Per definire i servizi a cui è possibile accedere da una rete interna al tuo utilizzare la funzionalità Servizi accessibili da VPC. La funzionalità dei servizi accessibili dalla VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio.
La funzionalità dei servizi accessibili tramite VPC si applica solo al traffico dagli endpoint di rete VPC alle API di Google. A differenza dei perimetri di servizio, la funzionalità dei servizi accessibili dal VPC non si applica alla comunicazione da un'API Google all'altra o alle reti di unità di tenancy, che vengono utilizzate per implementare alcuni servizi Google Cloud.
Quando configuri i servizi accessibili al VPC per un perimetro, puoi specificare un elenco di singoli servizi, nonché includere il valore RESTRICTED-SERVICES, che include automaticamente tutti i servizi protetti dal perimetro.
Per assicurarti che l'accesso ai servizi previsti sia completamente limitato, devi:
Configura il perimetro per proteggere lo stesso insieme di servizi che vuoi rendere accessibile.
Configura i VPC nel perimetro per utilizzare il VIP limitato.
Utilizza i firewall di livello 3.
Esempio: rete VPC con accesso solo a Cloud Storage
Supponiamo di avere un perimetro di servizio, my-authorized-perimeter, che include due progetti: my-authorized-compute-project e my-authorized-gcs-project.
Il perimetro protegge il servizio Cloud Storage.
my-authorized-gcs-project utilizza diversi servizi, tra cui
Cloud Storage, Bigtable e altri.
my-authorized-compute-project ospita una rete VPC.
Poiché i due progetti condividono un perimetro, la rete VPC in my-authorized-compute-project ha accesso alle risorse dei servizi in my-authorized-gcs-project, indipendentemente dal fatto che il perimetro protegga questi servizi. Tuttavia, vuoi che la rete VPC abbia solo
alle risorse di Cloud Storage in my-authorized-gcs-project.
Temi che se le credenziali per una VM nella tua rete VPC siano
rubati, un avversario potrebbe sfruttare quella VM per esfiltrare i dati da qualsiasi
servizio disponibile in my-authorized-gcs-project.
Hai già configurato la tua rete VPC per utilizzare l'IP virtuale limitato, che limita l'accesso dalla tua rete VPC solo alle API supportate da Controlli di servizio VPC. Purtroppo, ciò non impedisce alla tua rete VPC
di accedere a servizi supportati, come le risorse Bigtable
nel seguente paese: my-authorized-gcs-project.
Per limitare l'accesso della rete VPC solo al servizio di archiviazione, abilita
Servizi accessibili da VPC e imposta storage.googleapis.com come servizio consentito:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Operazione riuscita. La rete VPC in my-authorized-compute-project è ora limitata a
solo alle risorse per il servizio Cloud Storage. Questo
si applica anche a tutti i progetti e le reti VPC aggiunti in un secondo momento
perimetrale.