Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads
Ringkasan
Assured Workloads membantu Anda mematuhi berbagai framework kepatuhan terhadap peraturan dengan menerapkan kontrol logis yang mengelompokkan jaringan dan pengguna dari data sensitif dalam cakupan. Banyak framework kepatuhan AS yang dibuat berdasarkan NIST SP 800-53 Rev. 5, tetapi memiliki kontrol khusus sendiri berdasarkan sensitivitas informasi dan badan yang mengatur framework tersebut. Bagi pelanggan yang harus mematuhi FedRAMP High atau DoD IL4, sebaiknya gunakan Kontrol Layanan VPC untuk menciptakan batasan yang kuat terhadap lingkungan yang teregulasi.
Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun Identity and Access Management memungkinkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, seperti mengontrol data masuk dan keluar di seluruh perimeter. Kontrol Layanan VPC kontrol adalah batas logis di seluruh Google Cloud API yang dikelola di tingkat organisasi dan diterapkan serta diterapkan pada level project. Untuk ringkasan umum mengenai manfaat dan tahap konfigurasi Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC. Untuk informasi selengkapnya tentang panduan peraturan, lihat ID Kontrol SC-7.
Sebelum memulai
- Pastikan Anda telah membaca dan memahami tujuan dan penggunaan Kontrol Layanan VPC beserta perimeter layanannya.
- Baca cara kerja kontrol akses di Kontrol Layanan VPC dengan IAM.
- Jika ingin mengonfigurasi akses eksternal ke layanan yang dilindungi saat Anda membuat perimeter, buat satu atau beberapa tingkat akses terlebih dahulu sebelum membuat perimeter.
- Pastikan layanan Google Cloud dan resourcenya termasuk dalam cakupan IL4 atau dalam cakupan FedRAMP High serta didukung oleh Kontrol Layanan VPC.
Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads
Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan Google Cloud Console, Google Cloud CLI (gcloud CLI), atau Access Context Manager API. Langkah-langkah berikut menunjukkan cara menggunakan konsol Google Cloud.
Konsol
Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.
Jika diminta, pilih organisasi, folder, atau project Anda.
Di halaman VPC Service Controls, pilih Dry run mode. Meskipun Anda dapat membuat dalam Mode uji coba atau Mode penerapan, sebaiknya gunakan Mode uji coba terlebih dahulu untuk perimeter layanan yang baru atau diperbarui. Mode uji coba juga akan memungkinkan Anda membuat pengujian untuk perimeter layanan yang baru guna melihat performanya sebelum memilih untuk menerapkannya dalam lingkungan Anda.
Klik Perimeter baru.
Di halaman Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter.
Di tab Details, pilih jenis perimeter dan jenis konfigurasi yang diinginkan.
Di tab Project, pilih project yang ingin Anda sertakan dalam batas perimeter layanan. Untuk workload IL4, project tersebut harus berada dalam folder Assured Workloads IL4 Anda.
Di tab Restricted Services, tambahkan layanan yang akan disertakan dalam batas perimeter layanan. Sebaiknya hanya pilih layanan yang berada dalam cakupan untuk folder Assured Workloads Anda.
(Opsional) Di tab VPC Accessible Services, Anda dapat lebih membatasi layanan dalam perimeter layanan agar tidak saling berkomunikasi. Assured Workloads akan menerapkan Pembatasan Penggunaan Layanan sebagai pagar pembatas untuk memastikan bahwa layanan yang dicakupkan ke Assured Workloads dapat di-deploy dalam folder Assured Workloads Anda. Jika telah mengganti kontrol ini, Anda mungkin perlu mengimplementasikan Layanan yang Dapat Diakses VPC untuk membatasi layanan non-Assured Workloads agar tidak berkomunikasi dengan workload Anda.
Klik Ingress Policy untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan dari berbagai identitas dan resource. Tingkat akses hanya berlaku untuk permintaan untuk resource yang dilindungi yang berasal dari luar perimeter layanan. Level akses tidak dapat digunakan untuk mengizinkan resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter. Anda dapat menetapkan metode layanan identitas yang berbeda ke layanan tertentu agar dapat mentransfer data yang diatur ke perimeter layanan workload Anda.
(Opsional) Klik Traffic Keluar untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan ke berbagai identitas dan resource. Tingkat akses hanya berlaku untuk permintaan dari resource yang dilindungi ke layanan di luar perimeter layanan.
Klik Save.
Menggunakan Kontrol Layanan VPC dengan Terraform
Anda dapat menggunakan Terraform untuk menyinkronkan folder Assured Workloads dengan izin Kontrol Layanan VPC jika Anda ingin batas yang diatur Assured Workloads selaras dengan batas Kontrol Layanan VPC Anda. Untuk mengetahui informasi selengkapnya, lihat contoh Terraform Folder yang Diamankan Secara Otomatis di GitHub.
Langkah selanjutnya
- Pelajari paket kontrol FedRAMP High.
- Pelajari paket kontrol IL4.