Zugängliche VPC-Dienste

Verwenden Sie das Feature Über VPC zugängliche Dienste, um die Dienste zu definieren, auf die von einem Netzwerk innerhalb Ihres Dienstperimeters zugegriffen werden kann. Das Feature "Über VPC zugängliche Dienste" beschränkt die Gruppe von Diensten, die von Netzwerkendpunkten in Ihrem Dienstperimeter zugänglich sind.

Das Feature "Über VPC zugängliche Dienste" gilt nur für Traffic von Ihren VPC-Netzwerkendpunkten zu Google APIs. Im Gegensatz zu Dienstperimetern gilt das Feature "Über VPC zugängliche Dienste" nicht für die Kommunikation von einer Google API zu einer anderen oder für die Netzwerke von Mandanteneinheiten, die zur Implementierung bestimmter Google Cloud-Dienste verwendet werden.

Beim Definieren von über VPC zugänglichen Diensten für einen Perimeter können Sie eine Liste einzelner Dienste und den Wert RESTRICTED-SERVICES angeben, der automatisch alle durch den Perimeter geschützten Dienste enthält.

Um dafür zu sorgen, dass der Zugriff auf die erwarteten Dienste vollständig eingeschränkt ist, müssen Sie:

  • Den Perimeter so konfigurieren, dass diejenigen Dienste geschützt sind, die zugänglich gemacht werden sollen.

  • VPCs im Perimeter für die Verwendung der eingeschränkten VIP konfigurieren.

  • Firewalls der Ebene 3 verwenden.

Beispiel: VPC-Netzwerk nur mit Cloud Storage-Zugriff

Angenommen, Sie haben den Dienstperimeter my-authorized-perimeter, der zwei Projekte enthält: my-authorized-compute-project und my-authorized-gcs-project. Der Perimeter schützt den Cloud Storage-Dienst.

my-authorized-gcs-project verwendet eine Reihe von Diensten, darunter Cloud Storage, Cloud Bigtable und andere. my-authorized-compute-project hostet ein VPC-Netzwerk.

Da die beiden Projekte denselben Perimeter haben, kann das VPC-Netzwerk in my-authorized-compute-project auf die Ressourcen von Diensten in my-authorized-gcs-project zugreifen, unabhängig davon, ob der Perimeter diese Dienste schützt. Ihr VPC-Netzwerk soll jedoch nur Zugriff auf Cloud Storage-Ressourcen in my-authorized-gcs-project haben.

Sie befürchten, dass ein Angreifer, wenn die Anmeldedaten für eine VM in Ihrem VPC-Netzwerk gestohlen werden, diese VM verwenden kann, um Daten aus einem beliebigen Dienst in my-authorized-gcs-project zu exportieren.

Sie haben Ihr VPC-Netzwerk bereits für die Verwendung der eingeschränkten VIP konfiguriert, die den Zugriff über Ihr VPC-Netzwerk auf APIs beschränkt, die von VPC Service Controls unterstützt werden. Leider verhindert Ihr VPC-Netzwerk den Zugriff auf unterstützte Dienste, wie die Bigtable-Ressourcen in my-authorized-gcs-project.

Wenn Sie den Zugriff des VPC-Netzwerks auf den Speicherdienst beschränken möchten, aktivieren Sie über VPC zugängliche Dienste und legen Sie storage.googleapis.com als zulässigen Dienst fest:

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

Fertig! Das VPC-Netzwerk in my-authorized-compute-project ist jetzt auf den Zugriff auf Ressourcen für den Cloud Storage-Dienst beschränkt. Diese Einschränkung gilt auch für alle Projekte und VPC-Netzwerke, die Sie dem Perimeter später hinzufügen.

Nächste Schritte