VPC Service Controls für Assured Workloads konfigurieren
Überblick
Assured Workloads unterstützt Sie bei der Einhaltung verschiedener Compliance-Frameworks. Dazu implementieren Sie logische Kontrollen, mit denen Netzwerke und Nutzer von sensiblen Daten segmentiert werden. Viele US-Compliance-Frameworks basieren auf NIST SP 800-53 Rev. 5, haben jedoch eigene Kontrollen auf der Grundlage der Vertraulichkeit der Informationen und des Frameworks Governance-Text. Für Kunden, die FedRAMP High oder DoD IL4 einhalten müssen, empfehlen wir die Verwendung von VPC Service Controls, um eine starke Grenze rund um die regulierte Umgebung zu erstellen.
VPC Service Controls bietet eine zusätzliche Sicherheitsebene für Google Cloud-Dienste, die unabhängig von der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist. Im Gegensatz zur detaillierten identitätsbasierten Zugriffssteuerung von Identity and Access Management ermöglicht VPC Service Controls eine breitere kontextbasierte Perimetersicherheit, z. B. die Kontrolle des ein- und ausgehenden Datenverkehrs im Perimeter. Die VPC Service Controls der Kontrollen sind eine logische Grenze um Google Cloud-APIs, die auf Organisationsebene verwaltet und auf Projektebene angewendet und erzwungen werden.. Eine allgemeine Übersicht über die Vorteile von VPC Service Controls und Konfigurationsphasen finden Sie in der Übersicht über VPC Service Controls. Weitere Informationen zu den Vorschriften finden Sie unter Control ID SC-7.
Hinweise
- Sie müssen den Zweck und die Verwendung von VPC Service Controls und seinen Dienstperimetern lesen und verstehen.
- Informationen zur Funktionsweise der Zugriffssteuerung in VPC Service Controls mit IAM.
- Wenn Sie den externen Zugriff auf Ihre geschützten Dienste beim Erstellen des Perimeters konfigurieren möchten, erstellen Sie zuerst eine oder mehrere Zugriffsebenen, bevor Sie den Perimeter erstellen.
- Achten Sie darauf, dass die Google Cloud-Dienste und ihre Ressourcen im Geltungsbereich von IL4 oder im Geltungsbereich von FedRAMP High liegen und von VPC Service Controls unterstützt werden.
VPC Service Controls für Assured Workloads konfigurieren
Sie können VPC Service Controls mithilfe der Google Cloud Console, der Google Cloud-Befehlszeile (gcloud-Befehlszeile) oder der Access Context Manager APIs verwenden. In den folgenden Schritten wird die Verwendung der Google Cloud Console beschrieben.
Console
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.
Wählen Sie auf der Seite VPC Service Controls den Probelaufmodus aus. Sie können zwar im Probelaufmodus oder Erzwungenen Modus erstellen, wir empfehlen jedoch, zuerst den Probelaufmodus entweder für einen neuen oder aktualisierten Dienstperimeter zu verwenden. Mit dem Probelaufmodus können Sie auch einen Testlauf Ihres neuen Dienstperimeters erstellen, um seine Leistung zu testen, bevor Sie ihn in Ihrer Umgebung erzwingen.
Klicken Sie auf Neuer Perimeter.
Geben Sie auf der Seite Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein.
Wählen Sie im Tab Details den gewünschten Perimetertyp und Konfigurationstyp aus.
Wählen Sie auf dem Tab Projekte die Projekte aus, die Sie innerhalb der Dienstperimetergrenze einschließen möchten. Für Ihre IL4-Arbeitslasten sollten diese Projekte in Ihrem Assured Workloads-IL4-Ordner liegen.
Fügen Sie auf dem Tab Eingeschränkte Dienste Dienste hinzu, die innerhalb der Dienstperimetergrenze hinzugefügt werden sollen. Sie sollten nur Dienste auswählen, die in den Bereich Ihres Assured Workloads-Ordners fallen.
(Optional) Im Tab Über VPC zugängliche Dienste können Sie weitere Dienste in Ihrem Dienstperimeter einschränken, um miteinander zu kommunizieren. Assured Workloads implementiert Dienstnutzungseinschränkungen als Schutzmaßnahmen, damit Dienste, die auf Assured Workloads beschränkt sind, in Ihrem Assured Workloads-Ordner bereitgestellt werden können. Wenn Sie diese Kontrollen überschrieben haben, müssen Sie möglicherweise zugängliche VPC-Dienste implementieren, um die Kommunikation von nicht Assured Workloads-Diensten mit Ihren Arbeitslasten einzuschränken.
Klicken Sie auf Ingress-Richtlinie, um eine oder mehrere Regeln festzulegen, die die Richtung des zulässigen Zugriffs von verschiedenen Identitäten und Ressourcen angeben. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Zugriffsebenen können nicht verwendet werden, um geschützten Ressourcen oder VMs den Zugriff auf Daten und Dienste außerhalb des Perimeters zu erlauben. Sie können Identitäten bestimmte Dienstmethoden für bestimmte Dienste zuweisen, um regulierte Daten in den Dienstperimeter Ihrer Arbeitslast zu übertragen.
Optional: Klicken Sie auf Richtlinie für ausgehenden Traffic, um eine oder mehrere Regeln festzulegen, die die Richtung des zulässigen Zugriffs auf verschiedene Identitäten und Ressourcen angeben. Zugriffsebenen gelten nur für Anfragen von geschützten Ressourcen an Dienste außerhalb des Dienstperimeters.
Klicken Sie auf Speichern.
VPC Service Controls mit Terraform verwenden
Sie können Terraform verwenden, um Ihren Assured Workloads-Ordner mit einer VPC Service Controls-Genehmigung zu synchronisieren, wenn die regulierte Grenze von Assured Workloads an Ihre VPC Service Controls-Grenze ausgerichtet werden soll. Weitere Informationen finden Sie im Beispiel für eine Terraform-Datei mit automatisch gesicherten Ordnern auf GitHub.