Google Cloud Mit VPC Service Controls können Sie einen Dienstperimeter einrichten, der vor Daten-Exfiltration schützt. Konfigurieren Sie Audit Manager mit VPC Service Controls, damit Audit Manager auf Ressourcen und Dienste außerhalb des Dienstperimeters zugreifen kann.
Hinweise
- Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.
- Je nachdem, ob Sie eine Ressource registrieren oder ein Audit in Audit Manager ausführen, benötigen Sie die folgenden Informationen.
- Wenn Sie eine Ressource für die Prüfung registrieren: das Google Cloud Nutzerkonto, das Sie beim Einrichten von Audit Manager angegeben haben.
- Wenn Sie eine Prüfung ausführen: Der Audit Manager-Dienst-Agent, der automatisch erstellt wurde, als Sie eine Ressource für die Prüfung registriert haben.
Beschränkungen
- Sie können keinen Perimeter verwenden, um Audit Manager-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Audit Manager-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Regeln für ein- und ausgehenden Traffic konfigurieren
Konfigurieren Sie Regeln für ein- und ausgehenden Traffic basierend auf der Dienstperimeterkonfiguration. Weitere Informationen finden Sie unter Dienstperimeter – Übersicht.
Möglicherweise müssen Sie die Regeln für ein- und ausgehenden Traffic konfigurieren, wenn Sie die folgenden Aktionen ausführen:
- Ressource für die Prüfung registrieren
- Audit ausführen
Regeln für ein- und ausgehenden Traffic konfigurieren, wenn Sie eine Ressource für die Prüfung registrieren
Sie können eine Organisation, einen Ordner oder ein Projekt als Ressource für Audits in Audit Manager registrieren.
Sie müssen Regeln für eingehenden oder ausgehenden Traffic konfigurieren, wenn eine der folgenden Ressourcen nicht im selben Dienstperimeter enthalten ist:
- Audit Manager-Dienst-Agent
- Der Cloud Storage-Bucket, der als Ziel zum Speichern der Audit-Daten konfiguriert ist
- die Dienste, die in die Prüfung einbezogen werden
Die Cloud Storage-Methoden in den folgenden Beispielen sind erforderlich. Sie können die folgenden Beispielregeln für eingehenden und ausgehenden Traffic an Ihre Geschäftsanforderungen anpassen.
Führen Sie die folgenden Aufgaben für das Google Cloud Nutzerkonto aus, das Sie beim Einrichten von Audit Manager angegeben haben.
Konfigurieren Sie die folgende Regel für eingehenden Traffic:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Ersetzen Sie Folgendes:
- USER_EMAIL_ADDRESS: Die E-Mail-Adresse, die Sie bei der Einrichtung von Audit Manager angegeben haben.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Ersetzen Sie Folgendes:
- USER_EMAIL_ADDRESS: Die E-Mail-Adresse, die Sie bei der Einrichtung von Audit Manager angegeben haben.
Regeln für ein- und ausgehenden Traffic bei der Ausführung eines Audits konfigurieren
Sie können einen Audit durchführen, der auf vordefinierten oder benutzerdefinierten Complianceframeworks basiert.
Konfigurieren Sie die folgenden Regeln für eingehenden oder ausgehenden Traffic, wenn sich der Ordner oder das Projekt, das geprüft wird, und der registrierte Cloud Storage-Bucket in verschiedenen Dienstperimetern befinden.
Die Cloud Storage-Methoden in den folgenden Beispielen sind erforderlich. Sie können die folgenden Beispielregeln für eingehenden und ausgehenden Traffic an Ihre geschäftlichen Anforderungen anpassen.
Regel für eingehenden Traffic konfigurieren, wenn Sie einen Audit für Ordner ausführen
Konfigurieren Sie die folgende Regel für eingehenden Traffic, wenn Sie ein Audit für einen Ordner ausführen und der registrierte Cloud Storage-Bucket oder eines der Projekte im Ordner innerhalb des Perimeters liegt.
Führen Sie diese Aufgabe für das Audit Manager-Dienstkonto aus.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Ersetzen Sie Folgendes:
- SA_EMAIL_ADDRESS: die E-Mail-Adresse des Audit Manager-Dienstkontos
- USER_EMAIL_ADDRESS: Die E-Mail-Adresse, die Sie bei der Einrichtung von Audit Manager angegeben haben.
Regel für eingehenden Traffic konfigurieren, wenn sich der registrierte Cloud Storage-Bucket innerhalb eines Dienstperimeters befindet
Konfigurieren Sie die folgende Regel für eingehenden Traffic, wenn das Audit für ein Projekt ausgeführt wird und sich der registrierte Cloud Storage-Bucket innerhalb eines Dienstperimeters befindet.
Führen Sie diese Aufgabe für das Audit Manager-Dienstkonto aus.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Ersetzen Sie Folgendes:
- SA_EMAIL_ADDRESS: die E-Mail-Adresse des Audit Manager-Dienstkontos
- USER_EMAIL_ADDRESS: Die E-Mail-Adresse, die Sie bei der Einrichtung von Audit Manager angegeben haben.
Regel für ausgehenden Traffic konfigurieren, wenn sich der registrierte Cloud Storage-Bucket außerhalb eines Dienstperimeters befindet
Konfigurieren Sie die folgende Regel für ausgehenden Traffic, wenn das Audit für ein Projekt innerhalb eines Dienstperimeters ausgeführt wird und sich der registrierte Cloud Storage-Bucket außerhalb des Perimeters befindet.
Führen Sie diese Aufgabe für das Projekt aus, das den Cloud Storage-Bucket enthält.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Ersetzen Sie Folgendes:
- SA_EMAIL_ADDRESS: die E-Mail-Adresse des Audit Manager-Dienstkontos
- USER_EMAIL_ADDRESS: Die E-Mail-Adresse, die Sie bei der Einrichtung von Audit Manager angegeben haben.
Wenn Probleme mit VPC Service Controls auftreten, können Sie das Analysetool für Verstöße gegen VPC Service Controls verwenden, um das Problem zu beheben und zu analysieren. Weitere Informationen finden Sie unter Zugriffsverweigerung mit eindeutiger ID im Analysetool für Verstöße diagnostizieren.
Nächste Schritte
- VPC Service Controls
- Weitere Informationen finden Sie im Audit Manager-Eintrag in der Tabelle der unterstützten VPC Service Controls-Produkte.