Para definir os serviços aos quais é possível aceder a partir de uma rede no interior do seu perímetro de serviço, use a funcionalidade Serviços acessíveis da VPC. A funcionalidade de serviços acessíveis da VPC limita o conjunto de serviços acessíveis a partir de pontos finais de rede no interior do seu perímetro de serviço.
A funcionalidade de serviços acessíveis da VPC aplica-se apenas ao tráfego dos pontos finais de rede da sua VPC para as APIs Google. Ao contrário dos perímetros de serviço, a funcionalidade de serviços acessíveis por VPC não se aplica à comunicação de uma API Google para outra, nem às redes de unidades de arrendamento, que são usadas para implementar determinados Google Cloud serviços.
Quando configura serviços acessíveis por VPC para um perímetro, pode especificar uma lista de serviços individuais, bem como incluir o valor RESTRICTED-SERVICES, que inclui automaticamente todos os serviços protegidos pelo perímetro.
Para garantir que o acesso aos serviços esperados está totalmente limitado, tem de:
Configure o perímetro para proteger o mesmo conjunto de serviços que quer tornar acessíveis.
Configure as VPCs no perímetro para usar o VIP restrito.
Use firewalls de camada 3.
Exemplo: rede VPC com acesso apenas ao Cloud Storage
Suponha que tem um perímetro de serviço, my-authorized-perimeter, que inclui dois projetos: my-authorized-compute-project e my-authorized-gcs-project.
O perímetro protege o serviço Cloud Storage.
O my-authorized-gcs-project usa vários serviços, incluindo o Cloud Storage, o Bigtable e outros.
my-authorized-compute-project aloja uma rede de VPC.
Uma vez que os dois projetos partilham um perímetro, a rede VPC em
my-authorized-compute-project tem acesso aos recursos dos serviços em
my-authorized-gcs-project, independentemente de o perímetro proteger esses
serviços. No entanto, quer que a sua rede VPC tenha apenas acesso aos recursos do Cloud Storage em my-authorized-gcs-project.
Tem preocupações de que, se as credenciais de uma VM na sua rede VPC forem roubadas, um adversário possa tirar partido dessa VM para exfiltrar dados de qualquer serviço disponível no my-authorized-gcs-project.
Já configurou a sua rede VPC para usar o VIP restrito, o que limita o acesso da sua rede VPC apenas às APIs suportadas pelos VPC Service Controls. Infelizmente, isso não impede que a sua rede VPC aceda a serviços suportados, como os recursos do Bigtable em my-authorized-gcs-project.
Para limitar o acesso da rede VPC apenas ao serviço de armazenamento, ative os serviços acessíveis por VPC e defina storage.googleapis.com como um serviço permitido:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Êxito! A rede VPC em my-authorized-compute-project está agora limitada ao acesso apenas a recursos para o serviço Cloud Storage. Esta restrição também se aplica a quaisquer projetos e redes VPC que adicionar posteriormente ao perímetro.