為 Assured Workloads 設定 VPC Service Controls

總覽

Assured Workloads 會導入邏輯控管機制，將網路和使用者與範圍內的機密資料加以區隔，協助您遵守不同的法規遵循架構。許多美國法規遵循架構都是以 NIST SP 800-53 Rev. 5 為基礎，但會根據資訊的敏感度和架構的管理機構，制定專屬的控管措施。如果客戶必須遵守 FedRAMP 高等風險或 DoD IL4 規範，建議使用 VPC Service Controls 在受監管環境周圍建立嚴密邊界。

VPC Service Controls 可為 Google Cloud服務提供 Identity and Access Management (IAM) 以外的另一層防護。Identity and Access Management 提供精細的身分式存取權控管功能，VPC Service Controls 則提供較廣泛的情境式範圍安全防護，例如控管跨範圍的資料輸入和輸出作業。VPC Service Controls 是一項控制項，可為 API 建立邏輯邊界，在 Google Cloud 機構層級進行管理，並在專案層級套用及強制執行。如要大致瞭解 VPC Service Controls 的優點和設定階段，請參閱「VPC Service Controls 總覽」。如要進一步瞭解法規指引，請參閱控制項 ID SC-7。

事前準備

• 請務必詳閱並瞭解 VPC Service Controls 和服務範圍的用途和用法。
• 瞭解 VPC Service Controls 中的存取權控管如何與 IAM 搭配運作。
• 如要在建立 perimeter 時設定受保護服務的外部存取權，請先建立一或多個存取層級，再建立 perimeter。
• 確認 Google Cloud 服務及其資源符合 IL4 規範或符合 FedRAMP 高影響等級規範，且VPC Service Controls 支援這些服務。

為 Assured Workloads 設定 VPC Service Controls

如要設定 VPC Service Controls，可以使用 Google Cloud 控制台、Google Cloud CLI (gcloud CLI) 或 Access Context Manager API。下列步驟說明如何使用 Google Cloud 控制台。

將 VPC Service Controls 與 Terraform 搭配使用

如要讓 Assured Workloads 受監管的邊界與 VPC Service Controls 邊界保持一致，可以使用 Terraform 將 Assured Workloads 資料夾與 VPC Service Controls 許可同步。詳情請參閱 GitHub 上的自動保護資料夾 Terraform 範例。

後續步驟

• 瞭解 FedRAMP 高等風險控制套件。
• 瞭解 IL4 控制套件。