Configurare i Controlli di servizio VPC per Assured Workloads
Panoramica
Assured Workloads ti aiuta a rispettare diversi framework di conformità normativa implementando controlli logici che segmentano le reti e gli utenti dai dati sensibili nell'ambito. Molti dei framework di conformità degli Stati Uniti si basano su NIST SP 800-53 Rev. 5, ma hanno controlli specifici in base alla sensibilità delle informazioni e all'organo di governo del framework. Per i clienti che devono rispettare FedRAMP High o DoD IL4, consigliamo di utilizzare i Controlli di servizio VPC per creare un confine solido intorno all'ambiente regolamentato.
I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa della sicurezza per i servizi Google Cloudindipendente da Identity and Access Management (IAM). Anche se Identity and Access Management consente un controllo granulare degli accessi basato sull'identità, VPC Service Controls consente una sicurezza del perimetro più ampia basata sul contesto, ad esempio il controllo dell'ingresso e dell'uscita dei dati nel perimetro. I controlli di servizio VPC sono un confine logico attorno alle Google Cloud API gestite a livello di organizzazione e applicate e applicate a livello di progetto. Per una panoramica generale dei vantaggi e delle fasi di configurazione dei Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC. Per maggiori informazioni sulle linee guida di legge, consulta ID controllo SC-7.
Prima di iniziare
- Assicurati di aver letto e compreso lo scopo e l'utilizzo di Controlli di servizio VPC e dei relativi perimetri di servizio.
- Scopri come funziona il controllo dell'accesso in VPC Service Controls con IAM.
- Se vuoi configurare l'accesso esterno ai tuoi servizi protetti quando crei il perimetro, crea uno o più livelli di accesso prima di creare il perimetro.
- Assicurati che i Google Cloud servizi e le relative risorse siano nell'ambito di IL4 o nell'ambito di FedRAMP High e siano supportati da Controlli di servizio VPC.
Configurare i Controlli di servizio VPC per Assured Workloads
Per configurare Controlli di servizio VPC, puoi utilizzare la console Google Cloud, Google Cloud CLI (gcloud CLI) o le API Access Context Manager. I seguenti passaggi mostrano come utilizzare la console Google Cloud.
Console
Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza, quindi su Controlli di servizio VPC.
Se ti viene chiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.
Nella pagina Controlli di servizio VPC, seleziona la modalità di prova secca. Anche se puoi creare un perimetro di servizio in modalità di prova o modalità di applicazione forzata, ti consigliamo di utilizzare prima la modalità di prova per un perimetro di servizio nuovo o aggiornato. La modalità di prova ti consente anche di creare un'esecuzione di prova del nuovo perimetro del servizio per verificarne il funzionamento prima di scegliere di applicarlo nel tuo ambiente.
Fai clic su Nuovo perimetro.
Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.
Nella scheda Dettagli, seleziona il tipo di perimetro e il tipo di configurazione che ti interessano.
Nella scheda Progetti, seleziona i progetti da includere all'interno del confine del perimetro di servizio. Per i carichi di lavoro IL4, devono essere i progetti all'interno della cartella IL4 di Assured Workloads.
Nella scheda Servizi limitati, aggiungi i servizi da includere all'interno del perimetro del servizio. Devi selezionare solo i servizi che rientrano nell'ambito della cartella Assured Workloads.
(Facoltativo) Nella scheda Servizi accessibili VPC, puoi limitare ulteriormente la comunicazione tra i servizi all'interno del perimetro di servizio. Assured Workloads implementerà le limitazioni di utilizzo dei servizi come sistema di protezione per garantire che i servizi con ambito Assured Workloads possano essere implementati all'interno della cartella Assured Workloads. Se hai override di questi controlli, potresti dover implementare i servizi accessibili VPC per impedire ai servizi non Assured Workloads di comunicare con i tuoi carichi di lavoro.
Fai clic su Criterio in entrata per impostare una o più regole che specificano la direzione dell'accesso consentito da identità e risorse diverse. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non è possibile utilizzare i livelli di accesso per consentire a risorse o VM protette di accedere a dati e servizi al di fuori del perimetro. Puoi assegnare metodi di servizio diversi a un'identità per servizi specifici al fine di trasferire i dati regolamentati nel perimetro di servizio del tuo carico di lavoro.
(Facoltativo) Fai clic su Criterio di uscita per impostare una o più regole che specificano la direzione dell'accesso consentito a identità e risorse diverse. I livelli di accesso si applicano solo alle richieste provenienti da risorse protette a servizi esterni al perimetro di servizio.
Fai clic su Salva.
Utilizzare i Controlli di servizio VPC con Terraform
Puoi utilizzare Terraform per sincronizzare la cartella Assured Workloads con un permesso Controlli di servizio VPC se vuoi che il confine regolamentato di Assured Workloads sia in linea con il confine di Controlli di servizio VPC. Per maggiori informazioni, consulta l'esempio di Terraform per la Cartella protetta automaticamente su GitHub.
Passaggi successivi
- Scopri di più sul pacchetto di controllo FedRAMP High.
- Scopri di più sul pacchetto di controllo IL4.