Configurer VPC Service Controls pour Assured Workloads
Présentation
Assured Workloads vous aide à respecter différents cadres de conformité réglementaire en mettant en œuvre des contrôles logiques qui segmentent les réseaux et les utilisateurs à partir des données sensibles concernées. De nombreux cadres de conformité américains sont basés sur la norme NIST SP 800-53 Rev. 5, mais disposent de leurs propres contrôles spécifiques en fonction de la sensibilité des informations et de l'organisme de réglementation du cadre. Pour les clients qui doivent respecter un Niveau d'impact élevé du FedRAMP ou DoD IL4, nous vous recommandons d'utiliser VPC Service Controls pour créer une limite forte autour de l'environnement réglementé.
VPC Service Controls offre un niveau de sécurité supplémentaire pour les Google Cloud services, indépendamment d'IAM (Identity and Access Management). Tandis qu'Identity and Access Management permet un contrôle précis des accès basé sur l'identité, VPC Service Controls offre une sécurité périmétrique basée sur le contexte plus étendue, et permet par exemple de contrôler l'entrée et la sortie des données au-delà du périmètre. Les contrôles VPC Service Controls constituent une limite logique autour des Google Cloud API qui sont gérées au niveau de l'organisation et appliquées au niveau du projet. Pour obtenir une présentation générale des avantages et des étapes de configuration de VPC Service Controls, consultez la présentation de VPC Service Controls. Pour en savoir plus sur les directives réglementaires, consultez l'ID de contrôle SC-7.
Avant de commencer
- Assurez-vous d'avoir lu et compris l'objectif et l'utilisation de VPC Service Controls et de ses périmètres de service.
- Découvrez comment le contrôle des accès dans VPC Service Controls fonctionne avec IAM.
- Si vous souhaitez configurer un accès externe à vos services protégés lorsque vous créez votre périmètre, créez d'abord un ou plusieurs niveaux d'accès avant de créer le périmètre.
- Assurez-vous que les Google Cloud services et leurs ressources sont dans le champ d'application d'IL4 ou dans le champ d'application du FedRAMP au niveau d'impact élevé, et qu'ils sont compatibles avec VPC Service Controls.
Configurer VPC Service Controls pour Assured Workloads
Pour configurer VPC Service Controls, vous pouvez utiliser la Google Cloud console, la Google Cloud CLI (gcloud CLI) ou les API Access Context Manager. Les étapes suivantes vous montrent comment utiliser la Google Cloud console.
Console
Dans le menu de navigation de la console Google Cloud , cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.
Sur la page VPC Service Controls, sélectionnez le mode de simulation. Bien que vous puissiez créer un mode dry run ou un mode forcé, nous vous recommandons d'utiliser d'abord le mode dry run pour un périmètre de service nouveau ou mis à jour. Le mode de simulation vous permettra également de créer une exécution test de votre nouveau périmètre de service pour voir comment il fonctionne avant de choisir de l'appliquer dans votre environnement.
Cliquez sur Nouveau périmètre.
Sur la page Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre.
Dans l'onglet Détails, sélectionnez le type de périmètre et le type de configuration souhaités.
Dans l'onglet Projets, sélectionnez les projets que vous souhaitez inclure dans la limite du périmètre de service. Pour vos charges de travail IL4, il doit s'agir des projets qui se trouvent dans votre dossier Assured Workloads IL4.
Dans l'onglet Services restreints, ajoutez des services à inclure dans la limite du périmètre de service. Vous ne devez sélectionner que les services qui sont dans le champ d'application de votre dossier Assured Workloads.
(Facultatif) Dans l'onglet Services accessibles par VPC, vous pouvez limiter davantage la communication entre les services de votre périmètre de service. Assured Workloads mettra en œuvre des restrictions d'utilisation des ressources comme garde-fou pour s'assurer que les services dont le champ d'application est Assured Workloads peuvent être déployés dans votre dossier Assured Workloads. Si vous avez remplacé ces contrôles, vous devrez peut-être mettre en œuvre des services accessibles par VPC pour empêcher les services non-Assured Workloads de communiquer avec vos charges de travail.
Cliquez sur Règle d'entrée pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé à partir de différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Ils ne peuvent pas servir à autoriser des ressources protégées ni des VM à accéder à des données et services extérieurs au périmètre. Vous pouvez attribuer différentes méthodes de service à des services spécifiques afin de transférer des données réglementées dans le périmètre de service de votre charge de travail.
(Facultatif) Cliquez sur Règle de sortie pour définir une ou plusieurs règles qui spécifient la direction de l'accès autorisé à différentes identités et ressources. Les niveaux d'accès ne s'appliquent qu'aux requêtes provenant de ressources protégées vers des services situés en dehors du périmètre de service.
Cliquez sur Enregistrer.
Utiliser VPC Service Controls avec Terraform
Vous pouvez utiliser Terraform pour synchroniser votre dossier Assured Workloads avec un permis VPC Service Controls si vous souhaitez que la limite réglementée de votre Assured Workloads soit alignée sur la limite de votre VPC Service Controls. Pour en savoir plus, consultez l' exemple Terraform de dossier sécurisé automatiquement sur GitHub.
Étape suivante
- En savoir plus sur le package de contrôle FedRAMP au niveau d'impact élevé.
- En savoir plus sur le package de contrôle IL4.