VPC Service Controls

マルチテナント型 Google Cloud サービスのリソースを分離して、データ漏洩のリスクを軽減します。

無料トライアル
  • action/check_circle_24px Sketch で作成。

    マルチテナント サービスを分離することでデータ漏洩のリスクを軽減する

  • action/check_circle_24px Sketch で作成。

    承認を受けたネットワーク以外は機密データにアクセスできないようにする

  • action/check_circle_24px Sketch で作成。

    許可された IP アドレス、ID、信頼できるクライアント デバイスへのリソース アクセスを制限する

  • action/check_circle_24px Sketch で作成。

    VPC ネットワークからアクセス可能な Google Cloud サービスを制御する

利点

データ漏洩のリスクを軽減する

VPC Service Controls でセキュリティ境界を適用して、マルチテナント型 Google Cloud サービスを分離し、データ漏洩やデータ侵害のリスクを軽減します。

VPC 内でデータの機密性を保つ

クラウドとオンプレミスにまたがるハイブリッド デプロイの VPC ネットワークとクラウド リソース間のプライベート通信を構成できます。Cloud StorageBigtableBigQuery などのフルマネージド ツールを活用します。

独立したデータアクセス制御を実現する

VPC Service Controls は、マルチテナント サービス用の多層防御における新たな制御層として機能し、内部脅威と外部脅威の両方からサービスへのアクセスを保護します。

主な機能

主な機能

大量のマルチテナント サービスへのアクセスを集中管理する

VPC Service Controls を使用すると、セキュリティ チームは境界制御をきめ細かく定義して、そのセキュリティ方針を多様な Google Cloud サービスやプロジェクトに強制適用できます。サービス境界の内部ではリソースの作成、更新、削除を柔軟に行うことができるため、セキュリティ制御を簡単にスケールできます。

ID とコンテキストによりマルチテナント サービスへの安全なアクセスを実現する

VPC Service Controls では、クラウド リソースの管理にコンテキストアウェア アクセスを使用できます。企業は、ユーザー ID や IP アドレスなどの属性に基づいて、Google Cloud できめ細かいアクセス制御ポリシーを作成できます。このようなポリシーを使用することで、インターネットからクラウド リソースへのアクセス権を付与する際、セキュリティ制御を確実に適用できます。

API ベースのサービスの仮想セキュリティ境界を確立する

ユーザーは Cloud Storage バケット、Bigtable インスタンス、BigQuery データセットなどの Google Cloud リソースの周囲にセキュリティ境界線を定義して、データを VPC 内にとどめ、データの流れを制御できます。VPC Service Controls を使用すると、機密データを非公開にしたまま Google Cloud のフルマネージド ストレージやデータ処理機能を利用できます。

すべての機能を表示

ドキュメント

ドキュメント

ベスト プラクティス
サポートされているプロダクトと制限事項

VPC Service Controls でサポートされているプロダクトとサービスについてご紹介します。また、特定のサービスとインターフェースに関する既知の制限事項についてもご紹介します。

ベスト プラクティス
サービス境界の詳細と構成

サービス境界の機能の仕組みと構成方法、自動適用モードの境界とドライラン モードの境界の相違点など、サービス境界のすべてについて説明します。

ベスト プラクティス
サービス境界の作成

プロジェクトを含めサービスを保護する方法など、サービス境界の作成方法を確認します。

ベスト プラクティス
Google API とサービスへのプライベート接続の設定

VPC Service Controls を使用して、プライベート IP アドレスを使用するホストから Google API とサービスへのアクセスを制御する方法をご覧ください。

ベスト プラクティス
GKE 限定公開クラスタの Container Registry の設定

Google Kubernetes Engine の限定公開クラスタと VPC Service Controls で Container Registry を使用するために、DNS エントリを構成するプロセスを詳しく確認します。

ベスト プラクティス
VPC Service Controls の管理に必要な Cloud IAM ロール

VPC Service Controls の構成に必要な Cloud Identity and Access Management(Cloud IAM)のロールについて解説します。

Google Cloud の基礎
コンセプト

VPC Service Controls の概要と、サービス境界の構成から監査ロギングまで網羅した詳しいチュートリアルをご覧ください。

アーキテクチャ
Amazon S3 から Cloud Storage へのデータ転送

VPC Service Controls の境界で Storage Transfer Service を使用して、Amazon Simple Storage Service から Cloud Storage へのデータ転送のセキュリティを強化する方法について説明します。

アーキテクチャ
VM-Series での脅威とデータ盗難の防止のポリシー

仮想マシンを使用して、許可されるトラフィックに脅威とデータ盗難を防止するポリシーを適用することで脅威を低減するアプリベースのポリシーの浸透を図ります。

ユースケース

ユースケース

ユースケース
データ漏洩などの脅威を軽減する

VPC Service Controls を使用すると、データの盗難や偶発的なデータの損失、Google Cloud のマルチテナント サービスで保存されたデータへの必要以上のアクセスなどの脅威に対処できます。クライアントは意図的な損失と意図しない損失の両方を減らすために、どのエンティティがどのサービスにアクセスできるかを厳密に制御できるようになります。

ユースケース
信頼レベルによって環境の一部を分離する

VPC Service Controls はマルチテナント サービスの環境をセグメント化し、サービスとデータを分離する手段を提供します。また、サービスと ID に基づく環境の詳細な分類を可能にします。Service Controls により、クライアントはマルチテナント型 Google Cloud サービスなどのネットワークを拡張し、下り(外向き)データと上り(内向き)データを制御できるようになります。

ユースケース
マルチテナント サービスへの安全なアクセス

VPC Service Controls はマルチテナント サービスへのゼロトラスト スタイルのアクセスを提供します。インターネットや他のサービスからマルチテナント サービスへの接続について、一定の承認済み IP、クライアント コンテキスト、デバイス パラメータに限定してアクセスを許可できます。対象となるサービスには GKE や BigQuery などがあります。これにより、データ処理のパイプライン全体を限定公開にできます。

すべての機能

すべての機能

サービスの範囲 VPC SC は、インターネットからサービス、サービスからサービス、VPC からサービスのアクセス制御を幅広く対象としています。
充実したセキュリティ ロギング アクセス拒否のログを継続的に保持し、Google Cloud リソースに対する潜在的な悪意のあるアクティビティを特定します。フローログは、Compute Engine のネットワーク インターフェースを経由する IP トラフィック情報を記録します。ログはほぼリアルタイムの記録を表示します。
ハイブリッド環境のサポート 限定公開の Google アクセスを使用して、クラウドとオンプレミスにまたがるハイブリッド デプロイの VPC ネットワークからクラウド リソースへのプライベート通信を構成します。
安全な通信 他のサービスや外部と接続できるリソースを完全に制御して、サービス境界間で安全にデータを共有します。
コンテキストアウェア アクセス IP アドレスやユーザー ID などのコンテキストアウェア アクセス属性に基づいて、インターネットから Google Cloud サービスへのアクセスを制御します。
マネージド Google Cloud サービスの境界のセキュリティ セキュリティ境界を構成して、仮想マシンとマネージド Google Cloud リソースの間の通信を制御します。サービス境界を構成すると、ゾーン内では自由な通信を許可しながら、境界外からサービスへの通信をすべてブロックできます。

料金

料金

VPC Service Controls は追加料金なしでご利用いただけます。