Per definire i servizi a cui รจ possibile accedere da una rete all'interno del perimetro di servizio, utilizza la funzionalitร Servizi accessibili VPC. La funzionalitร dei servizi accessibili dalla VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio.
La funzionalitร dei servizi accessibili tramite VPC si applica solo al traffico dagli endpoint di rete VPC alle API di Google. A differenza dei perimetri di servizio, la funzionalitร dei servizi accessibili tramite VPC non si applica alla comunicazione da un'API Google all'altra o alle reti di unitร di tenancy, che vengono utilizzate per implementare alcuni Google Cloud servizi.
Quando configuri i servizi accessibili dal VPC per un perimetro, puoi specificare un elenco di singoli servizi, nonchรฉ includere il valore RESTRICTED-SERVICES, che include automaticamente tutti i servizi protetti dal perimetro.
Per assicurarti che l'accesso ai servizi previsti sia completamente limitato, devi:
Configura il perimetro per proteggere lo stesso insieme di servizi che vuoi accessibile.
Configura le VPC nel perimetro in modo che utilizzino l'IP virtuale limitato.
Utilizza i firewall di livello 3.
Esempio: rete VPC con accesso solo a Cloud Storage
Supponiamo di avere un perimetro di servizio, my-authorized-perimeter, che include due progetti: my-authorized-compute-project e my-authorized-gcs-project.
Il perimetro protegge il servizio Cloud Storage.
my-authorized-gcs-project utilizza una serie di servizi, tra cui Cloud Storage, Bigtable e altri.
my-authorized-compute-project ospita una rete VPC.
Poichรฉ i due progetti condividono un perimetro, la rete VPC in my-authorized-compute-project ha accesso alle risorse dei servizi in my-authorized-gcs-project, indipendentemente dal fatto che il perimetro protegga o meno questi servizi. Tuttavia, vuoi che la tua rete VPC abbia accesso solo alle risorse Cloud Storage in my-authorized-gcs-project.
Temi che, se le credenziali di una VM nella tua rete VPC vengono rubate, un avversario possa sfruttare la VM per esfiltrare i dati da qualsiasi servizio disponibile in my-authorized-gcs-project.
Hai giร configurato la tua rete VPC per utilizzare l'IP virtuale limitato, che limita l'accesso dalla tua rete VPC solo alle API supportate da Controlli di servizio VPC. Purtroppo, ciรฒ non impedisce alla tua rete VPC di accedere ai servizi supportati, come le risorse Bigtable in my-authorized-gcs-project.
Per limitare l'accesso della rete VPC solo al servizio di archiviazione, attiva i servizi accessibili da VPC e imposta storage.googleapis.com come servizio consentito:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Operazione riuscita. La rete VPC in my-authorized-compute-project ora รจ limitata ad accedere solo alle risorse per il servizio Cloud Storage. Questa limitazione si applica anche a tutti i progetti e alle reti VPC che aggiungi in un secondo momento al perimetro.