Google Cloud O VPC Service Controls permite configurar um perímetro de serviço para evitar a exfiltração de dados. Configure o Audit Manager com os VPC Service Controls para que ele possa acessar recursos e serviços fora do perímetro de serviço.
Antes de começar
- Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.
- Verifique se você tem as seguintes informações, dependendo se está
registrando um recurso ou executando uma auditoria no Audit Manager.
- Ao registrar um recurso para auditoria: a Google Cloud conta de usuário especificada ao configurar o Gerenciador de auditorias.
- Ao executar uma auditoria: o agente de serviço do Gerenciador de auditoria que foi criado automaticamente quando você registrou um recurso para auditoria.
Limitações
- Não é possível usar um perímetro para proteger recursos do Audit Manager no nível da pasta ou da organização. Para gerenciar as permissões do Audit Manager no nível da pasta ou da organização, recomendamos usar o IAM. Para mais informações, consulte Gerenciar o acesso a projetos, pastas e organizações.
Configurar as regras de entrada e saída
Configure regras de entrada e saída com base na configuração do perímetro de serviço. Para mais informações, consulte Visão geral do perímetro de serviço.
Talvez seja necessário configurar as regras de entrada e saída ao realizar as seguintes ações:
- Registrar um recurso para auditoria
- Executar uma auditoria
Configurar regras de entrada e saída ao registrar um recurso para auditoria
É possível registrar uma organização, uma pasta ou um projeto como um recurso para auditoria no Audit Manager.
É necessário configurar regras de entrada ou saída quando um dos seguintes recursos não estiver no mesmo perímetro de serviço:
- o agente de serviço do Audit Manager
- o bucket do Cloud Storage configurado como destino para armazenar os dados de auditoria
- os serviços envolvidos no processo de auditoria
Os métodos do Cloud Storage nos exemplos a seguir são obrigatórios. É possível ajustar as regras de entrada e saída de exemplo a seguir para atender aos requisitos da sua empresa.
Conclua as tarefas a seguir para a conta de usuário Google Cloud especificada ao configurar o Audit Manager.
Configure a seguinte regra de entrada:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Substitua:
- USER_EMAIL_ADDRESS: o endereço de e-mail que você especificou ao configurar o Audit Manager.
Configure a seguinte regra de saída:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"Substitua:
- USER_EMAIL_ADDRESS: o endereço de e-mail que você especificou ao configurar o Audit Manager.
Configurar as regras de entrada e saída ao executar uma auditoria
É possível executar uma auditoria em frameworks de compliance predefinidos ou personalizados.
Configure as seguintes regras de entrada ou saída quando a pasta ou o projeto que está sendo auditado e o bucket do Cloud Storage registrado estiverem em perímetros de serviço diferentes.
Os métodos do Cloud Storage nos exemplos a seguir são obrigatórios. Ajuste as regras de entrada e saída de exemplo a seguir para atender aos requisitos da sua empresa.
Configure a regra de entrada ao executar uma auditoria de pastas
Configure a seguinte regra de entrada ao executar uma auditoria em uma pasta e o bucket do Cloud Storage registrado ou um dos projetos dentro da pasta estiver dentro do perímetro.
Conclua esta tarefa para a conta de serviço do Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
Substitua:
- SA_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço do Audit Manager.
- USER_EMAIL_ADDRESS: o endereço de e-mail que você especificou ao configurar o Audit Manager.
Configurar a regra de entrada quando o bucket do Cloud Storage registrado estiver dentro de um perímetro de serviço
Configure a seguinte regra de entrada se a auditoria for executada em um projeto e o bucket do Cloud Storage registrado estiver dentro de um perímetro de serviço.
Conclua esta tarefa para a conta de serviço do Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Substitua:
- SA_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço do Audit Manager.
- USER_EMAIL_ADDRESS: o endereço de e-mail que você especificou ao configurar o Audit Manager.
Configurar a regra de saída quando o bucket do Cloud Storage registrado estiver fora de um perímetro de serviço
Configure a seguinte regra de saída se a auditoria for executada em um projeto dentro de um perímetro de serviço e o bucket do Cloud Storage registrado estiver fora do perímetro.
Conclua esta tarefa para o projeto que contém o bucket do Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
Substitua:
- SA_EMAIL_ADDRESS: o endereço de e-mail da conta de serviço do Audit Manager.
- USER_EMAIL_ADDRESS: o endereço de e-mail que você especificou ao configurar o Audit Manager.
Se você tiver problemas com o VPC Service Controls, use o analisador de violações do VPC Service Controls para depurar e analisar o problema. Para mais informações, consulte Diagnosticar uma negação de acesso usando o ID exclusivo no analisador de violações.
A seguir
- Saiba mais sobre o VPC Service Controls.
- Consulte a entrada do Audit Manager na tabela de produtos compatíveis com o VPC Service Controls.