Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads

Ringkasan

Assured Workloads membantu Anda mematuhi berbagai framework kepatuhan peraturan dengan menerapkan kontrol logis yang mengelompokkan jaringan dan pengguna dari data sensitif dalam cakupan. Banyak framework kepatuhan AS dibangun berdasarkan NIST SP 800-53 Rev. 5, tetapi memiliki kontrol khusus sendiri berdasarkan sensitivitas informasi dan badan pengatur framework. Untuk pelanggan yang harus mematuhi FedRAMP High atau DoD IL4, sebaiknya gunakan Kontrol Layanan VPC untuk membuat batasan yang kuat di sekitar lingkungan yang diatur.

Kontrol Layanan VPC memberikan lapisan pertahanan keamanan tambahan untuk Google Cloud layanan yang tidak bergantung pada Identity and Access Management (IAM). Meskipun Identity and Access Management memungkinkan kontrol akses berbasis identitas yang terperinci, Kontrol Layanan VPC memungkinkan keamanan perimeter berbasis konteks yang lebih luas, seperti mengontrol ingress dan egress data di seluruh perimeter. Kontrol Layanan VPC adalah batasan logis di sekitar Google Cloud API yang dikelola di tingkat organisasi dan diterapkan serta diberlakukan di tingkat project. Untuk ringkasan tingkat tinggi tentang manfaat dan tahap konfigurasi Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang panduan peraturan, lihat ID Kontrol SC-7.

Sebelum memulai

Pastikan Anda telah membaca dan memahami tujuan serta penggunaan Kontrol Layanan VPC dan perimeter layanannya.
Baca cara kerja kontrol akses di Kontrol Layanan VPC dengan IAM.
Jika Anda ingin mengonfigurasi akses eksternal ke layanan yang dilindungi saat Anda membuat perimeter, pertama buat satu atau beberapa tingkat akses sebelum membuat perimeter.
Pastikan Google Cloud layanan dan resource-nya berada dalam cakupan untuk IL4 atau dalam cakupan untuk FedRAMP High dan didukung oleh Kontrol Layanan VPC.

Mengonfigurasi Kontrol Layanan VPC untuk Assured Workloads

Untuk mengonfigurasi Kontrol Layanan VPC, Anda dapat menggunakan Google Cloud konsol, Google Cloud CLI (gcloud CLI), atau Access Context Manager API. Langkah-langkah berikut menunjukkan cara menggunakan Google Cloud konsol.

Konsol

Di bagian Navigation menu pada konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

Buka halaman VPC Service Controls
Jika diminta, pilih organisasi, folder, atau project Anda.
Di halaman VPC Service Controls, pilih Dry run mode. Meskipun Anda dapat membuat dalam Dry run mode atau Enforced mode, sebaiknya gunakan Dry run mode terlebih dahulu untuk perimeter layanan baru atau yang diperbarui. Dry run mode juga akan memungkinkan Anda membuat uji coba perimeter layanan baru untuk melihat performanya sebelum Anda memilih untuk menerapkannya dalam lingkungan Anda.
Klik New perimeter.
Di halaman New VPC Service Perimeter, di kotak Perimeter Name , masukkan nama perimeter.
Di tab Details, pilih jenis perimeter dan jenis konfigurasi yang diinginkan.
Di tab Projects, pilih project yang ingin Anda sertakan dalam batas perimeter layanan. Untuk workload IL4, project ini harus berada dalam folder Assured Workloads IL4 Anda.

Catatan: Saat ini, Anda hanya dapat memilih project (dan bukan folder) saat menyiapkan perimeter layanan.
Di tab Restricted Services, tambahkan layanan yang akan disertakan dalam batas perimeter layanan. Anda hanya boleh memilih layanan yang berada dalam cakupan untuk folder Assured Workloads Anda.
(Opsional) Di tab VPC Accessible Services, Anda dapat membatasi lebih lanjut layanan dalam perimeter layanan agar tidak saling berkomunikasi. Assured Workloads akan menerapkan batasan penggunaan resource sebagai pagar pembatas untuk memastikan bahwa layanan yang berada dalam cakupan Assured Workloads dapat di-deploy dalam folder Assured Workloads Anda. Jika Anda telah mengganti kontrol ini, Anda mungkin perlu menerapkan VPC Accessible Services untuk membatasi layanan non-Assured Workloads agar tidak berkomunikasi dengan workload Anda.
Klik Ingress Policy untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan dari berbagai identitas dan resource. Level akses hanya berlaku untuk permintaan resource yang dilindungi yang berasal dari luar perimeter layanan. Level akses tidak dapat digunakan untuk mengizinkan resource atau VM yang dilindungi untuk mengakses data atau layanan di luar perimeter. Anda dapat menetapkan metode layanan yang berbeda ke identitas untuk layanan tertentu guna mentransfer data yang diatur ke perimeter layanan workload Anda.
(Opsional) Klik Egress Policy untuk menetapkan satu atau beberapa aturan yang menentukan arah akses yang diizinkan ke berbagai identitas dan resource. Level akses hanya berlaku untuk permintaan dari resource yang dilindungi ke layanan di luar perimeter layanan.
Klik Save.

Menggunakan Kontrol Layanan VPC dengan Terraform

Anda dapat menggunakan Terraform untuk menyinkronkan folder Assured Workloads dengan izin Kontrol Layanan VPC jika Anda ingin batas yang diatur Assured Workloads selaras dengan batas Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat contoh Terraform Folder yang Diamankan Secara Otomatis di GitHub.

Langkah berikutnya

Pelajari tentang paket kontrol FedRAMP High.
Pelajari tentang paket kontrol IL4.