.

As imagens do Docker Hub armazenadas em cache em mirror.gcr.io não são incluídas no perímetro de serviço, a menos que uma regra de saída seja adicionada para permitir a saída Cache do Docker do Artifact Registry que hospeda mirror.gcr.io.

Para usar mirror.gcr.io em um perímetro de serviço, adicione a seguinte saída regra:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Para mais detalhes sobre regras de entrada e saída, consulte Regras de entrada e saída.

É possível acessar o Artifact Registry usando os endereços IP dos domínios padrão das APIs e serviços do Google ou usando estes endereços IP especiais:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Para detalhes sobre essas opções, consulte Como configurar o Acesso privado do Google. Para ver um exemplo de configuração que usa 199.36.153.4/30 (restricted.googleapis.com), consulte a documentação sobre acesso ao registro com um IP virtual.

Verifique se os serviços do Google Cloud que precisam acessar o Artifact Registry também estão do perímetro de serviço, incluindo autorização binária, Artifact Analysis e ambientes de execução, como o Google Kubernetes Engine e o Cloud Run. Consulte a lista de serviços compatíveis para saber mais sobre cada serviço.

Para instruções gerais sobre como adicionar o Artifact Registry a um perímetro de serviço, consulte Como criar um perímetro de serviço.

Como usar o Artifact Analysis com o VPC Service Controls

Para saber como adicionar a Análise de artefato ao seu perímetro, consulte Como proteger a Análise de artefato em um perímetro de serviço.