Sie können VPC Service Controls-Dienstperimeter auf Organisations-, Ordner- oder Projektebene festlegen, um Google Cloud-Dienste in Ihren Projekten zu schützen und das Risiko der Daten-Exfiltration zu minimieren. Durch das Anwenden eines Dienstperimeters haben Sie eine differenzierte Kontrolle über die Richtlinie für eingehenden Traffic sowie die zu schützenden Dienste und Ressourcen.
Weitere Informationen zu den Vorteilen von Dienstperimetern finden Sie unter VPC Service Controls.
CBA-Richtlinie für eingehenden Traffic auf Dienstperimeter anwenden
Wenn Sie CBA-Zugriffsebenen auf Dienstperimeter anwenden, können Sie nur vertrauenswürdigen Geräten Zugriff auf durch Perimeter geschützte Ressourcen gewähren. Weitere Informationen zum Erstellen einer CBA-Zugriffsebene finden Sie unter Zugriffsebenen für zertifikatbasierten Zugriff erstellen.
Das folgende Diagramm zeigt ein einfaches Beispiel für das Einschränken des Zugriffs auf sensible Cloud Storage-Daten von unbekannten Geräten, indem eine CBA-Zugriffsebene mit einem Dienstperimeter verknüpft wird:
Führen Sie die folgenden Schritte aus, um eine CBA-Richtlinie für eingehenden Traffic auf einen Dienstperimeter anzuwenden:
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Zugriffsebenen.
Wählen Sie unter Zugriffsebene auswählen die Zugriffsebene für die CBA aus.
Klicken Sie auf Speichern.