Configurar o VPC Service Controls para o Assured Workloads

Visão geral

O Assured Workloads ajuda você a obedecer diferentes frameworks de compliance regulatórios, implementando controles lógicos que segmentam redes e usuários de dados confidenciais no escopo. Muitas das estruturas de compliance dos EUA são criadas com base na NIST SP 800-53 Rev. 5, mas têm controles específicos com base na sensibilidade das informações e no órgão governamental do framework. Para clientes que precisam obedecer FedRAMP de nível alto, ou DoD IL4, recomendamos o uso do VPC Service Controls para criar um limite forte em torno do ambiente regulado.

O VPC Service Controls oferece uma camada extra de defesa de segurança para serviços do Google Cloud, independente do Identity and Access Management (IAM). Enquanto o Identity and Access Management permite o controle de acesso granular baseado na identidade, o VPC Service Controls permite uma segurança de perímetro baseada em contexto mais ampla, como controlar a entrada e saída de dados em todo o perímetro. Os controles do VPC Service Controls são um limite lógico nas APIs do Google Cloud que são gerenciados no nível da organização e aplicados no nível do projeto. Para uma visão geral de alto nível dos benefícios e estágios de configuração do VPC Service Controls, consulte a visão geral do VPC Service Controls. Para mais informações sobre as recomendações regulamentares, consulte ID de controle SC-7.

Antes de começar

Verifique se você leu e entendeu a finalidade e o uso do VPC Service Controls e dos perímetros de serviço.
Saiba como o controle de acesso no VPC Service Controls funciona com o IAM.
Se você quiser configurar o acesso externo aos serviços protegidos quando criar o perímetro, primeiro defina um ou mais níveis de acesso.
Verifique se os serviços do Google Cloud e os respectivos recursos estão no escopo do IL4 ou no escopo do FedRAMP de nível alto e são compatíveis com o VPC Service Controls

Configurar o VPC Service Controls para o Assured Workloads

Para configurar o VPC Service Controls, é possível usar o console do Google Cloud, a CLI do Google Cloud (gcloud CLI) ou as APIs Access Context Manager. As etapas a seguir mostram como usar o console do Google Cloud.

Console

No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

Acessar a página VPC Service Controls
Se solicitado, selecione a organização, a pasta ou o projeto.
Na página VPC Service Controls, selecione o Modo de teste. Embora você possa criar em modo de teste ou modo restrito, recomendamos o uso do modo de teste primeiro para um perímetro de serviço novo ou atualizado. O modo de teste também permitirá que você crie uma execução de teste do novo perímetro de serviço para conferir o desempenho antes de escolher aplicar no ambiente.
Clique em Novo perímetro.
Na página Novo perímetro de serviço da VPC, digite um nome para o perímetro na caixa Nome do perímetro.
Na guia Detalhes, selecione o tipo de perímetro e de configuração desejados.
Na guia Projetos, selecione os projetos que você quer incluir dentro do limite do perímetro de serviço. Para as cargas de trabalho do IL4, estes precisam ser os projetos que estão na pasta IL4 do Assured Workloads.

Observação: no momento, só é possível selecionar projetos (e não pastas) ao configurar um perímetro de serviço.
Na guia Serviços restritos, adicione serviços para incluir no limite do perímetro de serviço. Selecione apenas os serviços que estão no escopo da pasta do Assured Workloads.
(Opcional) Na guia Serviços acessíveis da VPC, é possível restringir ainda mais a comunicação entre os serviços dentro do perímetro de serviço. O Assured Workloads implementará Restrições de uso do serviço como uma proteção para garantir que os serviços com escopo para Assured Workloads possam ser implantados na sua pasta do Assured Workloads. Se você modificou esses controles, talvez seja necessário implementar serviços acessíveis à VPC para impedir que os serviços do Assured Workloads se comuniquem com suas cargas de trabalho.
Clique em Política de entrada para definir uma ou mais regras que especificam a direção do acesso permitido de diferentes identidades e recursos. Os níveis de acesso se aplicam apenas a solicitações de recursos protegidos de fora do perímetro de serviço. Os níveis de acesso não podem ser usados para permitir que recursos protegidos ou VMs acessem dados e serviços fora do perímetro. É possível atribuir diferentes identidades a métodos de serviços específicos para transferir dados regulamentados para o perímetro de serviço da carga de trabalho.
(Opcional) Clique em Política de saída para definir uma ou mais regras que especificam a direção do acesso permitido a diferentes identidades e recursos. Os níveis de acesso se aplicam apenas a solicitações de recursos protegidos para serviços fora do perímetro de serviço.
Clique em Salvar.

Usar o VPC Service Controls com o Terraform

Use o Terraform para sincronizar sua pasta do Assured Workloads com uma permissão do VPC Service Controls se quiser que o limite regulamentado do Assured Workloads esteja alinhado ao limite do VPC Service Controls. Para mais informações, consulte o exemplo de pasta protegida automaticamente no Terraform no GitHub (em inglês).

A seguir

Saiba mais sobre o pacote de controle FedRAMP High (em inglês).
Saiba mais sobre o pacote de controle IL4 (link em inglês).