Assured Workloads の VPC Service Controls を構成する

概要

Assured Workloads は、ネットワークとユーザーを対象範囲内のセンシティブ データからセグメント化する論理制御を実装することにより、さまざまな規制遵守フレームワークの遵守を支援します。米国のコンプライアンス フレームワークの多くは NIST SP 800-53 Rev 5 に基づいて構築されていますが、情報の機密性とフレームワークの管理機関に基づいて、独自の制御を行います。FedRAMP High または DoD IL4 を遵守する必要がある場合は、VPC Service Controls を使用して、規制の厳しい環境の周囲に強固な境界を作成することを推奨します。

VPC Service Controls によって、Identity and Access Management(IAM)から独立している Google Cloud サービスに対するセキュリティが強化されます。Identity and Access Management では詳細な ID ベースのアクセス制御が可能ですが、VPC Service Controls では、境界全体でのデータの上り(内向き)と下り(外向き)の制御など、コンテキスト ベースの境界セキュリティが可能になります。コントロール VPC Service Controls は、組織レベルで管理され、プロジェクト レベルで適用および施行される Google Cloud API の論理的な境界です。VPC Service Controls の利点と構成のステージの概要については、VPC Service Controls の概要をご覧ください。規制に関するガイダンスについて詳しくは、コントロール ID SC-7 をご覧ください。

始める前に

Assured Workloads の VPC Service Controls を構成する

VPC Service Controls を構成するには、Google Cloud コンソール、Google Cloud CLI(gcloud CLI)、または Access Context Manager API を使用します。次の手順ではGoogle Cloud コンソールの使用方法を説明します。

Console

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。

  3. [VPC Service Controls] ページでドライラン モードを選択します。ドライラン モードまたは自動適用モードのいずれかで作成できますが、新しいサービス境界または更新されたサービス境界には、まずドライラン モードを使用することをおすすめします。また、ドライラン モードでは、新しいサービス境界のテスト実行を作成し、環境内で適用する前にそのパフォーマンスを確認することもできます。

  4. [新しい境界] をクリックします。

  5. [新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。

  6. [詳細] タブで、目的の境界タイプと構成タイプを選択します。

  7. [プロジェクト] タブで、サービス境界内に含めるプロジェクトを選択します。IL4 ワークロードの場合、これらは Assured Workloads IL4 フォルダ内にあるプロジェクトである必要があります。

  8. [制限付きサービス] タブで、サービス境界内に含めるサービスを追加します。Assured Workloads フォルダの対象となるサービスのみを選択する必要があります。

  9. (省略可)[VPC のアクセス可能なサービス] タブで、サービス境界内のサービス間の通信をさらに制限できます。Assured Workloads は、Assured Workloads スコープ内のサービスを Assured Workloads フォルダ内にデプロイできるようにするガードレールとして Service Usage Restriction を実装します。これらの制御をオーバーライドした場合は、VPC のアクセス可能なサービスを実装して、非 Assured Workloads サービスがワークロードと通信しないように制限する必要があります。

  10. [上り(内向き)ポリシー] をクリックして、さまざまな ID とリソースからのアクセスを許可する方向を指定する 1 つ以上のルールを設定します。 アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、保護されたリソースまたは VM による境界外のデータやサービスへのアクセスを許可することはできません。規制対象のデータをワークロードのサービス境界に転送するために、特定のサービス メソッドを特定のサービスに割り当てることができます。

  11. (省略可)[下り(外向き)ポリシー] をクリックして、さまざまな ID とリソースへのアクセスの方向を指定する 1 つ以上のルールを設定します。 アクセスレベルは、保護されたリソースからサービス境界外のサービスへのリクエストにのみ適用されます。

  12. [保存] をクリックします。

Terraform で VPC Service Controls を使用する

Assured Workloads の規制対象の境界を VPC Service Controls の境界と一致させる場合、Terraform を使用して、Assured Workloads フォルダを VPC Service Controls の許可と同期させることができます。詳細については、GitHub の自動的に保護された フォルダ Terraform の例をご覧ください。

次のステップ