Configura los Controles del servicio de VPC para Assured Workloads
Descripción general
Assured Workloads te ayuda a cumplir con diferentes frameworks de cumplimiento normativo mediante la implementación de controles lógicos que segmentan las redes y los usuarios a partir de datos sensibles dentro del alcance. Muchos de los frameworks de cumplimiento de EE.UU. se basan en NIST SP 800-53 Rev. 5, pero tienen sus propios controles específicos basados en la sensibilidad de la información y el cuerpo regulatorio. Para los clientes que deben cumplirFedRAMP High o DoD IL4, recomendamos que uses los Controles del servicio de VPC para crear un límite sólido alrededor del entorno regulado.
Los Controles del servicio de VPC proporcionan una capa adicional de defensa de seguridad para los servicios de Google Cloud, que es independiente de la administración de identidades y accesos (IAM). Si bien Identity and Access Management habilita el control de acceso detallado basado en la identidad, los Controles del servicio de VPC permiten una seguridad perimetral más amplia basada en el contexto, como el control de la entrada y salida de datos en todo el perímetro. Los Controles del servicio de VPC son un límite lógico en torno a las APIs de Google Cloud que se administran a nivel de organización y se aplican y exigen a nivel de proyecto. Para obtener una descripción general de alto nivel de los beneficios y las etapas de configuración de los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC. Para obtener más información sobre la orientación reglamentaria, consulta Control ID SC-7.
Antes de comenzar
- Asegúrate de leer y comprender el propósito y el uso de los Controles del servicio de VPC y sus perímetros de servicio.
- Obtén información sobre cómo funciona el control de acceso en Controles del servicio de VPC con IAM.
- Si deseas configurar el acceso externo a los servicios protegidos cuando creas el perímetro, crea uno o más niveles de acceso antes de crearlo.
- Asegúrate de que los Google Cloud servicios y sus recursos estén dentro del alcance de IL4 o dentro del alcance de FedRAMP High y que sean compatibles con los Controles del servicio de VPC.
Configura los Controles del servicio de VPC para Assured Workloads
Para configurar los Controles del servicio de VPC, puedes usar la consola de Google Cloud, Google Cloud CLI (CLI de gcloud) o las APIs de Access Context Manager. En los siguientes pasos, se muestra cómo usar la consola de Google Cloud.
Consola
En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.
Si se te solicita, selecciona tu organización, carpeta o proyecto.
En la página Controles del servicio de VPC, selecciona el modo de ejecución de prueba. Si bien puedes crear un modo de ejecución de prueba o un modo de aplicación forzosa, te recomendamos que primero uses el modo de ejecución de prueba para un perímetro de servicio nuevo o actualizado. El modo de ejecución de prueba también te permitirá crear una ejecución de prueba de tu perímetro de servicio nuevo para ver el rendimiento antes de que apliques tu entorno.
Haz clic en Perímetro nuevo.
En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.
En la pestaña Detalles, selecciona el tipo de perímetro y el tipo de configuración deseados.
En la pestaña Proyectos, selecciona los proyectos que deseas incluir dentro del límite del perímetro de servicio. Estos deben ser los proyectos que están dentro de la carpeta de Assured Workloads IL4.
En la pestaña Servicios restringidos, agrega servicios para incluir dentro del límite del perímetro de servicio. Solo debes seleccionar los servicios que están dentro del alcance de tu carpeta de Assured Workloads.
(Opcional) En la pestaña Servicios accesibles de VPC, puedes restringir aún más los servicios dentro del perímetro de servicio para que no se comuniquen entre sí. Assured Workloads implementará Restricciones de uso del servicio como protección para garantizar que los servicios con alcance a Assured Workloads se puedan implementar en la carpeta Assured Workloads. Si anulaste estos controles, es posible que debas implementar servicios accesibles de VPC para evitar que los servicios que no son de Assured Workloads se comuniquen con tus cargas de trabajo.
Haz clic en Política de entrada para establecer una o más reglas que especifiquen la dirección de acceso permitido desde diferentes identidades y recursos. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. Los niveles de acceso no se pueden usar para permitir que las VMs o los recursos protegidos accedan a los datos y servicios fuera del perímetro. Puedes asignar a una identidad diferentes métodos de servicio a servicios específicos a fin de transferir datos regulados al perímetro de servicio de tu carga de trabajo.
(Opcional) Haz clic en Política de salida para configurar una o más reglas que especifiquen la dirección del acceso permitido a diferentes identidades y recursos. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos a los servicios que están fuera del perímetro de servicio.
Haz clic en Guardar.
Usa los Controles del servicio de VPC con Terraform
Puedes usar Terraform para sincronizar tu carpeta de Assured Workloads con un permiso de Controles del servicio de VPC si deseas que el límite regulado de Assured Workloads se alinee con el límite de los Controles del servicio de VPC. Para obtener más información, consulta el ejemplo de Terraform de carpeta automática protegida en GitHub.
¿Qué sigue?
- Obtén información sobre el paquete de control FedRAMP High.
- Obtén información sobre el paquete de control IL4.