VPC Service Controls の概要

VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google Cloud サービスからデータが漏洩するリスクを軽減できます。VPC Service Controls により、明示的に指定するサービスのリソースとデータを保護する境界を作成します。

VPC Service Controls で保護されている Google Cloud サービスの場合、次のような環境を構築できます。

  • Google Cloud またはオンプレミスで限定公開の Google アクセスを使用して、承認済みの VPC ネットワーク内のクライアントからのみアクセスする境界内のリソース。

  • 境界内でリソースへのプライベート アクセスが許可されているクライアントは、境界外の未承認のリソース(公開される可能性があるリソース)にアクセスできません。

  • gsutil cpbq mk などのサービス オペレーションによって、境界外の未承認リソースにデータをコピーすることはできません。

  • 有効にした場合、境界内のリソースに対するインターネット アクセスは、ホワイトリストに登録された IPv4 または IPv6 の範囲を限定されます。

VPC Service Controls によって、Identity and Access Management(IAM)から独立している Google Cloud サービスに対するセキュリティが強化されます。IAM では詳細な ID ベースのアクセス制御が可能ですが、VPC Service Controls では、境界全体での下り(外向き)データの制御など、コンテキスト ベースの境界セキュリティが可能になります。多層的な防御を行うため、VPC Service Controls と IAM の併用をおすすめします。

VPC Service Controls のセキュリティ上の利点

VPC Service Controls は、Google Cloud リソースへの直接的なプライベート アクセスのパフォーマンス上の利点を犠牲にすることなく、次のセキュリティ リスクを緩和します。

  1. 盗まれた認証情報を使用した不正なネットワークからのアクセス: VPC Service Controls は、承認済みの VPC ネットワークからのプライベート アクセスのみを許可します。これにより、OAuth やサービス アカウントの認証情報の盗難を防ぎます。

  2. 悪意のある関係者や感染コードによるデータ漏洩: VPC Service Controls では、下り(外向き)ネットワーク内のクライアントは境界外にある Google マネージド サービスのリソースにアクセスできません。これにより、下り(外向き)ネットワークの制御が強化されます。

    VPC Service Controls では、サービス オペレーションで境界外のリソースにデータの読み取りやコピーを行うことはできません。たとえば、gsutil cp コマンドを使用してデータを Cloud Storage 公開バケットにコピーできません。また、bq mk コマンドを使用して、永続的な外部 BigQuery テーブルにデータをコピーすることもできません。

    Google Cloud では、信頼できるネットワークから VPC Service Controls に統合されていないストレージ サービスへのアクセスを防ぐために使用される、制限付きの仮想 IP も提供しています。制限付き VIP では、VPC Service Controls でサポートされているサービスに対するリクエストをインターネットに公開することなく実行できます。

  3. IAM ポリシーの誤構成による非公開データの開示: VPC Service Controls では、IAM ポリシーの誤った構成が原因で非公開データが開示されている場合でも、未承認のネットワークからのアクセスを拒否することでセキュリティをさらに強化できます。

    IAM で Access Context Manager ポリシー管理者のロールを割り当てることで、IAM ポリシー管理者以外のユーザーも VPC Service Controls を構成できるようになります。

  4. サービスに対するアクセスのモニタリング: ドライラン モードで境界を使用すると、VPC Service Controls を利用して、保護されたサービスへのリクエストを、アクセスを妨げることなくモニタリングできます。VPC Service Controls を使用すると、リクエストをモニタリングしてプロジェクトに対するリクエスト トラフィックをより深く理解できます。また、Honeypot 境界を作成して、アクセス可能なサービスを探ろうとする予期しないまたは悪意のある試行を特定する方法を提供します。

VPC Service Controls を使用すると、Google Cloud 組織で境界内の保護リソースに一貫したポリシーを作成し、適用できます。境界内では、データの処理、変換、コピーを柔軟に行うことができます。セキュリティ制御は、境界内に新しく作成されたリソースに自動的に適用されます。

VPC Service Controls とメタデータ

VPC Service Controls は、メタデータの移動を包括的に制御するようには設計されていません。

ここで、「データ」は Google Cloud リソースに格納されているコンテンツとして定義されます。たとえば、Cloud Storage オブジェクトのコンテンツなどです。「メタデータ」はリソースまたはその親の属性として定義されます。たとえば、Cloud Storage のバケット名などがメタデータになります。

このリリースの VPC Service Controls は、サービス境界を超えるデータの移動をサポートされているサービスで制御することを基本的な目的としています。ほとんどの場合、VPC Service Controls はメタデータへのアクセスも制御しますが、VPC Service Controls のポリシー チェックを行わずにメタデータをコピーしてアクセスできる場合もあります。

メタデータへのアクセスを適切に制御するため、カスタムロールを含む IAM を使用することをおすすめします。

機能

VPC Service Controls では、信頼できる境界の外部にある Google マネージド サービスへのアクセスを禁止し、信頼できない場所からのデータへのアクセスをブロックするようにセキュリティ ポリシーを定義できます。これにより、データ漏洩のリスクを軽減できます。このリリースの VPC Service Controls には、次の機能が搭載されています。

GCP リソースをサービス境界で分離する

サービス境界は、Google Cloud リソースのセキュリティ境界を作成します。サービス境界を構成して、仮想マシン(VM)から Google Cloud サービス(API)への通信や Google Cloud サービス間の通信を制御できます。サービス境界を設定すると、境界内では自由に通信できますが、境界を越える通信はすべてデフォルトでブロックされます。

例:

  • サービス境界を構成する Virtual Private Cloud(VPC)ネットワーク内の VM は、同じ境界内の Cloud Storage バケットとデータの読み書きを行います。境界内に存在しない VPC ネットワークからバケットにアクセスを試みると、拒否されます。

  • 2 つの Cloud Storage バケット間のコピー操作は、両方のバケットが同じサービス境界内にある場合は成功しますが、一方のバケットが境界外にある場合は失敗します。

  • サービス境界を構成する VPC ネットワーク内の VM は、同じ境界内のすべて Cloud Storage バケットに非公開でアクセスできます。境界外にある Cloud Storage バケットへのアクセスを試みると拒否されます。

承認済みの VPN または Cloud Interconnect に境界を拡張する

限定公開の Google アクセスのオンプレミス拡張機能を使用して、ハイブリッド環境にまたがる VPC ネットワークから、Google Cloud リソースへのプライベート通信を構成できます。VPC ネットワークは、同じサービス境界内にある Google Cloud マネージド リソースに非公開でアクセスできるように、ネットワーク上の VM のサービス境界に定義されている必要があります。

プライベート IP アドレスが割り振られ、サービス境界を構成する VPC ネットワーク上にある VM は、サービス境界外のマネージド リソースにアクセスできません。必要であれば、インターネット経由のすべての Google API(Gmail など)に対して、調査済みで監査済みのアクセス権を引き続き使用できます。

たとえば、サービス境界を構成する VPC ネットワーク内の VM は、同じサービス境界内の Cloud Storage バケットに非公開でアクセスできます。VM がサービス境界外にある Cloud Storage バケットへのアクセスを試みると、アクセスが拒否されます。

インターネットから GCP リソースへのアクセスを制御する

デフォルトでは、インターネットからサービス境界内のマネージド リソースへのアクセスは拒否されています。必要に応じて、リクエストのコンテキストに基づいてアクセスを有効にできます。有効にするには、送信元 IP アドレスなどの属性に基づいてアクセスを制御するアクセスレベルを作成します。インターネットからのリクエストがアクセスレベルで定義された基準を満たしていないと、これらのリクエストは拒否されます。

Cloud Console を使用して境界内のリソースにアクセスするには、1 つ以上の IPv4 または IPv6 の範囲からのアクセスと特定のユーザー アカウントへのアクセスを許可するアクセスレベルを構成します。

サポートされていないサービス

VPC Service Controls でサポートされているプロダクトとサービスについては、サポートされているプロダクトをご覧ください。

gcloud コマンドライン ツールまたは Access Context Manager API を使用して、サポートされていないサービスを制限しようとするとエラーが発生します。

サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

用語

このトピックでは、VPC Service Controls の新しいコンセプトについて学習しました。

VPC Service Controls
Google マネージド サービスのリソースにセキュリティ境界を定義し、これらのサービスとの通信またはサービス間の通信を制御するテクノロジー。
制限付き VIP
制限付き VIP は、VPC Service Controls でサポートされるプロダクトと API にプライベートなネットワーク ルートを提供します。これらのプロダクトが使用するデータやリソースは、インターネットからアクセスできません。restricted.googleapis.com199.36.153.4/30 として解決されます。この IP アドレス範囲はインターネットに公開されません。
サービス境界
Google マネージド リソースのセキュリティ境界。境界内では自由に通信できますが、境界を越える通信はデフォルトでブロックされます。
サービス境界ブリッジ
境界ブリッジを使用すると、異なるセキュリティ境界のプロジェクト間で通信が可能になります。境界ブリッジは双方向です。各サービス境界のプロジェクトは、ブリッジのスコープ内で同等にアクセスできます。
Access Context Manager
送信元 IP アドレスなど、クライアントの特定の属性に基づいてリクエストをアクセスレベルに関連付けるコンテキスト認識のリクエスト分類サービス。
アクセスレベル
送信元 IP 範囲、クライアント デバイス、位置情報など、複数の属性に基づくインターネット上のリクエストの分類。リクエストに関連付けられたアクセスレベルに基づいてインターネットからのアクセスを許可するようにサービス境界を構成できます。アクセスレベルは、Access Context Manager サービスによって決定されます。
アクセス ポリシー
サービス境界を定義する Google Cloud リソース オブジェクト。1 つの組織に定義できるアクセス ポリシー オブジェクトは 1 つだけで、これは組織リソースの子になります。

次のステップ