Assured Workloads の VPC Service Controls を構成する

概要

Assured Workloads は、ネットワークとユーザーを対象範囲内のセンシティブデータからセグメント化する論理制御を実装することにより、さまざまな規制遵守フレームワークの遵守を支援します。米国のコンプライアンスフレームワークの多くは NIST SP 800-53 Rev 5 に基づいて構築されていますが、情報の機密性とフレームワークの管理機関に基づいて、独自の制御を行います。FedRAMP High または DoD IL4 を遵守する必要がある場合は、VPC Service Controls を使用して、規制の厳しい環境の周囲に強固な境界を作成することを推奨します。

VPC Service Controls によって、Identity and Access Management（IAM）から独立している Google Cloud サービスに対するセキュリティが強化されます。Identity and Access Management では詳細な ID ベースのアクセス制御が可能ですが、VPC Service Controls では、境界全体でのデータの上り（内向き）と下り（外向き）の制御など、コンテキストベースの境界セキュリティが可能になります。コントロール VPC Service Controls は、組織レベルで管理され、プロジェクトレベルで適用および施行される Google Cloud API の論理的な境界です。VPC Service Controls の利点と構成のステージの概要については、VPC Service Controls の概要をご覧ください。規制に関するガイダンスについて詳しくは、コントロール ID SC-7 をご覧ください。

始める前に

VPC Service Controls とそのサービス境界の目的と使用方法を読んでいることを確認します。
VPC Service Controls と IAM の連携について確認します。
境界を作成する際、保護されたサービスへの外部アクセスを構成する場合は、先にアクセスレベルを 1 つ以上作成してから境界を作成します。
Google Cloud サービスとそのリソースが IL4 の対象範囲または FedRAMP High の対象範囲で、VPC Service Controls によってサポートされることを確認します。

Assured Workloads の VPC Service Controls を構成する

VPC Service Controls を構成するには、Google Cloud コンソール、Google Cloud CLI（gcloud CLI）、または Access Context Manager API を使用します。次の手順ではGoogle Cloud コンソールの使用方法を説明します。

Console

Google Cloud コンソールのナビゲーションメニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

[VPC Service Controls] ページに移動
プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。
[VPC Service Controls] ページでドライランモードを選択します。ドライランモードまたは自動適用モードのいずれかで作成できますが、新しいサービス境界または更新されたサービス境界には、まずドライランモードを使用することをおすすめします。また、ドライランモードでは、新しいサービス境界のテスト実行を作成し、環境内で適用する前にそのパフォーマンスを確認することもできます。
[新しい境界] をクリックします。
[新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。
[詳細] タブで、目的の境界タイプと構成タイプを選択します。
[プロジェクト] タブで、サービス境界内に含めるプロジェクトを選択します。IL4 ワークロードの場合、これらは Assured Workloads IL4 フォルダ内にあるプロジェクトである必要があります。

注: 現時点では、サービス境界を設定するときにのみ、プロジェクトを選択できます（フォルダは選択できません）。
[制限付きサービス] タブで、サービス境界内に含めるサービスを追加します。Assured Workloads フォルダの対象となるサービスのみを選択する必要があります。
（省略可）[VPC のアクセス可能なサービス] タブで、サービス境界内のサービス間の通信をさらに制限できます。Assured Workloads は、Assured Workloads スコープ内のサービスを Assured Workloads フォルダ内にデプロイできるようにするガードレールとして Service Usage Restriction を実装します。これらの制御をオーバーライドした場合は、VPC のアクセス可能なサービスを実装して、非 Assured Workloads サービスがワークロードと通信しないように制限する必要があります。
[上り（内向き）ポリシー] をクリックして、さまざまな ID とリソースからのアクセスを許可する方向を指定する 1 つ以上のルールを設定します。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、保護されたリソースまたは VM による境界外のデータやサービスへのアクセスを許可することはできません。規制対象のデータをワークロードのサービス境界に転送するために、特定のサービスメソッドを特定のサービスに割り当てることができます。
（省略可）[下り（外向き）ポリシー] をクリックして、さまざまな ID とリソースへのアクセスの方向を指定する 1 つ以上のルールを設定します。アクセスレベルは、保護されたリソースからサービス境界外のサービスへのリクエストにのみ適用されます。
[保存] をクリックします。

Terraform で VPC Service Controls を使用する

Assured Workloads の規制対象の境界を VPC Service Controls の境界と一致させる場合、Terraform を使用して、Assured Workloads フォルダを VPC Service Controls の許可と同期させることができます。詳細については、GitHub の自動的に保護されたフォルダ Terraform の例をご覧ください。

次のステップ

FedRAMP High コントロールパッケージについて学習する。
IL4 コントロールパッケージについて確認する。