VPC Service Controlsの概要

Google Cloud の VPC Service Controls

この記事では、Google Cloud の VPC Service Controls の概要 について紹介します。

VPC Service Controls の概要

VPC Service Controls とは、サービス境界（Perimeter）を作成して BigQuery や Google Cloud Storage（GCS）などの Google Cloud サービスに対して外部からのアクセスを制御するセキュリティサービスです。Cloud IAM と併用することで強固なセキュリティを構築することが可能です。

Service Perimeter

Service Perimeter とは、Google Cloud リソースのセキュリティ境界のことで、境界内では自由に通信可能ですが、境界を越える通信はデフォルトで遮断されます。例えば、下図では、あるプロジェクトと SGC バケットを Service Perimeter 内に追加しています。あるプロジェクトと GCS バケットは同じ境界（Perimeter）内にあるため相互通信が可能です。一方、境界外にある認証されていないクライアントやプロジェクトは境界内にあるプロジェクトや GCS にアクセスできません。このように、BigQuery や GCS などのリソースに Perimeter を指定しておけば、詳細な IAM ロールの設定なしで Perimeter のインバウンド・アウトバウンド通信を制御することが可能です。

公式ドキュメント

アクセス許可ポリシー

VPC Service Controls では Perimeter にアクセス許可ポリシーを追加することで、境界外からの通信が可能になります。アクセス許可ポリシーはAccess Context Managerを利用して、以下のようなコンテキスト属性に基づいて作成することができます。

• IP アドレス
• リージョン
• デバイスの種類と OS
• ユーザ ID

料金

VPC Service Controls は VPC を利用する場合、無料で利用可能です。

参考

• 公式ドキュメント
• VPC Service Controls を分かりやすく解説
• VPC Service Controls を使用した Google Cloud Search データに関するセキュリティ上の境界の作成
• VPC Service Controls を使って Google Cloud セキュリティ対策を強化しよう！
• サービス境界とアクセスレベルで、特定のユーザーやサービスアカウントからしか BigQuery にアクセスできないようにしてみた
• Google Cloud Platform の VPC サービスコントロールを触ってみた
• GCP を利用したセキュリティ要件対応 : VPC Service Controls を試してみた (その 1 : 概念の確認)
• GCP を利用したセキュリティ要件対応 : VPC Service Controls を試してみた (その 2 : サービス境界線を構成する)
• GCP を利用したセキュリティ要件対応 : VPC Service Controls を試してみた (その 3: アクセスレベルを構成する)