Zum Schutz von Google Cloud Diensten in Ihren Projekten und zur Minimierung des Risikos der Daten-Exfiltration können Sie Dienstperimeter von VPC Service Controls auf Organisations-, Ordner- oder Projektebene angeben. Wenn Sie einen Dienstperimeter anwenden, haben Sie eine detaillierte Kontrolle über die Ingress-Richtlinie sowie darüber, welche Dienste und Ressourcen geschützt werden sollen.
Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.
CBA-Richtlinie für eingehenden Traffic auf Dienstperimeter anwenden
Wenn Sie CBA-Zugriffsebenen auf Dienstperimeter anwenden, können Sie nur vertrauenswürdigen Geräten Zugriff auf die durch den Perimeter geschützten Ressourcen gewähren. Weitere Informationen zum Erstellen einer CBA-Zugriffsebene finden Sie unter Zugriffsebenen für den zertifikatbasierten Zugriff erstellen.
Das folgende Diagramm zeigt ein einfaches Beispiel für die Einschränkung des Zugriffs auf vertrauliche Cloud Storage-Daten von unbekannten Geräten durch Zuordnung einer CBA-Zugriffsebene zu einem Dienstperimeter:
So wenden Sie eine CBA-Richtlinie für eingehenden Traffic auf einen Dienstperimeter an:
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Zugriffsebenen.
Wählen Sie unter Zugriffsebene auswählen die Zugriffsebene für die CBA aus.
Klicken Sie auf Speichern.