VPC Service Controls
お使いの Google Cloud リソースを安全に運用するマネージド ネットワーク機能。
新規のお客様には、最初の 90 日間に Google Cloud で使用できる無料クレジット $300 分を差し上げます。すべてのお客様は、BigQuery や Compute Engine を含む一部のプロダクトを、毎月の上限枠まで無料でご利用いただけます。
-
マルチテナント サービスを分離することでデータ漏洩のリスクを軽減する
-
承認を受けたネットワーク以外は機密データにアクセスできないようにする
-
リソースへのアクセスを、許可された IP アドレス、ID、信頼できるクライアント デバイスからのみに制限する
-
VPC ネットワークからアクセス可能な Google Cloud サービスを制御する
利点
データ漏洩のリスクを軽減する
VPC Service Controls でセキュリティ境界を適用して、マルチテナント型 Google Cloud サービスを分離し、データ漏洩やデータ侵害のリスクを軽減します。
VPC 内でデータの機密性を保つ
クラウドとオンプレミスにまたがるハイブリッド デプロイメントの VPC ネットワークとクラウド リソース間のプライベート通信を構成できます。Cloud Storage、Bigtable、BigQuery などのフルマネージド ツールを活用します。
独立したデータアクセス制御を実現する
VPC Service Controls は、マルチテナント サービス用の多層防御における新たな制御層として機能し、内部脅威と外部脅威の両方からサービスへのアクセスを保護します。
主な機能
主な機能
大量のマルチテナント サービスへのアクセスを一元管理する
VPC Service Controls を使用すると、セキュリティ チームは境界制御を詳細に定義して、そのセキュリティ方針を多様な Google Cloud サービスやプロジェクトに強制適用できます。サービス境界の内部ではリソースの作成、更新、削除を柔軟に行うことができるため、セキュリティ制御を簡単にスケールできます。
マルチテナント サービスに安全にアクセスする
VPC Service Controls では、クラウド リソースの管理にコンテキストアウェア アクセスを使用できます。企業は、ユーザー ID や IP アドレスなどの属性に基づいて、Google Cloud できめ細かいアクセス制御ポリシーを作成できます。このようなポリシーを使用することで、インターネットからクラウド リソースへのアクセス権を付与する際、セキュリティ制御を確実に適用できます。
API ベースのサービスの仮想セキュリティ境界を確立する
ユーザーは Cloud Storage バケット、Bigtable インスタンス、BigQuery データセットなどの Google Cloud リソースの周囲にセキュリティ境界線を定義して、データを VPC 内にとどめ、データの流れを制御できます。VPC Service Controls を使用すると、機密データを非公開にしたまま Google Cloud のフルマネージド ストレージやデータ処理機能を利用できます。
ドキュメント
ドキュメント
サポートされているプロダクトと制限事項
VPC Service Controls でサポートされているプロダクトとサービスについてご紹介します。また、特定のサービスとインターフェースに関する既知の制限事項についてもご紹介します。
サービス境界の詳細と構成
サービス境界の機能の仕組みと構成方法、自動適用モードの境界とドライラン モードの境界の相違点など、サービス境界のすべてについて説明します。
サービス境界の作成
プロジェクトを含めサービスを保護する方法など、サービス境界の作成方法を確認します。
Google API とサービスへのプライベート接続の設定
VPC Service Controls を使用して、プライベート IP アドレスを使用するホストから Google API とサービスへのアクセスを制御する方法をご覧ください。
GKE 限定公開クラスタの Container Registry の設定
Google Kubernetes Engine 限定公開クラスタと VPC Service Controls で Container Registry を使用するため、DNS エントリを構成する方法について説明します。
VPC Service Controls の管理に必要な Cloud IAM ロール
VPC Service Controls の構成に必要な Cloud Identity and Access Management(Cloud IAM)のロールについて解説します。
コンセプト
VPC Service Controls の概要と、サービス境界の構成から監査ロギングまで網羅した詳しいチュートリアルをご覧ください。
Amazon S3 から Cloud Storage へのデータ転送
Storage Transfer Service を使用した Amazon Simple Storage Service から Cloud Storage へのデータ転送を、VPC Service Controls の境界を使用してセキュリティ強化する方法について説明します。
VM-Series での脅威とデータ盗難の防止のポリシー
次世代ファイアウォールを使用して、管理を一元化し、セキュリティのポリシーと制御をユーザー、アプリ、デバイスにまで拡張することで脅威を低減します。
ユースケース
ユースケース
VPC Service Controls を使用すると、データの盗難や偶発的なデータの損失、Google Cloud のマルチテナント サービスで保存されたデータへの必要以上のアクセスなどの脅威に対処できます。クライアントは意図的な損失と意図しない損失の両方を減らすために、どのエンティティがどのサービスにアクセスできるかを厳密に制御できるようになります。
VPC Service Controls はマルチテナント サービスの環境をセグメント化し、サービスとデータを分離する手段を提供します。また、サービスと ID に基づく環境の詳細な分類を可能にします。Service Controls により、クライアントのネットワークを拡張してマルチテナント型 Google Cloud サービスをその中に含め、下り(外向き)データと上り(内向き)データを制御できるようになります。
VPC Service Controls はマルチテナント サービスへのゼロトラスト スタイルのアクセスを提供します。インターネットや他のサービスからマルチテナント サービスへの接続について、一定の承認済み IP、クライアント コンテキスト、デバイス パラメータに限定してアクセスを許可できます。対象となるサービスには GKE や BigQuery などがあります。これにより、データ処理のパイプライン全体を限定公開にできます。
すべての機能
すべての機能
| サービスの範囲 | VPC SC は、インターネットからサービス、サービスからサービス、VPC からサービスのアクセス制御を幅広く対象としています。 |
| 充実したセキュリティ ロギング | アクセス拒否のログを継続的に保持し、Google Cloud リソースに対する潜在的な悪意のあるアクティビティを特定します。フローログは、Compute Engine のネットワーク インターフェースを経由する IP トラフィック情報を記録します。ログはほぼリアルタイムの記録を表示します。 |
| ハイブリッド環境のサポート | 限定公開の Google アクセスを使用して、クラウドとオンプレミスにまたがるハイブリッド デプロイの VPC ネットワークからクラウド リソースへのプライベート通信を構成します。 |
| 安全な通信 | 他のサービスや外部と接続できるリソースを完全に制御して、サービス境界間で安全にデータを共有します。 |
| コンテキストアウェア アクセス | IP アドレスやユーザー ID などのコンテキストアウェア アクセス属性に基づいて、インターネットから Google Cloud サービスへのアクセスを制御します。 |
| マネージド Google Cloud サービスの境界のセキュリティ | セキュリティ境界を構成して、仮想マシンとマネージド Google Cloud リソースの間の通信を制御します。サービス境界を構成すると、ゾーン内では自由な通信を許可しながら、境界外からサービスへの通信をすべてブロックできます。 |
料金
料金
VPC Service Controls は追加料金なしでご利用いただけます。