Configurazione dei Controlli di servizio VPC per Assured Workloads

Panoramica

Assured Workloads ti aiuta a rispettare diversi framework di conformità normativa implementando controlli logici che segmentano le reti e gli utenti dai dati sensibili nell'ambito. Molti dei framework di conformità degli Stati Uniti si basano su NIST SP 800-53 Rev. 5, ma dispongono di controlli specifici basati sulla sensibilità delle informazioni e sull'organo di governo del framework. Per i clienti che devono rispettare i requisiti FedRAMP High o DoD IL4, consigliamo di utilizzare Controlli di servizio VPC per creare un confine solido intorno all'ambiente regolamentato.

I Controlli di servizio VPC forniscono un ulteriore livello di sicurezza per i servizi Google Cloud indipendente da Identity and Access Management (IAM). Mentre Identity and Access Management consente un controllo granulare degli accessi basato sull'identità, i Controlli di servizio VPC consentono una sicurezza perimetrale più ampia basata sul contesto, ad esempio il controllo dei dati in entrata e in uscita lungo il perimetro. I controlli dei Controlli di servizio VPC sono un confine logico intorno alle API Google Cloud che vengono gestite a livello di organizzazione e applicate e applicate a livello di progetto. Per una panoramica generale dei vantaggi e delle fasi di configurazione dei Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC. Per ulteriori informazioni sull'orientamento normativo, consulta ID controllo SC-7.

Prima di iniziare

Assicurati di aver letto e compreso lo scopo e l'utilizzo dei Controlli di servizio VPC e dei relativi perimetri di servizio.
Scopri come funziona controllo dell'accesso in Controlli di servizio VPC con IAM.
Se vuoi configurare l'accesso esterno ai servizi protetti quando crei il perimetro, devi prima creare uno o più livelli di accesso prima di creare il perimetro.
Assicurati che i servizi Google Cloud e le relative risorse rispettino l'ambito di IL4 o che rientrino nell'ambito di FedRAMP High e che siano supportati dai Controlli di servizio VPC.

Configurazione dei Controlli di servizio VPC per Assured Workloads

Per configurare i Controlli di servizio VPC, puoi utilizzare la console Google Cloud, Google Cloud CLI (gcloud CLI) o le API Access Context Manager. I passaggi seguenti mostrano come utilizzare la console Google Cloud.

Console

Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

Vai alla pagina Controlli di servizio VPC
Se ti viene richiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona la Modalità di prova. Sebbene sia possibile creare in modalità di prova o applicata, consigliamo di utilizzare prima la modalità di prova per un perimetro di servizio nuovo o aggiornato. La modalità di prova ti consente inoltre di creare un'esecuzione di test del nuovo perimetro di servizio per verificarne le prestazioni prima di scegliere di applicarlo all'interno del tuo ambiente.
Fai clic su Nuovo perimetro.
Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.
Nella scheda Dettagli, seleziona il tipo di perimetro e il tipo di configurazione che preferisci.
Nella scheda Progetti, seleziona i progetti da includere nel confine del perimetro di servizio. Per i carichi di lavoro IL4, devono essere i progetti all'interno della cartella IL4 di Assured Workloads.

Nota: al momento, puoi selezionare solo i progetti (e non le cartelle) quando configuri un perimetro di servizio.
Nella scheda Servizi limitati, aggiungi i servizi da includere all'interno del confine del perimetro di servizio. Seleziona solo i servizi che rientrano nell'ambito della cartella Assured Workloads.
(Facoltativo) Nella scheda Servizi accessibili VPC, puoi limitare ulteriormente la comunicazione tra i servizi all'interno del perimetro di servizio. Assured Workloads implementerà le limitazioni di utilizzo dei servizi come protezione per garantire che il deployment dei servizi con ambito ad Assured Workloads possa essere eseguito all'interno della cartella di Assured Workloads. Se hai eseguito l'override di questi controlli, potrebbe essere necessario implementare i servizi accessibili VPC per limitare la comunicazione da parte dei servizi non di Assured Workloads con i tuoi carichi di lavoro.
Fai clic su Criterio in entrata per impostare una o più regole che specificano la direzione di accesso consentito da identità e risorse diverse. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non è possibile usare i livelli di accesso per consentire a risorse o VM protette di accedere a dati e servizi al di fuori del perimetro. Puoi assegnare a un'identità diversi metodi di servizio a servizi specifici per trasferire i dati regolamentati nel perimetro di servizio del carico di lavoro.
(Facoltativo) Fai clic su Criterio in uscita per impostare una o più regole che specificano la direzione di accesso consentito a identità e risorse diverse. I livelli di accesso si applicano solo alle richieste provenienti da risorse protette a servizi esterni al perimetro di servizio.
Fai clic su Salva.

Utilizzare i Controlli di servizio VPC con Terraform

Puoi utilizzare Terraform per sincronizzare la cartella Assured Workloads con un'autorizzazione dei Controlli di servizio VPC, se vuoi che il confine regolato di Assured Workloads sia allineato con il confine dei Controlli di servizio VPC. Per maggiori informazioni, consulta l'esempio di Terraform di una cartella protetta automaticamente su GitHub.

Passaggi successivi

Scopri di più sul pacchetto di controllo FedRAMP High.
Scopri di più sul pacchetto di controllo IL4.