Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Configure os VPC Service Controls para o Assured Workloads

Vista geral

O Assured Workloads ajuda a agir em conformidade com diferentes frameworks de conformidade regulamentar através da implementação de controlos lógicos que segmentam redes e utilizadores de dados confidenciais no âmbito. Muitos dos quadros de conformidade dos EUA baseiam-se na NIST SP 800-53 Rev. 5, mas têm os seus próprios controlos específicos com base na sensibilidade das informações e no organismo regulador do quadro. Para os clientes que têm de agir em conformidade com a FedRAMP High ou a DoD IL4, recomendamos que use os VPC Service Controls para criar um limite forte em torno do ambiente regulamentado.

Os VPC Service Controls oferecem uma camada adicional de defesa de segurança para Google Cloud serviços que é independente da gestão de identidade e de acesso (IAM). Embora a gestão de identidade e de acesso permita o controlo de acesso detalhado baseado na identidade, os VPC Service Controls permitem uma segurança de perímetro mais ampla baseada no contexto, como o controlo da entrada e saída de dados no perímetro. Os VPC Service Controls são um limite lógico em torno das APIs que são geridas ao nível da organização e aplicadas e impostas ao nível do projeto. Google Cloud Para uma vista geral de alto nível das vantagens e das fases de configuração do VPC Service Controls, consulte a vista geral do VPC Service Controls. Para mais informações acerca das orientações regulamentares, consulte o ID de controlo SC-7.

Antes de começar

Certifique-se de que leu e compreende a finalidade e a utilização dos VPC Service Controls e dos respetivos perímetros de serviço.
Leia sobre como o controlo de acesso no VPC Service Controls funciona com o IAM.
Se quiser configurar o acesso externo aos seus serviços protegidos quando criar o perímetro, primeiro crie um ou mais níveis de acesso antes de criar o perímetro.
Certifique-se de que os Google Cloud serviços e os respetivos recursos estão no âmbito da IL4 ou no âmbito da FedRAMP High e são suportados pelos VPC Service Controls.

Configure os VPC Service Controls para o Assured Workloads

Para configurar os VPC Service Controls, pode usar a Google Cloud consola, a CLI Google Cloud (CLI gcloud) ou as APIs Access Context Manager. Os passos seguintes mostram como usar a Google Cloud consola.

Consola

No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.

Aceda à página VPC Service Controls
Se lhe for pedido, selecione a sua organização, pasta ou projeto.
Na página VPC Service Controls, selecione o modo de teste. Embora possa criar um perímetro de serviço no modo de execução de ensaio ou no modo aplicado, recomendamos que use primeiro o modo de execução de ensaio para um perímetro de serviço novo ou atualizado. O modo de teste também lhe permite criar um teste de execução do novo perímetro de serviço para ver o respetivo desempenho antes de optar por aplicá-lo no seu ambiente.
Clique em Novo perímetro.
Na página Novo perímetro de serviço da VPC, na caixa Nome do perímetro, introduza um nome para o perímetro.
No separador Detalhes, selecione o tipo de perímetro e o tipo de configuração pretendidos.
No separador Projetos, selecione os projetos que quer incluir no limite do perímetro de serviço. Para as suas cargas de trabalho IL4, estes devem ser os projetos que estão na sua pasta IL4 do Assured Workloads.

Nota: de momento, só pode selecionar projetos (e não pastas) quando configurar um perímetro de serviço.
No separador Serviços restritos, adicione serviços a incluir no limite do perímetro de serviço. Só deve selecionar serviços que estejam no âmbito da sua pasta do Assured Workloads.
(Opcional) No separador Serviços acessíveis da VPC, pode restringir ainda mais os serviços no seu perímetro de serviço de comunicarem entre si. O Assured Workloads implementa restrições de utilização de serviços como uma proteção para garantir que os serviços com âmbito no Assured Workloads podem ser implementados na sua pasta do Assured Workloads. Se tiver anulado estes controlos, pode ter de implementar os serviços acessíveis da VPC para restringir a comunicação dos serviços que não são do Assured Workloads com as suas cargas de trabalho.
Clique em Política de entrada para definir uma ou mais regras que especifiquem a direção do acesso permitido a partir de diferentes identidades e recursos. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos provenientes de fora do perímetro de serviço. Os níveis de acesso não podem ser usados para permitir que recursos protegidos ou VMs acedam a dados e serviços fora do perímetro. Pode atribuir métodos de serviço de identidade diferentes a serviços específicos para transferir dados regulamentados para o perímetro de serviço da sua carga de trabalho.
(Opcional) Clique em Política de saída para definir uma ou mais regras que especifiquem a direção do acesso permitido a diferentes identidades e recursos. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos a serviços fora do perímetro de serviço.
Clique em Guardar.

Use os VPC Service Controls com o Terraform

Pode usar o Terraform para sincronizar a sua pasta do Assured Workloads com uma autorização dos VPC Service Controls se quiser que o limite regulamentado do Assured Workloads esteja alinhado com o limite dos VPC Service Controls. Para mais informações, consulte o exemplo do Terraform de pasta protegida automaticamente no GitHub.

O que se segue?

Saiba mais sobre o pacote de controlos FedRAMP High.
Saiba mais sobre o pacote de controlo IL4.