Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare i Controlli di servizio VPC per Assured Workloads

Panoramica

Assured Workloads aiuta a rispettare diversi framework di conformità normativa implementando controlli logici che segmentano le reti e gli utenti dai dati sensibili nell'ambito. Molti dei framework di conformità statunitensi si basano sul documento NIST SP 800-53 Rev. 5, ma prevedono controlli specifici basati sulla sensibilità delle informazioni e sull'organo di governo del framework. Ai clienti che devono rispettare FedRAMP High o DoD IL4, consigliamo di utilizzare Controlli di servizio VPC per creare un confine solido intorno all'ambiente regolamentato.

I controlli di servizio VPC forniscono un ulteriore livello di difesa della sicurezza per i servizi Google Cloud indipendente da Identity and Access Management (IAM). Mentre Identity and Access Management consente un controllo granulare degli accessi basato sull'identità, i Controlli di servizio VPC consentono una sicurezza perimetrale più ampia basata sul contesto, come il controllo dei dati in entrata e in uscita lungo il perimetro. I controlli Controlli di servizio VPC sono un confine logico attorno alle API Google Cloud che vengono gestite a livello di organizzazione e applicati e applicati a livello di progetto. Per una panoramica generale dei vantaggi e delle fasi di configurazione di Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC. Per ulteriori informazioni sulle indicazioni normative, consulta ID controllo SC-7.

Prima di iniziare

Assicurati di aver letto e compreso lo scopo e l'utilizzo dei Controlli di servizio VPC e dei relativi perimetri di servizio.
Scopri come funziona controllo dell'accesso in Controlli di servizio VPC con IAM.
Se vuoi configurare l'accesso esterno ai servizi protetti quando crei il perimetro, crea uno o più livelli di accesso prima di creare il perimetro.
Assicurati che i servizi Google Cloud e le relative risorse siano nell'ambito di IL4 o FedRAMP High e che siano supportati dai Controlli di servizio VPC.

Configurare i Controlli di servizio VPC per Assured Workloads

Per configurare i Controlli di servizio VPC, puoi utilizzare la console Google Cloud, Google Cloud CLI (gcloud CLI) o le API Access Context Manager. I passaggi seguenti mostrano come utilizzare la console Google Cloud.

Console

Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.

Vai alla pagina Controlli di servizio VPC
Se ti viene richiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona la modalità di prova. Anche se puoi creare in modalità di prova o applicata, ti consigliamo di utilizzare prima la modalità di prova per un perimetro di servizio nuovo o aggiornato. La modalità di prova ti consentirà inoltre di creare un'esecuzione di test del nuovo perimetro di servizio per verificarne le prestazioni prima di scegliere di applicarlo all'ambiente.
Fai clic su Nuovo perimetro.
Nella pagina Nuovo perimetro di servizio VPC, inserisci un nome per il perimetro nella casella Nome perimetro.
Nella scheda Dettagli, seleziona il tipo e il tipo di configurazione del perimetro che preferisci.
Nella scheda Progetti, seleziona i progetti da includere all'interno del confine del perimetro di servizio. Per i carichi di lavoro IL4, dovrebbero essere i progetti che si trovano all'interno della cartella IL4 di Assured Workloads.

Nota: al momento, puoi selezionare solo progetti (e non cartelle) durante la configurazione di un perimetro di servizio.
Nella scheda Servizi limitati, aggiungi i servizi da includere all'interno del confine del perimetro di servizio. Seleziona solo i servizi che rientrano nell'ambito della cartella Assured Workloads.
(Facoltativo) Nella scheda Servizi accessibili VPC, puoi limitare ulteriormente la comunicazione tra i servizi all'interno del perimetro di servizio. Assured Workloads implementerà le limitazioni di utilizzo dei servizi come protezione per garantire che il deployment dei servizi con ambito Assured Workloads possa essere eseguito all'interno della cartella Assured Workloads. Se hai eseguito l'override di questi controlli, potrebbe essere necessario implementare i servizi accessibili VPC per impedire ai servizi non Assured Workloads di comunicare con i tuoi carichi di lavoro.
Fai clic su Criterio in entrata per impostare una o più regole che specificano la direzione di accesso consentito da identità e risorse diverse. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non è possibile utilizzare i livelli di accesso per consentire a risorse o VM protette di accedere a dati e servizi al di fuori del perimetro. Puoi assegnare un'identità diversi metodi di servizio a servizi specifici per trasferire i dati regolamentati nel perimetro di servizio del carico di lavoro.
(Facoltativo) Fai clic su Criterio in uscita per impostare una o più regole che specificano la direzione di accesso consentito a identità e risorse diverse. I livelli di accesso si applicano solo alle richieste da risorse protette a servizi al di fuori del perimetro di servizio.
Fai clic su Salva.

Utilizzare i Controlli di servizio VPC con Terraform

Puoi utilizzare Terraform per sincronizzare la cartella Assured Workloads con un'autorizzazione di Controlli di servizio VPC se vuoi che il confine regolamentato da Assured Workloads sia allineato con il confine di Controlli di servizio VPC. Per saperne di più, consulta l'esempio di Terraform per una cartella protetta automaticamente su GitHub.

Passaggi successivi

Scopri di più sul programma di conformità FedRAMP High.
Scopri di più sul programma di conformità IL4.