この問題には 2 つの重要な要件があります。
すべてのアプリケーションは、集中化されたセキュリティ サービスにデータを送信する必要があります。
開発者はプロジェクト内のファイアウォール ルールに対して高い自律性を必要とします。
中央セキュリティ サービスへのアクセスが誤ってブロックされるのを防ぎます。
このシナリオでは、プロジェクト レベルの柔軟性を維持しながら、リソース階層の上位レベルで重要なネットワーク ポリシーを適用するメカニズムが必要です。
階層型ファイアウォール ポリシー：Google Cloud の階層型ファイアウォール ポリシー（HFP）は、まさにこの目的のために設計されています。管理者は組織レベルまたはフォルダレベルでファイアウォール ルールを定義でき、これらのルールは階層内のすべてのプロジェクトと VPC ネットワークに継承されます。重要なのは、HFP ルールに優先順位を付けられることです。優先度の高い（数値が小さい）ルールが最初に評価されます。つまり、プロジェクト レベルのファイアウォール ルールではオーバーライドまたはブロックできない、重要なサービスに対して優先度の高い「許可」ルールを作成できます。抜粋参照：「階層型ファイアウォール ポリシーを使用すると、組織全体で一貫したネットワーク セキュリティ ポリシーを定義し、適用できます。ポリシーは組織レベルまたはフォルダレベルで適用でき、その階層内のすべてのプロジェクトと VPC ネットワークに継承されます。」および「階層型ファイアウォール ポリシー内のルールは、優先度に基づいて VPC ネットワーク ファイアウォール ルールよりも優先されます。優先度の値が低いルールは、優先度の値が高いルールよりも優先されます。」（Google Cloud ドキュメント：https://cloud.
google.com/vpc/docs/ファイアウォールポリシーの概要
偶発的なブロックを防止しながら自律性を確保：階層型ファイアウォールポリシーにおいて、中央セキュリティサービスに高優先度の「許可」ルールを設定することで、開発者がプロ​​ジェクトレベルのファイアウォールルールをどのように設定しても、このトラフィックが常に許可されることが保証されます。これにより、重要な接続性を確保しながら、開発者はプロジェクト内の重要度の低いファイアウォールルールを高い自律性で管理できます。
他のオプションを評価してみましょう。
A) 中央のセキュア Web プロキシをデプロイし、すべての VPC ネットワークに接続します。中央セキュリティサービスへのトラフィックを許可するセキュア Web プロキシポリシーを作成します。セキュア Web プロキシは、外部 Web サービスへの HTTP/S アウトバウンドトラフィック用です。中央セキュリティサービスは必ずしも外部 Web サービスではない可能性があり、このソリューションはアプリケーション層プロキシに重点を置いており、内部サービスへのデータ送信などの一般的なネットワーク接続には対応していません。また、開発者がプロ​​ジェクトレベルのファイアウォールルールでアクセスをブロックするという課題にも直接対応していません。
C). 他のすべてのプロジェクトからアクセスできる共有 VPC ネットワークを管理するための中央プロジェクトを作成します。
このプロジェクト内のすべてのファイアウォールルールを一元管理します。共有VPCはネットワーク管理を一元化しますが、すべてのファイアウォールルールが一元管理されることを意味します。これは、開発者が「プロジェクト内でファイアウォールルールを高いレベルで自由に設定できる」という要件と真っ向から矛盾します。共有VPCでは、この特定のシナリオでは制御が一元化されすぎてしまいます。
D) Terraform を使用して、すべてのプロジェクトで必要なファイアウォールルールの作成を自動化します。ルール変更権限は Terraform サービスアカウントのみに制限します。このアプローチではルールの作成は自動化されますが、開発者がプロ​​ジェクト内で競合するルールや上書きするルールを作成することを防ぐことはできません（ただし、すべてのルールを Terraform で管理している場合は、自律性が失われます）。また、すべてのファイアウォールルールに対する IAM 権限を制限する必要があるため、開発者の「高い自律性」要件に反します。階層型ファイアウォールポリシーは、特定のルールを上書きおよび適用するための、より堅牢でネイティブなソリューションを提供します。
したがって、階層型ファイアウォール ポリシーを実装することが最も効果的なソリューションです。これにより、重要なセキュリティ サービスの接続をより高いレベルで強制しながら、開発者にプロジェクト固有のファイアウォール ルールに対する必要な自律性を与えることができます。

開発者がユーザー管理のサービス アカウント キーを作成することを防ぎ、キーの管理ミスのリスクを軽減するには、これらのキーの作成を明確に禁止する組織ポリシーを有効にする必要があります。
* 組織ポリシーを有効にして、サービス アカウント キーが作成されないようにします (C):
* Google Cloud は、サービス アカウント キーの作成を含む様々な操作を制限する組織ポリシーを適用する機能を提供しています。このポリシーを有効にすると、開発者がユーザー管理のサービス アカウント キーを新規作成できないようにすることができ、キーの不適切な管理や潜在的なセキュリティ侵害のリスクを最小限に抑えることができます。
参考文献
* サービスアカウントのドキュメント
* 組織ポリシーサービスドキュメント

https://cloud.google.com/secure-web-proxy/docs/概要
セキュアWebプロキシは、送信Webトラフィック（HTTP/S）のセキュリティ確保を支援するクラウドファーストのサービスです。クライアント側でセキュアWebプロキシをゲートウェイとして明示的に使用するように設定してください。

https://cloud.google.com/resource-manager/docs/super-admin-best-
実践#スーパー管理者アカウントの使用を控える
- セキュリティキーまたはその他の物理的な認証デバイスを使用して2段階認証を強制する
- スーパー管理者に別のログインを必要とする別のアカウントを与える