GCP - Segregarea liniilor de afaceri după VPC sau VPC partajat

Dorim să creăm o zonă de aterizare care să poată integra diferite linii de afaceri, fiecare în propriul folder cu mai multe proiecte

Vrem să avem un VPC de servicii partajate centralizat pentru intrarea/ieșirea internetului + administrare etc. Dar încerc să decid dacă

a) ar trebui să folosim VPC-uri partajate pe regiune cu 2 x proiecte gazdă (pentru a acoperi proiectele prod + non-prod + apoi proiectele de servicii pe linie de afaceri (cu VPC-ul partajat asociat cu VPC-ul centralizat) SAU b) folosiți VPC-uri standard separate pentru fiecare linie de afaceri, fiecare dintre ele conectat la VPC-ul central

Cred că se reduce dacă segregarea între liniile de afaceri folosind un VPC partajat (adică prin proiect/subrețea) este suficient de sigură față de segregarea completă a VPC-ului? Are cineva vreun gând? Cele mai bune practici etc? Sunt încărcăturile de lucru dintr-o subrețea/un proiect separat izolate în mod corespunzător una de cealaltă (adică firewall-urile la nivelul vm nu la nivelul vpc?)