Configurer VPC Service Controls pour Assured Workloads
Présentation
Assured Workloads vous aide à respecter différents cadres de conformité réglementaire en implémentant des commandes logiques qui segmentent les réseaux et les utilisateurs des données sensibles concernées. De nombreux frameworks de conformité américains sont basés sur la publication spéciale NIST 800-53 version 5, mais disposent de leurs propres contrôles en fonction de la sensibilité des informations et de l'organisme de gouvernance du framework. Pour les clients qui doivent respecter un Niveau d'impact élevé du FedRAMP ou DoD IL4, nous vous recommandons d'utiliser VPC Service Controls pour créer une limite forte autour de l'environnement réglementé.
VPC Service Controls offre un niveau de sécurité supplémentaire pour les services Google Cloud, indépendamment du Identity and Access Management (IAM). Tandis que Identity and Access Management permet un contrôle précis des accès en fonction de l'identité, VPC Service Controls offre une sécurité périmétrique basée sur le contexte plus étendue, par exemple en contrôlant l'entrée et la sortie des données au-delà du périmètre. Les contrôles VPC Service Controls constituent une limite logique autour des API Google Cloud qui sont gérées au niveau de l'organisation et appliquées au niveau du projet. Pour obtenir une présentation générale des avantages et des étapes de configuration de VPC Service Controls, consultez la présentation de VPC Service Controls. Pour en savoir plus sur les consignes réglementaires, consultez l'ID de contrôle SC-7.
Avant de commencer
- Assurez-vous d'avoir lu et compris l'objectif et l'utilisation de VPC Service Controls et de ses périmètres de service.
- Découvrez comment le contrôle des accès dans VPC Service Controls fonctionne avec IAM.
- Si vous souhaitez configurer un accès externe à vos services protégés lorsque vous créez votre périmètre, créez d'abord un ou plusieurs niveaux d'accès avant de créer le périmètre.
- Assurez-vous que les services Google Cloud et leurs ressources sont couverts par IL4 ou couverts par FedRAMP High, et qu'ils sont compatibles avec VPC Service Controls.
Configurer VPC Service Controls pour Assured Workloads
Pour configurer VPC Service Controls, vous pouvez utiliser la console Google Cloud , la Google Cloud CLI (gcloud CLI) ou les API Access Context Manager. Les étapes suivantes vous expliquent comment utiliser la console Google Cloud .
Console
Dans le menu de navigation de la console Google Cloud , cliquez sur Sécurité, puis sur VPC Service Controls (Contrôles des services VPC).
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez le mode simulation. Bien que vous puissiez créer un mode de simulation ou un mode forcé, nous vous recommandons d'utiliser d'abord le mode de simulation pour un périmètre de service nouveau ou mis à jour. Le mode simulation vous permet également de créer un essai de votre nouveau périmètre de service pour voir ses performances avant de choisir de l'appliquer dans votre environnement.
Cliquez sur Nouveau périmètre.
Sur la page Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre.
Dans l'onglet Détails, sélectionnez le type de périmètre et le type de configuration souhaités.
Dans l'onglet Projects (Projets), sélectionnez les projets que vous souhaitez inclure dans la limite du périmètre de service. Pour vos charges de travail IL4, il doit s'agir des projets situés dans votre dossier Assured Workloads IL4.
Dans l'onglet Services restreints, ajoutez les services à inclure dans la limite du périmètre de service. Vous ne devez sélectionner que les services qui sont concernés par votre dossier Assured Workloads.
(Facultatif) Dans l'onglet Services accessibles par VPC, vous pouvez limiter davantage la communication entre les services de votre périmètre de service. Assured Workloads implémentera des restrictions d'utilisation des services comme garde-fou pour s'assurer que les services de portée Assured Workloads peuvent être déployés dans votre dossier Assured Workloads. Si vous avez ignoré ces commandes, vous devrez peut-être implémenter des services accessibles au VPC pour empêcher les services de charges de travail non assurées de communiquer avec vos charges de travail.
Cliquez sur Règle d'entrée pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé à partir de différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Ils ne peuvent pas servir à autoriser des ressources protégées ni des VM à accéder à des données et services extérieurs au périmètre. Vous pouvez attribuer à des services spécifiques différentes méthodes de service pour transférer des données réglementées dans le périmètre de service de votre charge de travail.
(Facultatif) Cliquez sur Egress Policy (Stratégie de sortie) pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé à différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes provenant de ressources protégées et adressées à des services situés en dehors du périmètre de service.
Cliquez sur Enregistrer.
Utiliser VPC Service Controls avec Terraform
Vous pouvez utiliser Terraform pour synchroniser votre dossier Assured Workloads avec une autorisation VPC Service Controls si vous souhaitez que la limite réglementée Assured Workloads soit alignée sur votre limite VPC Service Controls. Pour en savoir plus, consultez l'exemple Terraform de dossier sécurisé automatiquement sur GitHub.
Étape suivante
- En savoir plus sur le package de contrôle FedRAMP de niveau d'impact élevé
- En savoir plus sur le package de contrôle IL4