הגדרת VPC Service Controls לכלי לניהול ביקורות

Google Cloud בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירות כדי להגן מפני זליגת נתונים. מגדירים את Audit Manager באמצעות VPC Service Controls כדי ש-Audit Manager יוכל לגשת למשאבים ולשירותים מחוץ לגבולות הגזרה של השירות.

לפני שמתחילים

  1. מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
  2. חשוב לוודא שיש לכם את המידע הבא, בהתאם לפעולה שאתם מבצעים ב-Audit Manager: רישום משאב או הפעלת ביקורת.
    1. כשרושמים משאב לביקורת: Google Cloud חשבון המשתמש שציינתם כשאתם מגדירים את Audit Manager.
    2. כשמריצים ביקורת: סוכן השירות של Audit Manager שנוצר אוטומטית כשרושמים משאב לביקורת.

מגבלות

  • אי אפשר להשתמש בהיקף כדי להגן על משאבים של Audit Manager ברמת התיקייה או ברמת הארגון. כדי לנהל הרשאות של Audit Manager ברמת התיקייה או הארגון, מומלץ להשתמש ב-IAM. מידע נוסף זמין במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)

הגדרת כללים לתעבורת נתונים נכנסת ויוצאת על סמך ההגדרה של גבולות הגזרה לשירות. מידע נוסף מופיע במאמר סקירה כללית על היקף השירות.

יכול להיות שתצטרכו להגדיר את כללי הכניסה והיציאה כשאתם מבצעים את הפעולות הבאות:

  1. רישום משאב לביקורת
  2. הרצת בדיקה

הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כשרושמים משאב לביקורת

אתם יכולים לרשום ארגון, תיקייה או פרויקט כמשאב לביקורת ב-Audit Manager.

חובה להגדיר כללים לתעבורת נתונים נכנסת או יוצאת אם אחד מהמשאבים הבאים לא נמצא באותו גבול גזרה לשירות:

  • סוכן השירות של Audit Manager
  • קטגוריית Cloud Storage שהוגדרה כיעד לאחסון נתוני הביקורת
  • השירותים שמעורבים בתהליך הבדיקה

השיטות של Cloud Storage בדוגמאות הבאות הן חובה. אפשר לשנות את כללי הכניסה והיציאה לדוגמה הבאים בהתאם לדרישות העסקיות שלכם.

צריך לבצע את המשימות הבאות עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Audit Manager.

  1. מגדירים את כלל הכניסה הבא:

    - ingressFrom:
        identities:
        - user: USER_EMAIL_ADDRESS
        sources:
            - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
        resources: "*"
    

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager
  2. מגדירים את כלל היציאה הבא:

    - egressFrom:
       identities:
        - user: USER_EMAIL_ADDRESS
          sources:
            - accessLevel: "*"
      egressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
      resources: "*"
    

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager

הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כשמריצים ביקורת

אפשר להריץ ביקורת על מסגרת.

צריך להגדיר את כללי הכניסה או היציאה הבאים אם התיקייה או הפרויקט שנבדקים והקטגוריה הרשומה ב-Cloud Storage נמצאים בהיקפי שירות שונים.

השיטות של Cloud Storage בדוגמאות הבאות הן חובה. אפשר לשנות את כללי הכניסה והיציאה לדוגמה הבאים בהתאם לדרישות העסקיות שלכם.

הגדרת כלל הכניסה כשמריצים בדיקה לתיקיות

מגדירים את כלל הכניסה הבא כשמריצים ביקורת על תיקייה, וקטגוריית Cloud Storage הרשומה או אחד מהפרויקטים בתיקייה נמצאים בתוך ההיקף.

משלימים את המשימה הזו עבור חשבון השירות של Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

מחליפים את מה שכתוב בשדות הבאים:

  • SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
  • USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager

הגדרת כלל לתעבורת נתונים נכנסת כשקטגוריית Cloud Storage הרשומה נמצאת בתוך גבול גזרה לשירות

אם הביקורת מופעלת בפרויקט וקטגוריית Cloud Storage הרשומה נמצאת בתוך היקף שירות, צריך להגדיר את כלל הכניסה הבא.

משלימים את המשימה הזו עבור חשבון השירות של Audit Manager.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

מחליפים את מה שכתוב בשדות הבאים:

  • SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
  • USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager

הגדרה של כלל תעבורת נתונים יוצאת (egress) כשקטגוריית Cloud Storage שרשומה נמצאת מחוץ למתחם היקפי של שירות

אם הביקורת מופעלת בפרויקט שנמצא בגבולות גזרה של שירות, וקטגוריית Cloud Storage הרשומה נמצאת מחוץ לגבולות הגזרה, צריך להגדיר את כלל התעבורה היוצאת (egress) הבא.

צריך לבצע את המשימה הזו בפרויקט שמכיל את הקטגוריה של Cloud Storage.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

מחליפים את מה שכתוב בשדות הבאים:

  • SA_EMAIL_ADDRESS: כתובת האימייל של חשבון השירות של Audit Manager
  • USER_EMAIL_ADDRESS: כתובת האימייל שציינתם כשקבעתם את ההגדרות של Audit Manager

אם נתקלתם בבעיות ב-VPC Service Controls, אתם יכולים להשתמש בכלי לניתוח הפרות של VPC Service Controls כדי לנפות באגים ולנתח את הבעיה. מידע נוסף זמין במאמר אבחון של דחיית גישה באמצעות מזהה ייחודי בכלי לניתוח הפרות.

המאמרים הבאים