Dans la vue du plan de données, Cloud Volumes Service peut se connecter à un VPC partagé. Vous pouvez créer des volumes dans le projet d'hébergement ou dans l'un des projets de service connectés au VPC partagé. Tous les projets (hôte ou service) connectés à ce VPC partagé peuvent atteindre les volumes au niveau de la couche réseau (TCP/IP). Étant donné que tous les clients disposant d'une connectivité réseau sur le VPC partagé peuvent accéder aux données via les protocoles NAS, vous devez utiliser le contrôle d'accès sur chacun des volumes (listes de contrôle d'accès (ACL) d'utilisateur/de groupe, ainsi que les noms d'hôte/adresses IP pour les exportations NFS) pour contrôler qui peut accéder aux données.

Vous pouvez connecter Cloud Volumes Service à cinq VPC maximum par projet client. Sur le plan de contrôle, le projet vous permet de gérer tous les volumes créés, quel que soit le VPC auquel ils sont connectés. Sur le plan de données, les VPC sont isolés les uns des autres et chaque volume ne peut être connecté qu'à un VPC.

L'accès aux volumes individuels est contrôlé par des mécanismes de contrôle d'accès spécifiques à un protocole (NFS/SMB).

En d'autres termes, sur la couche réseau, tous les projets connectés au VPC partagé peuvent voir le volume, tandis que, du point de vue de la gestion, le plan de contrôle ne permet au projet propriétaire de voir le volume que.

Les contrôles du service VPC établissent un périmètre de contrôle d'accès autour des services Google Cloud reliés à Internet et accessibles dans le monde entier. Ces services permettent le contrôle d'accès par le biais d'identités utilisateur, mais ne peuvent pas limiter les demandes d'emplacement réseau. Les contrôles de service VPC comblent ce fossé en introduisant des capacités permettant de limiter l'accès aux réseaux définis.

Le plan de données Cloud Volumes Service n'est pas connecté à Internet externe mais à des VPC privés avec des limites de réseau bien définies (périmètres). Sur ce réseau, chaque volume utilise un contrôle d'accès spécifique au protocole. Toute connectivité réseau externe est créée de manière explicite par les administrateurs de projet Google Cloud. Le plan de contrôle, cependant, n'offre pas les mêmes protections que le plan de données et peut être accessible par n'importe qui à partir de n'importe où avec des informations d'identification valides ( "Jetons JWT").

En bref, le plan de données Cloud Volumes Service offre la possibilité de contrôler l'accès au réseau sans devoir prendre en charge les contrôles de service VPC et n'utilise pas explicitement les contrôles de service VPC.

Les captures de paquets peuvent être utiles pour résoudre des problèmes réseau ou d'autres problèmes (autorisations NAS, connectivité LDAP, etc.), mais peuvent également être utilisées de manière malveillante pour obtenir des informations sur les adresses IP réseau, les adresses MAC, les noms d'utilisateurs et de groupes, ainsi que le niveau de sécurité utilisé sur les noeuds finaux. En raison de la configuration de la mise en réseau Google Cloud, des VPC et des règles de pare-feu, l'accès non autorisé aux paquets réseau devrait être difficile à obtenir sans identifiants de connexion utilisateur ou "Jetons JWT" dans les instances cloud. Les captures de paquets ne sont possibles que sur les terminaux (tels que les machines virtuelles) et uniquement sur les terminaux internes au VPC, à moins qu'un VPC partagé et/ou un tunnel/IP de réseau externe ne soit utilisé pour permettre explicitement le trafic externe vers les terminaux. Il n'y a pas de moyen de sniff trafic en dehors des clients.

Lorsque des VPC partagés sont utilisés, le chiffrement à la volée avec NFS Kerberos et/ou "Chiffrement SMB" peut masquer une grande partie des informations tirées de traces. Cependant, un certain trafic est encore envoyé en texte clair, par exemple "DNS" et "Requêtes LDAP". La figure suivante montre une capture de paquet à partir d'une requête LDAP en texte clair provenant de Cloud Volumes Service et les informations d'identification potentielles qui sont exposées. Les requêtes LDAP dans Cloud Volumes Service ne prennent actuellement pas en charge le cryptage ou LDAP sur SSL. CVS-Performance prend en charge la signature LDAP, si Active Directory en fait la demande. CVS-SW ne prend pas en charge la signature LDAP.

La figure suivante montre une capture de paquets d'une conversation Kerberos NFS à côté d'une capture de NFS sur AUTH_SYS. Notez que les informations disponibles dans une trace diffèrent entre les deux et que l'activation du cryptage à la volée offre une sécurité globale accrue pour le trafic NAS.

Une astuce peut tenter d'ajouter une nouvelle carte d'interface réseau (NIC) à une machine virtuelle dans "mode promiscueux" (Mise en miroir des ports) ou activez le mode promiscuous sur une carte réseau existante afin de sniiser tout le trafic. Dans Google Cloud, l'ajout d'une nouvelle carte réseau nécessite l'arrêt complet d'une machine virtuelle, ce qui génère des alertes, ce qui rend les pirates informatiques inaperçus.

De plus, les cartes réseau ne peuvent pas être configurées en mode promiscuous et déclencheront des alertes dans Google Cloud.