Configurar Controles de Servicio de VPC para Assured Workloads
Información general
Assured Workloads te ayuda a cumplir diferentes marcos de cumplimiento normativo implementando controles lógicos que segmentan las redes y los usuarios a partir de los datos sensibles cubiertos. Muchos de los marcos de cumplimiento de EE. UU. se basan en el estándar NIST SP 800-53, revisión 5, pero tienen sus propios controles específicos en función de la sensibilidad de la información y del organismo que rige el marco. En el caso de los clientes que deban cumplir los requisitos de FedRAMP High o IL4 del Departamento de Defensa de EE. UU., le recomendamos que utilice Controles de Servicio de VPC para crear un perímetro seguro en torno al entorno regulado.
Controles de Servicio de VPC proporciona una capa adicional de defensa de seguridad para los Google Cloudservicios que es independiente de Gestión de Identidades y Accesos (IAM). Mientras que la gestión de identidades y accesos permite un control de acceso granular basado en la identidad, Controles de Servicio de VPC permite una seguridad perimetral más amplia basada en el contexto, como el control de la entrada y salida de datos en el perímetro. Los controles de Controles de Servicio de VPC son un límite lógico en torno a las APIs que se gestionan a nivel de organización y se aplican y se cumplen a nivel de proyecto. Google Cloud Para obtener una descripción general de alto nivel de las ventajas y las fases de configuración de Controles de Servicio de VPC, consulta la información general sobre Controles de Servicio de VPC. Para obtener más información sobre las directrices normativas, consulta el control ID SC-7.
Antes de empezar
- Asegúrate de haber leído y comprendido el propósito y el uso de Controles de Servicio de VPC y sus perímetros de servicio.
- Consulta cómo funciona el control de acceso en Controles de Servicio de VPC con Gestión de Identidades y Accesos.
- Si quieres configurar el acceso externo a tus servicios protegidos al crear el perímetro, primero crea uno o varios niveles de acceso antes de crear el perímetro.
- Asegúrate de que los Google Cloud servicios y sus recursoscumplan los requisitos de IL4 o los de FedRAMP High y que sean compatibles con Controles de Servicio de VPC.
Configurar Controles de Servicio de VPC para Assured Workloads
Para configurar Controles de Servicio de VPC, puedes usar la Google Cloud consola, la CLI de Google Cloud (gcloud CLI) o las APIs Access Context Manager. En los siguientes pasos se explica cómo usar la consola Google Cloud .
Consola
En el menú de navegación de la Google Cloud consola, haga clic en Seguridad y, a continuación, en Controles de servicios de VPC.
Si se te solicita, selecciona tu organización, carpeta o proyecto.
En la página Controles de Servicio de VPC, selecciona Modo de ejecución de prueba. Aunque puedes crear un perímetro de servicio en el modo de prueba o en el modo de cumplimiento, te recomendamos que utilices el modo de prueba primero para un perímetro de servicio nuevo o actualizado. El modo de prueba también te permitirá crear una prueba de tu nuevo perímetro de servicio para ver cómo funciona antes de aplicarlo en tu entorno.
Haga clic en Nuevo perímetro.
En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.
En la pestaña Detalles, seleccione el tipo de perímetro y el tipo de configuración que quiera.
En la pestaña Proyectos, seleccione los proyectos que quiera incluir en el límite del perímetro de servicio. En el caso de las cargas de trabajo de IL4, deben ser los proyectos que se encuentren en tu carpeta de Assured Workloads IL4.
En la pestaña Servicios restringidos, añade los servicios que quieras incluir en el límite del perímetro de servicio. Solo debes seleccionar los servicios que estén incluidos en el ámbito de tu carpeta de Assured Workloads.
(Opcional) En la pestaña Servicios accesibles de la VPC, puedes restringir aún más la comunicación entre los servicios de tu perímetro de servicio. Assured Workloads implementará restricciones de uso de servicios como medida de protección para asegurarse de que los servicios incluidos en el ámbito de Assured Workloads se puedan implementar en tu carpeta de Assured Workloads. Si has anulado estos controles, puede que tengas que implementar Servicios accesibles de VPC para evitar que los servicios que no sean de Assured Workloads se comuniquen con tus cargas de trabajo.
Haz clic en Política de entrada para definir una o varias reglas que especifiquen la dirección del acceso permitido desde diferentes identidades y recursos. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos que proceden de fuera del perímetro de servicio. No se pueden utilizar para permitir que los recursos protegidos o las VMs accedan a datos y servicios fuera del perímetro. Puedes asignar métodos de servicio de identidad diferentes a servicios específicos para transferir datos regulados al perímetro de servicio de tu carga de trabajo.
(Opcional) Haz clic en Política de salida para definir una o varias reglas que especifiquen la dirección del acceso permitido a diferentes identidades y recursos. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos a servicios que se encuentran fuera del perímetro de servicio.
Haz clic en Guardar.
Usar Controles de Servicio de VPC con Terraform
Puedes usar Terraform para sincronizar tu carpeta de Assured Workloads con un permiso de Controles de Servicio de VPC si quieres que el límite regulado de Assured Workloads esté alineado con el límite de Controles de Servicio de VPC. Para obtener más información, consulta el ejemplo de Terraform de carpeta protegida automáticamente en GitHub.
Siguientes pasos
- Consulta información sobre el paquete de control de FedRAMP High.
- Consulta información sobre el paquete de controles IL4.