Google Cloud בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירות כדי להגן מפני זליגת נתונים. מגדירים את Audit Manager באמצעות VPC Service Controls כדי ש-Audit Manager יוכל לגשת למשאבים ולשירותים מחוץ לגבולות הגזרה של השירות.
לפני שמתחילים
- מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
- חשוב לוודא שיש לכם את המידע הבא, בהתאם לפעולה שאתם מבצעים ב-Audit Manager: רישום משאב או הפעלת ביקורת.
- כשרושמים משאב לביקורת: Google Cloud חשבון המשתמש שציינתם כשאתם מגדירים את Audit Manager.
- כשמריצים ביקורת: סוכן השירות של Audit Manager שנוצר אוטומטית כשרושמים משאב לביקורת.
מגבלות
- אי אפשר להשתמש בהיקף כדי להגן על משאבים של Audit Manager ברמת התיקייה או ברמת הארגון. כדי לנהל הרשאות של Audit Manager ברמת התיקייה או הארגון, מומלץ להשתמש ב-IAM. מידע נוסף זמין במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.
הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)
הגדרת כללים לתעבורת נתונים נכנסת ויוצאת על סמך ההגדרה של גבולות הגזרה לשירות. מידע נוסף מופיע במאמר סקירה כללית על היקף השירות.
יכול להיות שתצטרכו להגדיר את כללי הכניסה והיציאה כשאתם מבצעים את הפעולות הבאות:
- רישום משאב לביקורת
- הרצת בדיקה
הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כשרושמים משאב לביקורת
אתם יכולים לרשום ארגון, תיקייה או פרויקט כמשאב לביקורת ב-Audit Manager.
חובה להגדיר כללים לתעבורת נתונים נכנסת או יוצאת אם אחד מהמשאבים הבאים לא נמצא באותו גבול גזרה לשירות:
- סוכן השירות של Audit Manager
- קטגוריית Cloud Storage שהוגדרה כיעד לאחסון נתוני הביקורת
- השירותים שמעורבים בתהליך הבדיקה
השיטות של Cloud Storage בדוגמאות הבאות הן חובה. אפשר לשנות את כללי הכניסה והיציאה לדוגמה הבאים בהתאם לדרישות העסקיות שלכם.
צריך לבצע את המשימות הבאות עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Audit Manager.
מגדירים את כלל הכניסה הבא:
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"מחליפים את מה שכתוב בשדות הבאים:
- USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
מגדירים את כלל היציאה הבא:
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"מחליפים את מה שכתוב בשדות הבאים:
- USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כשמריצים ביקורת
אפשר להריץ ביקורת על מסגרת.
צריך להגדיר את כללי הכניסה או היציאה הבאים אם התיקייה או הפרויקט שנבדקים והקטגוריה הרשומה ב-Cloud Storage נמצאים בהיקפי שירות שונים.
השיטות של Cloud Storage בדוגמאות הבאות הן חובה. אפשר לשנות את כללי הכניסה והיציאה לדוגמה הבאים בהתאם לדרישות העסקיות שלכם.
הגדרת כלל הכניסה כשמריצים בדיקה לתיקיות
מגדירים את כלל הכניסה הבא כשמריצים ביקורת על תיקייה, וקטגוריית Cloud Storage הרשומה או אחד מהפרויקטים בתיקייה נמצאים בתוך ההיקף.
משלימים את המשימה הזו עבור חשבון השירות של Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
מחליפים את מה שכתוב בשדות הבאים:
- SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
- USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
הגדרת כלל לתעבורת נתונים נכנסת כשקטגוריית Cloud Storage הרשומה נמצאת בתוך גבול גזרה לשירות
אם הביקורת מופעלת בפרויקט וקטגוריית Cloud Storage הרשומה נמצאת בתוך היקף שירות, צריך להגדיר את כלל הכניסה הבא.
משלימים את המשימה הזו עבור חשבון השירות של Audit Manager.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
מחליפים את מה שכתוב בשדות הבאים:
- SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
- USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
הגדרה של כלל תעבורת נתונים יוצאת (egress) כשקטגוריית Cloud Storage שרשומה נמצאת מחוץ למתחם היקפי של שירות
אם הביקורת מופעלת בפרויקט שנמצא בגבולות גזרה של שירות, וקטגוריית Cloud Storage הרשומה נמצאת מחוץ לגבולות הגזרה, צריך להגדיר את כלל התעבורה היוצאת (egress) הבא.
צריך לבצע את המשימה הזו בפרויקט שמכיל את הקטגוריה של Cloud Storage.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
מחליפים את מה שכתוב בשדות הבאים:
- SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
- USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
אם נתקלתם בבעיות ב-VPC Service Controls, אתם יכולים להשתמש בכלי לניתוח הפרות של VPC Service Controls כדי לנפות באגים ולנתח את הבעיה. מידע נוסף זמין במאמר אבחון של דחיית גישה באמצעות מזהה ייחודי בכלי לניתוח הפרות.
המאמרים הבאים
- מידע נוסף על VPC Service Controls
- אפשר לעיין בערך של Audit Manager בטבלת המוצרים הנתמכים של VPC Service Controls.