Configurer VPC Service Controls pour Assured Workloads
Présentation
Assured Workloads vous aide à respecter différents cadres de conformité réglementaires en implémentant des contrôles logiques qui segmentent les réseaux et les utilisateurs à partir des données sensibles concernées. De nombreux cadres de conformité américains sont basés sur la NIST SP 800-53 Rev. 5, mais ils disposent de leurs propres contrôles spécifiques en fonction de la sensibilité des informations et de l'organisme de réglementation du cadre. Pour les clients qui doivent respecter un Niveau d'impact élevé du FedRAMP ou DoD IL4, nous vous recommandons d'utiliser VPC Service Controls pour créer une limite forte autour de l'environnement réglementé.
VPC Service Controls offre un niveau de sécurité supplémentaire pour les services Google Cloud, indépendamment d'IAM (Identity and Access Management). Tandis que Identity and Access Management permet contrôle des accès précis basé sur l'identité, VPC Service Controls offre une sécurité périmétrique basée sur le contexte plus étendue, et permet par exemple de contrôler l'entrée et la sortie des données au-delà du périmètre. Les contrôles VPC Service Controls constituent une limite logique autour des API Google Cloud qui sont gérées au niveau de l'organisation et appliquées au niveau du projet. Pour obtenir une présentation générale des avantages et des étapes de configuration de VPC Service Controls, consultez la présentation de VPC Service Controls. Pour en savoir plus sur les consignes réglementaires, consultez Control ID SC-7.
Avant de commencer
- Assurez-vous d'avoir lu et compris l'objectif et l'utilisation de VPC Service Controls et de ses périmètres de service.
- Découvrez comment le contrôle des accès dans VPC Service Controls fonctionne avec IAM.
- Si vous souhaitez configurer un accès externe à vos services protégés lorsque vous créez votre périmètre, créez d'abord un ou plusieurs niveaux d'accès avant de créer le périmètre.
- Assurez-vous que les services Google Cloud et leurs ressources sont dans le champ d'application d'IL4 ou dans le champ d'application de FedRAMP à niveau d'impact élevé et qu'ils sont compatibles avec VPC Service Controls.
Configurer VPC Service Controls pour Assured Workloads
Pour configurer VPC Service Controls, vous pouvez utiliser la console Google Cloud , Google Cloud CLI (gcloud CLI) ou les API Access Context Manager. Les étapes suivantes vous expliquent comment utiliser la console Google Cloud .
Console
Dans le menu de navigation de la console Google Cloud , cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez le mode simulation. Bien que vous puissiez créer un mode de simulation ou un mode forcé, nous vous recommandons d'utiliser d'abord le mode de simulation pour un périmètre de service nouveau ou mis à jour. Le mode de simulation vous permettra également de créer un test de votre nouveau périmètre de service pour voir comment il fonctionne avant de choisir de l'appliquer dans votre environnement.
Cliquez sur Nouveau périmètre.
Sur la page Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre.
Dans l'onglet Détails, sélectionnez le type de périmètre et le type de configuration souhaités.
Dans l'onglet Projets, sélectionnez les projets que vous souhaitez inclure dans les limites du périmètre de service. Pour vos charges de travail IL4, il s'agit des projets qui se trouvent dans votre dossier Assured Workloads IL4.
Dans l'onglet Services restreints, ajoutez les services à inclure dans les limites du périmètre de service. Vous ne devez sélectionner que les services qui sont dans le champ d'application de votre dossier Assured Workloads.
(Facultatif) Dans l'onglet Services accessibles par VPC, vous pouvez empêcher les services de votre périmètre de service de communiquer entre eux. Assured Workloads mettra en œuvre des restrictions d'utilisation des ressources comme garde-fou pour s'assurer que les services dont la portée est limitée à Assured Workloads peuvent être déployés dans votre dossier Assured Workloads. Si vous avez remplacé ces contrôles, vous devrez peut-être implémenter les services accessibles via le VPC pour empêcher les services non Assured Workloads de communiquer avec vos charges de travail.
Cliquez sur Règle d'entrée pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé en provenance de différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes concernant des ressources protégées qui sont effectuées depuis l'extérieur du périmètre de service. Ils ne peuvent pas servir à autoriser des ressources protégées ni des VM à accéder à des données et services extérieurs au périmètre. Vous pouvez attribuer différentes méthodes de service d'identité à des services spécifiques afin de transférer des données réglementées dans le périmètre de service de votre charge de travail.
(Facultatif) Cliquez sur Règle de sortie pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé à différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes provenant de ressources protégées vers des services situés en dehors du périmètre de service.
Cliquez sur Enregistrer.
Utiliser VPC Service Controls avec Terraform
Vous pouvez utiliser Terraform pour synchroniser votre dossier Assured Workloads avec un fichier d'autorisation VPC Service Controls si vous souhaitez que la limite réglementée Assured Workloads soit alignée sur votre limite VPC Service Controls. Pour en savoir plus, consultez l'exemple Terraform de dossier sécurisé automatiquement sur GitHub.
Étapes suivantes
- En savoir plus sur le package de contrôle FedRAMP de niveau d'impact élevé
- En savoir plus sur le package de contrôle IL4