VPC Service Control이란 Google 관리 서비스의 리소스 주의의 서비스 경계를 정의하는 방식으로 서비스에 대한 통신 및 서비스간 통신을 제어하여 경계 내의 리소스와 데이터를 보호하는 기술입니다.

VPC Service Control가 사용하는 제어방식은 다음과 같습니다.

1. Google Cloud 리소스를 서비스 경계로 분리

 - 보호하고자 하는 범위의 프로젝트를 1개의 서비스 경계(Service Perimeter)로 묶습니다.

 - 리소스에 대한 비공개 액세스 권한이 있는 경계 내 클라이언트는 경계 외부에 있는 권한이 없는(잠재적으로 공개) 리소스에 액세스하지 못합니다.

 - 서비스 경계로 분리된 클라이언트 및 리소스 간의 데이터 교환은 인그레스 및 이그레스 규칙을 사용하여 보호됩니다.

(동일한 서비스 경계 내에 있다면 인그레스 및 이그레스 규칙을 설정하지 않아도 리소스 사이의 통신이 가능합니다.)

2. 승인된 VPN 또는 Cloud Interconnect로 경계 확장

 - 비공개 Google 액세스의 온프레미스 확장을 사용하여 하이브리드 환경에 이르는 VPC 네트워크에서 Google Cloud 리소스에 대한 비공개 통신을 구성할 수 있습니다. 

 - VPC 네트워크는 동일한 네트워크의 VM이 속하는 서비스 경계 내에 있어야 동일한 서비스 경계 내에 있는 관리형 Google Cloud 리소스에 비공개로 액세스할 수 있습니다.

3. 인터넷에서 Google Cloud 리소스 액세스 제어

 - 인터넷에서 서비스 경계 내에 있는 관리형 리소스에 액세스하는 것은 기본적으로 거부됩니다. 

 - 필요한 경우 소스 IP 주소와 같은 다양한 속성을 기반으로 액세스를 제어하는 액세스 수준을 만들어 설정합니다.

VPC 서비스 제어는 Identity and Access Management(IAM)과 별개로 Google Cloud 서비스의 보안을 더욱 강화합니다.

IAM은 세분화된 ID 기반 액세스 제어를 지원하지만 VPC 서비스 제어는 경계 간 데이터 이그레스 제어를 포함한 보다 광범위한 컨텍스트 기반 경계 보안을 지원합니다. 

심층 방어를 위해 VPC 서비스 제어와 IAM을 모두 사용하는 것이 좋습니다.

VPC Service Control가 모든 Google Service에 대해 지원을 하는 것은 아닙니다.

미지원 서비스가 존재하니 해당 부분은 구글 문서에서 확인하시기 바랍니다.