I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Configura i Controlli di servizio VPC per Assured Workloads

Panoramica

Assured Workloads ti aiuta a rispettare diversi framework di conformità normativa implementando controlli logici che segmentano le reti e gli utenti dai dati sensibili nell'ambito. Molti framework di conformità statunitensi si basano su NIST SP 800-53 Rev. 5, ma hanno controlli particolari basati sulla sensibilità delle informazioni e sull'organo di governo del framework. Per i clienti che devono rispettare FedRAMP High o DoD IL4, consigliamo di utilizzare i Controlli di servizio VPC per creare un confine solido intorno all'ambiente regolamentato.

I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa della sicurezza per i servizi Google Cloud, indipendente da Identity and Access Management (IAM). Mentre Identity and Access Management consentecontrollo dell'accessoo granulare basato sull'identità, i Controlli di servizio VPC consentono una sicurezza perimetrale basata sul contesto più ampia, ad esempio il controllo dell'ingresso e dell'uscita dei dati dal perimetro. I controlli di servizio VPC sono un confine logico intorno alle API gestite a livello di organizzazione e applicate e applicate a livello di progetto. Google Cloud Per una panoramica generale dei vantaggi e delle fasi di configurazione dei Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC. Per maggiori informazioni sulle indicazioni normative, consulta ID controllo SC-7.

Prima di iniziare

Assicurati di aver letto e compreso lo scopo e l'utilizzo dei Controlli di servizio VPC e dei relativi perimetri di servizio.
Scopri come funziona il controllo dell'accesso nei Controlli di servizio VPC con IAM.
Se vuoi configurare l'accesso esterno ai tuoi servizi protetti quando crei il perimetro, prima crea uno o più livelli di accesso prima di creare il perimetro.
Assicurati che i servizi Google Cloud e le relative risorse siano in ambito per IL4 o in ambito per FedRAMP High e siano supportati dai Controlli di servizio VPC.

Configura i Controlli di servizio VPC per Assured Workloads

Per configurare i Controlli di servizio VPC, puoi utilizzare la console Google Cloud , Google Cloud CLI (gcloud CLI) o le API Access Context Manager. I passaggi seguenti mostrano come utilizzare la console Google Cloud .

Console

Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.

Vai alla pagina Controlli di servizio VPC
Se ti viene chiesto, seleziona l'organizzazione, la cartella o il progetto.
Nella pagina Controlli di servizio VPC, seleziona la modalità dry run. Anche se puoi creare un perimetro in modalità dry run o in modalità di applicazione forzata, ti consigliamo di utilizzare prima la modalità dry run per un perimetro di servizio nuovo o aggiornato. La modalità dry run ti consente anche di creare un test del nuovo perimetro di servizio per vedere come funziona prima di scegliere di applicarlo al tuo ambiente.
Fai clic su Nuovo perimetro.
Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.
Nella scheda Dettagli, seleziona il tipo di perimetro e il tipo di configurazione che preferisci.
Nella scheda Progetti, seleziona i progetti che vuoi includere nel perimetro di servizio. Per i carichi di lavoro IL4, questi devono essere i progetti che si trovano nella cartella Assured Workloads IL4.

Nota: al momento puoi selezionare solo progetti (e non cartelle) quando configuri un perimetro di servizio.
Nella scheda Servizi limitati, aggiungi i servizi da includere all'interno del confine del perimetro di servizio. Devi selezionare solo i servizi inclusi nell'ambito della tua cartella Assured Workloads.
(Facoltativo) Nella scheda Servizi accessibili da VPC, puoi limitare ulteriormente la comunicazione tra i servizi all'interno del perimetro di servizio. Assured Workloads implementerà limitazioni all'utilizzo delle risorse come misura di protezione per garantire che i servizi con ambito Assured Workloads possano essere implementati all'interno della cartella Assured Workloads. Se hai ignorato questi controlli, potresti dover implementare Servizi accessibili al VPC per impedire ai servizi non-Assured Workloads di comunicare con i tuoi carichi di lavoro.
Fai clic su Criterio in entrata per impostare una o più regole che specificano la direzione dell'accesso consentito da diverse identità e risorse. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non è possibile utilizzare i livelli di accesso per consentire a risorse o VM protette di accedere a dati e servizi al di fuori del perimetro. Puoi assegnare metodi di servizio diversi a servizi specifici per trasferire dati regolamentati nel perimetro di servizio del tuo workload.
(Facoltativo) Fai clic su Policy di uscita per impostare una o più regole che specificano la direzione dell'accesso consentito a diverse identità e risorse. I livelli di accesso si applicano solo alle richieste provenienti da risorse protette e destinate a servizi esterni al perimetro di servizio.
Fai clic su Salva.

Utilizzare Controlli di servizio VPC con Terraform

Puoi utilizzare Terraform per sincronizzare la cartella Assured Workloads con un permesso Controlli di servizio VPC se vuoi che il confine regolamentato di Assured Workloads sia allineato al confine Controlli di servizio VPC. Per maggiori informazioni, consulta l'esempio di Terraform per la cartella protetta automaticamente su GitHub.

Passaggi successivi

Scopri di più sul pacchetto di controlli FedRAMP High.
Scopri di più sul pacchetto di controlli IL4.