Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads

Ringkasan

Assured Workloads membantu Anda mematuhi berbagai framework kepatuhan terhadap peraturan dengan menerapkan kontrol logis yang mengelompokkan jaringan dan pengguna dari data sensitif dalam cakupan. Banyak framework kepatuhan AS dibangun berdasarkan NIST SP 800-53 Rev. 5, tetapi memiliki kontrol khusus berdasarkan sensitivitas informasi dan badan pengatur framework. Untuk pelanggan yang harus mematuhi FedRAMP High atau DoD IL4, kami merekomendasikan agar Anda menggunakan Kontrol Layanan VPC untuk membuat batas yang kuat di sekitar lingkungan yang diatur.

Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk layanan Google Cloud yang tidak bergantung pada Identity and Access Management (IAM). Meskipun Identity and Access Management memungkinkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, seperti mengontrol ingress dan egress data di seluruh perimeter. Kontrol Layanan VPC adalah batas logis di sekitar API yang dikelola di tingkat organisasi dan diterapkan serta diberlakukan di tingkat project. Google Cloud Untuk ringkasan tingkat tinggi tentang manfaat dan tahap konfigurasi Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang panduan peraturan, lihat ID Kontrol SC-7.

Sebelum memulai

Pastikan Anda telah membaca dan memahami tujuan serta penggunaan Kontrol Layanan VPC dan perimeter layanannya.
Baca cara kerja kontrol akses di Kontrol Layanan VPC dengan IAM.
Jika Anda ingin mengonfigurasi akses eksternal ke layanan yang dilindungi saat membuat perimeter, buat satu atau beberapa tingkat akses terlebih dahulu sebelum membuat perimeter.
Pastikan Google Cloud layanan dan resource-nya berada dalam cakupan IL4 atau berada dalam cakupan FedRAMP High dan didukung oleh Kontrol Layanan VPC.

Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads

Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan konsol Google Cloud , Google Cloud CLI (gcloud CLI), atau Access Context Manager API. Langkah-langkah berikut menunjukkan cara menggunakan konsol Google Cloud .

Konsol

Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

Buka halaman VPC Service Controls
Jika diminta, pilih organisasi, folder, atau project Anda.
Di halaman VPC Service Controls, pilih Dry run mode. Meskipun Anda dapat membuat dalam Mode uji coba atau Mode penerapan, sebaiknya gunakan Mode uji coba terlebih dahulu untuk perimeter layanan baru atau yang diperbarui. Mode uji coba juga akan memungkinkan Anda membuat uji coba perimeter layanan baru untuk melihat performanya sebelum Anda memilih untuk menerapkannya dalam lingkungan Anda.
Klik New perimeter.
Di halaman Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter.
Di tab Detail, pilih jenis perimeter dan jenis konfigurasi yang diinginkan.
Di tab Projects, pilih project yang ingin Anda sertakan dalam batas perimeter layanan. Untuk workload IL4 Anda, project ini harus berada dalam folder IL4 Assured Workloads Anda.

Catatan: Saat ini, Anda hanya dapat memilih project (bukan folder) saat menyiapkan perimeter layanan.
Di tab Restricted Services, tambahkan layanan yang akan disertakan dalam batas perimeter layanan. Anda hanya boleh memilih layanan yang termasuk dalam cakupan untuk folder Assured Workloads Anda.
(Opsional) Di tab Layanan yang Dapat Diakses VPC, Anda dapat lebih membatasi layanan dalam perimeter layanan Anda agar tidak saling berkomunikasi. Assured Workloads akan menerapkan pembatasan penggunaan resource sebagai mekanisme pengamanan untuk memastikan bahwa layanan yang tercakup ke Assured Workloads dapat di-deploy dalam folder Assured Workloads Anda. Jika Anda telah mengganti kontrol ini, Anda mungkin perlu menerapkan Layanan yang Dapat Diakses VPC untuk membatasi layanan non-Assured Workloads agar tidak berkomunikasi dengan beban kerja Anda.
Klik Kebijakan Ingress untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan dari berbagai identitas dan resource. Tingkat akses hanya berlaku untuk permintaan resource yang dilindungi yang berasal dari luar perimeter layanan. Tingkat akses tidak dapat digunakan untuk mengizinkan resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter. Anda dapat menetapkan metode layanan identitas yang berbeda ke layanan tertentu untuk mentransfer data yang diatur ke perimeter layanan beban kerja Anda.
(Opsional) Klik Kebijakan Egress untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan ke berbagai identitas dan resource. Tingkat akses hanya berlaku untuk permintaan dari resource yang dilindungi ke layanan di luar perimeter layanan.
Klik Simpan.

Menggunakan Kontrol Layanan VPC dengan Terraform

Anda dapat menggunakan Terraform untuk menyinkronkan folder Assured Workloads dengan izin Kontrol Layanan VPC jika Anda ingin batas yang diatur Assured Workloads selaras dengan batas Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat contoh Terraform Folder yang Diamankan Secara Otomatis di GitHub.

Langkah berikutnya

Pelajari paket kontrol FedRAMP High.
Pelajari paket kontrol IL4.