Zugängliche VPC-Dienste

Mit dem Feature Über VPC zugängliche Dienste können Sie die Dienste definieren, auf die von einem Netzwerk innerhalb Ihres Dienstperimeters zugegriffen werden kann. Es beschränkt die Gruppe von Diensten, die von Netzwerkendpunkten in Ihrem Dienstperimeter zugänglich sind,

und gilt nur für Traffic von Ihren VPC-Netzwerkendpunkten zu Google APIs. Im Gegensatz zu Dienstperimetern kann das Feature „Über VPC zugängliche Dienste“ nicht für die Kommunikation von einer Google API zu einer anderen oder für die Netzwerke von Mandanteneinheiten verwendet werden, die zur Implementierung bestimmter Google Cloud-Dienste genutzt werden.

Beim Definieren von über VPC zugänglichen Diensten für einen Perimeter können Sie eine Liste einzelner Dienste und den Wert RESTRICTED-SERVICES angeben, der automatisch alle durch den Perimeter geschützten Dienste enthält.

So lässt sich der Zugriff auf die erwarteten Dienste vollständig einschränken:

  • Konfigurieren Sie den Perimeter für den Schutz jener Dienste, die zugänglich gemacht werden sollen.

  • Konfigurieren Sie VPCs im Perimeter für die Verwendung der eingeschränkten VIP.

  • Verwenden Sie Firewalls der Ebene 3.

Beispiel: VPC-Netzwerk, auf das nur Cloud Storage zugreifen kann

Beispiel: Sie haben einen Dienstperimeter mit dem Namen my-authorized-perimeter, der zwei Projekte enthält: my-authorized-compute-project und my-authorized-gcs-project. Der Perimeter schützt den Cloud Storage-Dienst.

my-authorized-gcs-project verwendet eine Reihe von Diensten, darunter Cloud Storage und Cloud Bigtable. my-authorized-compute-project hostet ein VPC-Netzwerk.

Da sich die beiden Projekte innerhalb desselben Perimeters befinden, hat das VPC-Netzwerk in my-authorized-compute-project Zugriff auf die Ressourcen der Dienste in my-authorized-gcs-project, unabhängig davon, ob diese Dienste durch den Perimeter geschützt werden. Ihr VPC-Netzwerk soll jedoch nur auf Cloud Storage-Ressourcen in my-authorized-gcs-project zugreifen können.

Sie befürchten, dass im Fall eines Diebstahls der Anmeldedaten einer VM in Ihrem VPC-Netzwerk ein Angreifer diese nutzen kann, um Daten aus jedem verfügbaren Dienst in my-authorized-gcs-project zu exfiltrieren.

Sie haben Ihr VPC-Netzwerk bereits so konfiguriert, dass die eingeschränkte VIP verwendet wird. Dadurch wird der Zugriff von Ihrem VPC-Netzwerk auf APIs beschränkt, die von VPC Service Controls unterstützt werden. Leider verhindert dies nicht, dass Ihr VPC-Netzwerk auf unterstützte Dienste wie die Bigtable-Ressourcen in my-authorized-gcs-project zugreift.

Wenn Sie den Zugriff des VPC-Netzwerks auf den Speicherdienst beschränken möchten, aktivieren Sie über VPC zugängliche Dienste und legen Sie storage.googleapis.com als zulässigen Dienst fest:

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

Fertig! Aus dem VPC-Netzwerk in my-authorized-compute-project kann jetzt nur noch auf Ressourcen für den Cloud Storage-Dienst zugegriffen werden. Diese Einschränkung gilt auch für alle weiteren Projekte und VPC-Netzwerke, die Sie dem Perimeter hinzufügen.

Weitere Informationen