Assured Workloads의 VPC 서비스 제어 구성

개요

Assured Workloads를 사용하면 네트워크와 사용자를 범위 내 민감한 정보에서 분리하는 논리적 제어를 구현하여 다양한 규정 준수 프레임워크를 준수할 수 있습니다. 많은 미국 규정 준수 프레임워크는 NIST SP 800-53 수정 버전 5를 기반으로 하지만 정보의 민감도와 프레임워크의 관리 기관에 따라 자체적으로 특정 제어 기능을 갖추게 됩니다. FedRAMP 높음 또는 DoD IL4를 준수해야 하는 고객의 경우 VPC 서비스 제어를 사용하여 규제 대상 환경 주변에 강력한 경계를 만드는 것이 좋습니다.

VPC 서비스 제어는 Identity and Access Management(IAM)와 별개로 Google Cloud 서비스의 보안을 더욱 강화합니다. Identity and Access Management는 세분화된 ID 기반 액세스 제어를 지원하지만 VPC 서비스 제어는 경계 간 데이터 인그레스 및 이그레스 제어를 포함한 보다 광범위한 컨텍스트 기반 경계 보안을 지원합니다. VPC 서비스 제어 컨트롤은 조직 수준에서 관리되고 프로젝트 수준에서 적용 및 시행되는 Google Cloud API 주변의 논리적 경계입니다. VPC 서비스 제어의 이점과 구성 단계에 대한 대략적인 개요는 VPC 서비스 제어 개요를 참조하세요. 규제 지침에 대한 자세한 내용은 컨트롤 ID SC-7을 참조하세요.

시작하기 전에

VPC 서비스 제어와 서비스 경계의 목적 및 사용을 읽고 이해해야 합니다.
VPC 서비스 제어의 액세스 제어가 IAM과 작동하는 방식을 읽습니다.
경계를 만들 때 보호된 서비스에 대한 외부 액세스를 구성하려면 경계를 만들기 전에 하나 이상의 액세스 수준을 만듭니다.
Google Cloud 서비스 및 리소스가 IL4 범위 또는 FedRAMP 높음 범위에 있고 VPC 서비스 제어에서 지원하는지 확인합니다.

Assured Workloads의 VPC 서비스 제어 구성

VPC 서비스 제어를 구성하려면 Google Cloud 콘솔, Google Cloud CLI(gcloud CLI) 또는 Access Context Manager API를 사용하면 됩니다. 다음 단계에서는 Google Cloud 콘솔을 사용하는 방법을 보여줍니다.

콘솔

Google Cloud 콘솔 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.

VPC 서비스 제어 페이지로 이동
메시지가 표시되면 조직, 폴더 또는 프로젝트를 선택합니다.
VPC 서비스 제어 페이지에서테스트 실행 모드를 선택합니다. 테스트 실행 모드 또는 시행 모드에서 만들 수 있지만 새로운 또는 업데이트된 서비스 경계에서 먼저 테스트 실행 모드를 사용하는 것이 좋습니다. 테스트 실행 모드를 사용하면 새 서비스 경계의 테스트 실행을 만들어 환경 내에서 시행하도록 선택하기 전에 성능을 확인할 수도 있습니다.
새 경계를 클릭합니다.
새 VPC 서비스 경계 페이지의 경계 이름 상자에 경계의 이름을 입력합니다.
세부정보 탭에서 원하는 경계 유형 및 구성 유형을 선택합니다.
프로젝트 탭에서 서비스 경계에 포함할 프로젝트를 선택합니다. IL4 워크로드의 경우 Assured Workloads IL4 폴더 내에 있는 프로젝트여야 합니다.

참고: 현재 서비스 경계를 설정할 때만 폴더가 아닌 프로젝트를 선택할 수 있습니다.
제한된 서비스 탭에서 서비스 경계에 포함할 서비스를 추가합니다. Assured Workloads 폴더의 범위 내에 있는 서비스만 선택해야 합니다.
(선택사항) VPC 액세스 가능 서비스 탭에서 서비스 경계 내의 서비스가 서로 통신하지 않도록 제한할 수 있습니다. Assured Workloads는 Assured Workloads 범위 내에 있는 서비스를 Assured Workloads 폴더 내에 배포할 수 있도록 서비스 사용 제한을 가드레일로 구현합니다. 이러한 제어를 재정의하면 Assured Workloads 이외의 서비스가 워크로드와 통신하지 못하도록 제한하기 위해 VPC 액세스 가능 서비스를 구현해야 할 수 있습니다.
인그레스 정책을 클릭하여 다른 ID와 리소스에서 허용되는 액세스 방향을 지정하는 규칙을 하나 이상 설정합니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준은 리소스 또는 VM에서 경계 외부의 데이터 및 서비스에 액세스하도록 허용하는 데 사용할 수 없습니다. 규제 대상 데이터를 워크로드의 서비스 경계로 전송하기 위해 특정 서비스에 다른 ID의 서비스 메서드를 할당할 수 있습니다.
(선택사항) 이그레스 정책을 클릭하여 다른 ID 및 리소스에 대한 허용된 액세스 방향을 지정하는 규칙을 하나 이상 설정합니다. 액세스 수준은 보호된 리소스에서 서비스 경계 외부의 서비스에 대한 요청에만 적용됩니다.
저장을 클릭합니다.

Terraform에서 VPC 서비스 제어 사용

Assured Workloads 규제 대상 경계를 VPC 서비스 제어 경계에 맞춰 정렬하려는 경우 Terraform을 사용하여 Assured Workloads 폴더를 VPC 서비스 제어 허가와 동기화할 수 있습니다. 자세한 내용은 GitHub에서 자동 보호 폴더 Terraform 예시를 참조하세요.

다음 단계

FedRAMP 상위 수준 제어 패키지에 대해 알아보기
IL4 제어 패키지에 대해 알아보기