Serviços acessíveis pelo VPC

Para definir os serviços que podem ser acessados de uma rede dentro do perímetro de serviço, use o recurso Serviços acessíveis pela VPC. O recurso de serviços acessíveis pela VPC limita o conjunto de serviços acessíveis de endpoints da rede dentro do perímetro de serviço.

O recurso de serviços acessíveis pela VPC é usado apenas no tráfego dos seus endpoints de rede VPC para as APIs do Google. Ao contrário dos perímetros de serviço, o recurso de serviços acessíveis pela VPC não é usado na comunicação entre APIs do Google nem nas redes de unidades de locação, que são usadas para implementar determinados serviços do Google Cloud.

Ao configurar os serviços acessíveis pela VPC em um perímetro, é possível especificar uma lista de serviços individuais e incluir o valor RESTRICTED-SERVICES, que contém automaticamente todos os serviços protegidos pelo perímetro.

Para garantir que o acesso aos serviços esperados seja totalmente limitado, você precisa:

  • configurar o perímetro para proteger o mesmo conjunto de serviços que você quer tornar acessível;

  • configurar VPCs no perímetro para usar o VIP restrito;

  • usar firewalls de camada 3.

Exemplo: rede VPC somente com acesso ao Cloud Storage

Suponha que você tenha um perímetro de serviço, my-authorized-perimeter, com dois projetos: my-authorized-compute-project e my-authorized-gcs-project. O perímetro protege o serviço do Cloud Storage.

O my-authorized-gcs-project usa vários serviços, incluindo Cloud Storage, Bigtable, entre outros. my-authorized-compute-project hospeda uma rede VPC.

Como os dois projetos compartilham um perímetro, a rede VPC em my-authorized-compute-project tem acesso aos recursos dos serviços em my-authorized-gcs-project, sem considerar se o perímetro protege ou não esses serviços. No entanto, você quer que a rede VPC tenha acesso apenas aos recursos do Cloud Storage em my-authorized-gcs-project.

Sua preocupação é que, se as credenciais de uma VM na rede VPC forem roubadas, um adversário possa usar essa VM para exfiltrar dados de qualquer serviço disponível em my-authorized-gcs-project.

Você já configurou sua rede VPC para usar o VIP restrito, limitando o acesso da rede VPC apenas a APIs compatíveis com o VPC Service Controls. Infelizmente, isso não impede que sua rede VPC acesse serviços compatíveis, como os recursos do Bigtable em my-authorized-gcs-project.

Para limitar o acesso da rede VPC apenas ao serviço de armazenamento, ative os serviços acessíveis da VPC e defina storage.googleapis.com como um serviço permitido:

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

Pronto. A rede VPC em my-authorized-compute-project agora está com acesso limitado apenas aos recursos do serviço Cloud Storage. Essa restrição também é válida para todos os projetos e as redes VPC que você adicionar posteriormente ao perímetro.

A seguir