このページは Cloud Translation API によって翻訳されました。

Assured Workloads の VPC Service Controls を構成する

概要

Assured Workloads は、ネットワークとユーザーを対象範囲内のセンシティブデータからセグメント化する論理制御を実装することにより、さまざまな規制遵守フレームワークの遵守を支援します。米国のコンプライアンスフレームワークの多くは NIST SP 800-53 Rev 5 に基づいて構築されていますが、情報の機密性とフレームワークの管理機関に基づいて、独自の制御を行います。FedRAMP High または DoD IL4 を遵守する必要がある場合は、VPC Service Controls を使用して、規制の厳しい環境の周囲に強固な境界を作成することを推奨します。

VPC Service Controls によって、Identity and Access Management（IAM）から独立している Google Cloud サービスに対するセキュリティが強化されます。Identity and Access Management では詳細な ID ベースのアクセス制御が可能ですが、VPC Service Controls では、境界全体での上り（内向き）と下り（外向き）データの制御など、コンテキストベースの境界セキュリティが可能になります。コントロール VPC Service Controls は、組織レベルで管理され、プロジェクトレベルで適用および施行される Google Cloud API の論理的な境界です。VPC Service Controls のメリットと構成ステージの概要については、VPC Service Controls の概要をご覧ください。規制ガイダンスの詳細については、コントロール ID SC-7 をご覧ください。

始める前に

VPC Service Controls とそのサービス境界の目的と使用方法を読んで理解していることを確認してください。
VPC Service Controls のアクセス制御と IAM の連携の仕組みを確認する。
境界を作成する際、保護されたサービスへの外部アクセスを構成する場合は、先にアクセスレベルを 1 つ以上作成してから境界を作成します。
Google Cloud サービスとそのリソースが IL4 の対象範囲または FedRAMP High の対象範囲で、VPC Service Controls によってサポートされることを確認します。

Assured Workloads の VPC Service Controls を構成する

VPC Service Controls を構成するには、Google Cloud コンソール、Google Cloud CLI（gcloud CLI）、または Access Context Manager API を使用します。次の手順ではGoogle Cloud コンソールの使用方法を説明します。

Console

Google Cloud コンソールのナビゲーションメニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

[VPC Service Controls] ページに移動
プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。
[VPC Service Controls] ページでドライランモードを選択します。ドライランモードまたは自動適用モードのいずれかで作成できますが、新しいサービス境界または更新されたサービス境界には、まずドライランモードを使用することをおすすめします。また、ドライランモードでは、新しいサービス境界のテスト実行を作成し、環境内で適用する前にそのパフォーマンスを確認することもできます。
[新しい境界] をクリックします。
[新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。
[詳細] タブで、目的の境界タイプと構成タイプを選択します。
[プロジェクト] タブで、サービス境界の境界内に含めるプロジェクトを選択します。IL4 ワークロードの場合は、Assured Workloads IL4 フォルダ内のプロジェクトである必要があります。

注: 現時点では、サービス境界を設定するときに選択できるのはプロジェクトのみです（フォルダは選択できません）。
[制限付きサービス] タブで、サービス境界の境界内に含めるサービスを追加します。Assured Workloads フォルダのスコープ内にあるサービスのみを選択する必要があります。
（省略可）[VPC でアクセス可能なサービス] タブで、サービス境界内のサービスが相互に通信しないようにさらに制限できます。Assured Workloads では、ガードレールとしてサービス使用制限が実装され、Assured Workloads にスコープ設定されたサービスを Assured Workloads フォルダ内にデプロイできるようになります。これらの制御をオーバーライドした場合は、VPC のアクセス可能なサービスを実装して、非 Assured Workloads サービスがワークロードと通信しないように制限する必要があります。
[上り（内向き）ポリシー] をクリックして、さまざまな ID とリソースからのアクセスを許可する方向を指定する 1 つ以上のルールを設定します。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストにのみ適用されます。アクセスレベルを使用して、保護されたリソースまたは VM による境界外のデータやサービスへのアクセスを許可することはできません。規制対象データをワークロードのサービス境界に転送するには、特定のサービスに異なるサービスメソッドの ID を割り当てます。
（省略可）[下り（外向き）ポリシー] をクリックして、さまざまな ID とリソースへのアクセスの方向を指定する 1 つ以上のルールを設定します。アクセスレベルは、保護されたリソースからサービス境界外のサービスのリクエストにのみ適用されます。
[保存] をクリックします。

Terraform で VPC Service Controls を使用する

Assured Workloads の規制対象の境界を VPC Service Controls の境界と一致させる場合、Terraform を使用して、Assured Workloads フォルダを VPC Service Controls の許可と同期させることができます。詳細については、GitHub の自動的に保護されたフォルダ Terraform の例をご覧ください。

次のステップ

FedRAMP High コントロールパッケージについて学習する。
IL4 制御パッケージについて学習する。