Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads
Ringkasan
Assured Workloads membantu Anda mematuhi berbagai framework kepatuhan peraturan dengan menerapkan kontrol logis yang mengelompokkan jaringan dan pengguna dari data sensitif dalam cakupan. Banyak framework kepatuhan AS dibuat berdasarkan NIST SP 800-53 Rev. 5, tetapi memiliki kontrol khusus berdasarkan sensitivitas informasi dan badan pengatur framework. Untuk pelanggan yang harus mematuhi FedRAMP High atau DoD IL4, sebaiknya gunakan Kontrol Layanan VPC untuk membuat batasan yang kuat di sekitar lingkungan yang diatur.
Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun Identity and Access Management memungkinkan kontrol akses berbasis identitas terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, seperti mengontrol masuk dan keluar data di seluruh perimeter. Kontrol Kontrol Layanan VPC adalah batas logis di sekitar Google Cloud API yang dikelola di tingkat organisasi dan diterapkan serta ditegakkan di tingkat project. Untuk ringkasan tingkat tinggi tentang manfaat dan tahap konfigurasi Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang panduan peraturan, lihat ID Kontrol SC-7.
Sebelum memulai
- Pastikan Anda telah membaca dan memahami tujuan serta penggunaan Kontrol Layanan VPC dan perimeter layanan-nya.
- Baca cara kerja kontrol akses di Kontrol Layanan VPC dengan IAM.
- Jika Anda ingin mengonfigurasi akses eksternal ke layanan yang dilindungi saat membuat perimeter, pertama-tama buat satu atau beberapa tingkat akses sebelum membuat perimeter.
- Pastikan layanan Google Cloud dan resource-nya termasuk dalam cakupan IL4 atau termasuk dalam cakupan FedRAMP High dan didukung oleh VPC Service Controls.
Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads
Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan konsol Google Cloud, Google Cloud CLI (gcloud CLI), atau Access Context Manager API. Langkah-langkah berikut menunjukkan cara menggunakan konsol Google Cloud.
Konsol
Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.
Jika diminta, pilih organisasi, folder, atau project Anda.
Di halaman VPC Service Controls, pilih Dry run mode. Meskipun Anda dapat membuat dalam Mode uji coba atau Mode diterapkan, sebaiknya gunakan Mode uji coba terlebih dahulu untuk perimeter layanan baru atau yang diperbarui. Mode uji coba juga akan memungkinkan Anda membuat operasi pengujian perimeter layanan baru untuk melihat performanya sebelum Anda memilih untuk menerapkannya dalam lingkungan Anda.
Klik Perimeter baru.
Di halaman Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter.
Di tab Details, pilih jenis perimeter dan jenis konfigurasi yang diinginkan.
Di tab Project, pilih project yang ingin Anda sertakan dalam batas perimeter layanan. Untuk workload IL4, ini harus merupakan project yang berada dalam folder Assured Workloads IL4.
Di tab Layanan Terbatas, tambahkan layanan yang akan disertakan dalam batas perimeter layanan. Anda hanya boleh memilih layanan yang berada dalam cakupan untuk folder Assured Workloads.
(Opsional) Di tab VPC Accessible Services, Anda dapat lebih membatasi layanan dalam perimeter layanan agar tidak berkomunikasi satu sama lain. Assured Workloads akan menerapkan Batasan Penggunaan Layanan sebagai pembatasan untuk memastikan bahwa layanan yang dicakup dalam Assured Workloads dapat di-deploy dalam folder Assured Workloads Anda. Jika telah mengganti kontrol ini, Anda mungkin perlu menerapkan Layanan yang Dapat Diakses VPC untuk membatasi layanan non-Assured Workloads agar tidak berkomunikasi dengan workload Anda.
Klik Kebijakan Ingress untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan dari identitas dan resource yang berbeda. Tingkat akses hanya berlaku untuk permintaan resource yang dilindungi yang berasal dari luar perimeter layanan. Tingkat akses tidak dapat digunakan untuk mengizinkan resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter. Anda dapat menetapkan metode layanan identitas yang berbeda ke layanan tertentu untuk mentransfer data yang diatur ke dalam perimeter layanan beban kerja Anda.
(Opsional) Klik Kebijakan Keluar untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan ke identitas dan resource yang berbeda. Tingkat akses hanya berlaku untuk permintaan dari resource yang dilindungi ke layanan di luar perimeter layanan.
Klik Simpan.
Menggunakan Kontrol Layanan VPC dengan Terraform
Anda dapat menggunakan Terraform untuk menyinkronkan folder Assured Workloads dengan izin Kontrol Layanan VPC jika Anda ingin batas yang diatur untuk Assurance Workloads selaras dengan batas Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat contoh Terraform Folder yang Dilindungi Otomatis di GitHub.
Langkah selanjutnya
- Pelajari paket kontrol FedRAMP High.
- Pelajari paket kontrol IL4.