Per definire i servizi a cui è possibile accedere da una rete all'interno del perimetro di servizio, utilizza la funzionalità Servizi accessibili VPC. La funzionalità dei servizi accessibili dalla VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio.
La funzionalità dei servizi accessibili tramite VPC si applica solo al traffico dagli endpoint di rete VPC alle API di Google. A differenza dei perimetri di servizio, la funzionalità dei servizi accessibili dal VPC non si applica alla comunicazione da un'API Google all'altra o alle reti di unità di tenancy, che vengono utilizzate per implementare alcuni servizi Google Cloud.
Quando configuri i servizi accessibili al VPC per un perimetro, puoi specificare un elenco di singoli servizi, nonché includere il valore RESTRICTED-SERVICES, che include automaticamente tutti i servizi protetti dal perimetro.
Per assicurarti che l'accesso ai servizi previsti sia completamente limitato, devi:
Configura il perimetro per proteggere lo stesso insieme di servizi che vuoi accessibile.
Configura le VPC nel perimetro in modo che utilizzino l'IP virtuale limitato.
Utilizza firewall di livello 3.
Esempio: rete VPC con accesso solo a Cloud Storage
Supponiamo di avere un perimetro di servizio, my-authorized-perimeter, che include due progetti: my-authorized-compute-project e my-authorized-gcs-project.
Il perimetro protegge il servizio Cloud Storage.
my-authorized-gcs-project utilizza una serie di servizi, tra cui Cloud Storage, Bigtable e altri.
my-authorized-compute-project ospita una rete VPC.
Poiché i due progetti condividono un perimetro, la rete VPC in my-authorized-compute-project ha accesso alle risorse dei servizi in my-authorized-gcs-project, indipendentemente dal fatto che il perimetro protegga questi servizi. Tuttavia, vuoi che la tua rete VPC abbia accesso solo alle risorse Cloud Storage in my-authorized-gcs-project.
Temi che, se le credenziali di una VM nella tua rete VPC vengono rubate, un avversario possa sfruttare la VM per esfiltrare i dati da qualsiasi servizio disponibile in my-authorized-gcs-project.
Hai già configurato la tua rete VPC per utilizzare l'IP virtuale limitato, che limita l'accesso dalla tua rete VPC solo alle API supportate da Controlli di servizio VPC. Purtroppo, ciò non impedisce alla tua rete VPC di accedere ai servizi supportati, come le risorse Bigtable in my-authorized-gcs-project.
Per limitare l'accesso della rete VPC solo al servizio di archiviazione, attiva i servizi accessibili da VPC e imposta storage.googleapis.com come servizio consentito:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Operazione riuscita. La rete VPC in my-authorized-compute-project ora è limitata ad accedere solo alle risorse per il servizio Cloud Storage. Questa limitazione si applica anche a tutti i progetti e alle reti VPC che aggiungi in un secondo momento al perimetro.