Per definire i servizi a cui è possibile accedere da una rete all'interno del perimetro di servizio, utilizza la funzionalità Servizi accessibili VPC. La funzionalità dei servizi accessibili da VPC limita l'insieme di servizi accessibili da endpoint di rete all'interno del tuo perimetro di servizio.
La funzionalità dei servizi accessibili da VPC si applica solo al traffico dai tuoi endpoint di rete VPC alle API di Google. A differenza dei perimetri di servizio, la funzionalità dei servizi accessibili VPC non si applica alla comunicazione tra un'API di Google e un'altra o alle reti di unità di tenancy, utilizzate per implementare determinati servizi Google Cloud.
Quando configuri i servizi accessibili da VPC per un perimetro, puoi specificare un elenco di singoli servizi, oltre a includere il valore RESTRICTED-SERVICES, che include automaticamente tutti i servizi protetti dal perimetro.
Per assicurarti che l'accesso ai servizi previsti sia completamente limitato, devi:
Configura il perimetro per proteggere lo stesso insieme di servizi che vuoi rendere accessibili.
Configura i VPC nel perimetro per utilizzare il VIP con restrizioni.
Utilizza firewall di livello 3.
Esempio: rete VPC solo con accesso a Cloud Storage
Supponi di avere un perimetro di servizio, my-authorized-perimeter, che include due progetti: my-authorized-compute-project e my-authorized-gcs-project.
Il perimetro protegge il servizio Cloud Storage.
my-authorized-gcs-project utilizza diversi servizi, tra cui
Cloud Storage, Bigtable e altri.
my-authorized-compute-project ospita una rete VPC.
Poiché i due progetti condividono un perimetro, la rete VPC in
my-authorized-compute-project ha accesso alle risorse dei servizi in
my-authorized-gcs-project, indipendentemente dal fatto che il perimetro protegga quei
servizi. Tuttavia, vuoi che la tua rete VPC abbia accesso solo alle risorse Cloud Storage in my-authorized-gcs-project.
Temi che se le credenziali di una VM nella tua rete VPC vengano rubate, un avversario potrebbe sfruttare quella VM per esfiltrare i dati da qualsiasi servizio disponibile in my-authorized-gcs-project.
Hai già configurato la tua rete VPC in modo da utilizzare il VIP con restrizioni, che limita l'accesso dalla rete VPC solo alle API supportate dai Controlli di servizio VPC. Sfortunatamente, ciò non impedisce alla tua rete VPC di accedere ai servizi supportati, come le risorse Bigtable in my-authorized-gcs-project.
Per limitare l'accesso della rete VPC solo al servizio di archiviazione, devi abilitare i servizi accessibili di VPC e impostare storage.googleapis.com come servizio consentito:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Success! La rete VPC in my-authorized-compute-project è ora limitata all'accesso solo alle risorse per il servizio Cloud Storage. Questa restrizione si applica anche a tutti i progetti e le reti VPC che aggiungerai in seguito al perimetro.