为 Assured Workloads 配置 VPC Service Controls

概览

Assured Workloads 通过实施逻辑控制,从范围内的敏感数据中细分网络和用户,帮助您遵守不同的监管合规性框架。许多美国合规框架都基于 NIST SP 800-53 修订版 5 构建,但根据信息的敏感度和框架的管理机构,这些框架有自己的特定控制措施。如果客户需要遵守 FedRAMP 高风险级别DoD IL4 要求,我们建议您使用 VPC Service Controls 为受监管环境创建强硬的边界。

VPC Service Controls 为独立于 Identity and Access Management (IAM) 的 Google Cloud服务提供一层额外的安全防御。Identity and Access Management 可实现基于身份的精细访问权限控制,而 VPC Service Controls 可实现更广泛的基于上下文的边界安全性,例如控制跨边界数据入站流量和出站流量。控制 VPC Service Controls 是 API 的逻辑边界,在组织级层管理,在项目级层应用和强制实施。 Google Cloud 如需大致了解 VPC Service Controls 的优势和配置阶段,请参阅 VPC Service Controls 概览。如需详细了解监管指南,请参阅控制 ID SC-7

准备工作

为 Assured Workloads 配置 VPC Service Controls

如需配置 VPC Service Controls,您可以使用 Google Cloud 控制台、Google Cloud CLI (gcloud CLI) 或 Access Context Manager API。以下步骤介绍了如何使用 Google Cloud 控制台。

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 如果出现提示,请选择您的组织、文件夹或项目。

  3. VPC Service Controls 页面上,选择“试运行模式”。虽然您可以在“试运行模式”或“实施模式”下创建,但我们建议您先使用“试运行模式”。借助“试运行模式”,您还可以创建新服务边界的测试运行,以查看其性能,然后选择在环境中实施它。

  4. 点击新建边界

  5. 新建 VPC 服务边界页面的边界名称框中,为边界输入一个名称。

  6. 详细信息标签页中,选择所需的边界类型和配置类型。

  7. 项目标签页中,选择要包含在服务边界内的项目。对于 IL4 工作负载,这些项目应该是 Assured Workloads IL4 文件夹中的项目。

  8. 受限服务标签页中,添加要包含在服务边界内的服务。您应只选择 Assured Workloads 文件夹范围内的服务。

  9. (可选)在 VPC 可访问服务标签页中,您可以进一步限制服务边界内的服务相互通信。Assured Workloads 将实施 Service Usage 限制作为保护措施,以确保可以在 Assured Workloads 文件夹中部署范围限定为 Assured Workloads 的服务。如果您替换了这些控制措施,则可能需要实现 VPC 可访问服务以限制非 Assured Workloads 服务与工作负载通信。

  10. 点击入站流量政策,设置一个或多个规则,以指定自不同身份和资源的允许访问的方向。访问权限级别仅适用于来自服务边界外对受保护资源的请求。访问权限级别不能用于允许受保护的资源或虚拟机访问服务边界外的数据和服务。您可以为特定服务分配一种身份不同的服务方法,以便将受监管的数据转移到工作负载的服务边界。

  11. (可选)点击出站流量政策,设置一个或多个规则,以指定到不同身份和资源的允许访问的方向。访问权限级别仅适用于从受保护资源到服务边界外服务的请求。

  12. 点击保存

将 VPC Service Controls 与 Terraform 搭配使用

如果您希望 Assured Workloads 受监管的边界与您的 VPC Service Controls 边界保持一致,可以使用 Terraform 将 Assured Workloads 文件夹与 VPC Service Controls 许可同步。如需了解详情,请参阅 GitHub 上自动保护文件夹 Terraform 示例

后续步骤