VPC Service Controls は、 Google Cloud リソースの周囲にサービスレベルの境界を提供し、データの引き出しを防ぐことで、セキュリティ体制を強化します。
組織がサービス境界内のリソースを保護する場合、Security Command Center サービスは、リソースのスキャン、ログストリームのモニタリング、境界間の検出結果のエクスポートを行うために、適切な上り(内向き)ルールまたは下り(外向き)ルールを必要とします。
VPC Service Controls の境界で Security Center サービス エージェントのアクセスが制限されている場合、Security Command Center の一部(Event Threat Detection などの脅威検出サービスや継続的な検出結果のエクスポートなど)が正しく機能しないことがあります。構成エラーと検出漏れを防ぐため、上り(内向き)ポリシーと下り(外向き)ポリシーで、Security Center サービス エージェントに必要な API へのアクセス権が付与されていることを確認します。
Security Health Analytics が、境界の制限によってスキャンまたはサービスがブロックされていることを検出すると、VPC Service Controls Restriction(VPC_SC_RESTRICTION)エラーの検出結果が生成されます。
サポートされているサービスと構成ガイド
次の表に、VPC Service Controls サービス境界をサポートする Security Command Center のサービスと機能、および境界アクセスを構成する方法について説明するガイドへのリンクを示します。
| サービスまたは機能 | 構成ガイド |
|---|---|
| Security Health Analytics | サービス境界で保護されているプロジェクトをスキャンする |
| Event Threat Detection | Event Threat Detection が VPC Service Controls の境界にアクセスできるようにする |
| Virtual Machine Threat Detection | VM Threat Detection が VPC Service Controls の境界にアクセスできるようにする |
| Container Threat Detection | サービス境界で保護されているプロジェクトをスキャンする |
| Mandiant Attack Surface Management | Mandiant Attack Surface Management を VPC Service Controls とあわせて使用する |
| Google Cloudの脆弱性評価 | Google Cloud の脆弱性評価が VPC Service Controls の境界にアクセスできるようにする |
| コンプライアンス マネージャー | VPC Service Controls でコンプライアンス マネージャーを使用する |
| Assured Open Source Software | VPC Service Controls の Assured Open Source Software(Assured OSS)サポートを構成する |
| Pub/Sub への検出結果の通知 | 検出結果通知の境界アクセスを許可する |
| BigQuery への継続的なエクスポート | BigQuery エクスポートの境界アクセス権を付与する |