Migrer une instance Google SecOps vers un projet BYOP

Ce guide aide les administrateurs et les ingénieurs en sécurité à migrer une instance Google SecOps existante, y compris ses données, vers un autre projet Google Cloud à l'aide du modèle Bring Your Own Project (BYOP). Google Cloud Ce processus vous aide à consolider les ressources, à réaligner la facturation ou à vous adapter aux changements organisationnels tout en préservant vos données de sécurité et la configuration de votre instance.

Terminologie clé

• Bring Your Own Project (BYOP) : modèle dans lequel vous utilisez votre propre projet Google Cloud pour héberger et gérer l'instance Google SecOps.
• Démonstration de faisabilité : instance hors production utilisée pour l'évaluation ou les tests.
• Contact technique : personne désignée dans votre organisation pour les communications techniques concernant la migration.

Avant de commencer

Avant de commencer la migration, assurez-vous que le projet Google Cloud cible répond aux exigences suivantes :

• Autorisations : pour effectuer une migration en libre-service pour une instance de POC, vous devez disposer du rôle IAM chroniclesm.admin, qui inclut l'autorisation chroniclesm.projectLink.enable.

• Compte de facturation : vous devez associer l'instance Google SecOps à un projet BYOP cible qui utilise le même compte de facturation Google Cloud que le projet d'origine. Vérifiez que l'abonnement au compte de facturation est actif.

  • Trouver un ID de compte de facturation Cloud
  • Gérer votre compte de facturation Cloud
  • Confirmer l'état du compte de facturation Cloud associé

• Disponibilité du projet : vous pouvez utiliser un projet Google Cloud existant ou en créer un comme cible :

  • Projet existant : vérifiez qu'il s'agit d'un projet Google Cloud valide et qu'il n'est pas déjà associé à une instance Google SecOps active.
  • Nouveau projet : configurez le projet comme décrit dans Configurer un projet Google Cloud pour Google SecOps.

• Règles d'administration : si le projet Google Cloud actuel comporte des règles d'administration actives, telles que VPC Service Controls, CMEK, FedRAMP ou d'autres cadres de conformité, contactez l'assistance Google SecOps pour obtenir de l'aide avant de lancer la migration.

• API Chronicle : activez l'API Chronicle dans le projet cible Google Cloud . Pour en savoir plus, consultez Activer l'API Chronicle.

• Authentification (BYOID uniquement) : si votre instance utilise Bring Your Own Identity (BYOID), configurez le pool d'employés dans le projet cible. Pour en savoir plus, consultez Configurer un fournisseur d'identité tiers.

• Temps d'arrêt : sachez que le processus de migration nécessite un temps d'arrêt. Pour préserver l'intégrité des données, l'instance Google SecOps et ses API sont temporairement indisponibles et renvoient une erreur HTTP 503. L'ingestion et les flux sont également concernés.

Migrer l'instance vers un projet BYOP

Le processus de migration dépend de si vous migrez une instance de production de type POC ou non.

Migrer un POC vers un BYOP de production

Si vous passez d'un environnement de production complet à un environnement de test, vous pouvez lancer la migration vous-même. Ce processus démarre automatiquement lorsque votre nouveau contrat de production commence. Votre TPOC désigné reçoit un e-mail de notification de début de contrat contenant un lien de configuration.

Suivez les instructions de Associer une instance Google SecOps à un nouvel abonnement, en particulier la sous-section Associer une instance Google SecOps de preuve de concept existante à un nouvel abonnement.

Migrer un projet non POC vers un BYOP

Pour les projets non POC, tels que les restructurations internes de l'organisation ou les transitions de fournisseur de services gérés (MSP), l'assistance Google SecOps gère la migration.

1. Envoyez une demande : ouvrez une demande d'assistance standard pour demander la migration du projet. Indiquez des informations telles que si vous disposez d'un nouvel abonnement et si vous souhaitez modifier le projet Google Cloud associé à l'instance Google SecOps.
2. Processus de migration : l'assistance Google SecOps déclenche la mise à jour. Aucune action n'est requise de votre part dans la console. Des e-mails d'état automatisés sont envoyés à votre équipe au fur et à mesure de la migration.

Pendant le processus de migration

Un bref intervalle de maintenance est nécessaire pour déplacer votre instance vers le projet cible et préserver l'intégrité des données.

• Pendant la phase critique, votre instance Google SecOps et ses API sont temporairement indisponibles et renvoient une erreur HTTP 503 (Service Unavailable). Ce comportement est normal. Le service reprend automatiquement son fonctionnement normal une fois la mise à jour du projet terminée.
• Pour en savoir plus sur l'impact sur les flux de données, consultez Impact de la modification de votre projet Cloud associé sur les flux de données.

Effectuer les actions post-migration

Une fois que vous avez reçu l'e-mail de notification de fin de migration, votre TPOC doit effectuer les actions suivantes pour restaurer toutes les fonctionnalités :

• Configurer l'autorisation : configurez toutes les règles d'autorisation IAM requises dans le projet cible. Pour en savoir plus, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM.

• Recréez des flux d'ingestion spécifiques : bien que la plupart des flux d'ingestion se poursuivent sans interruption, vous devez recréer manuellement les flux suivants dans l'environnement cible. Suivez les étapes décrites dans Actions requises pour les clients :

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• Vérifiez les autres ingestions : assurez-vous que tous les autres mécanismes d'ingestion fonctionnent comme prévu. Si vous rencontrez des problèmes, contactez l'assistance Google SecOps.

• Données BigQuery : si vous stockez des données dans BigQuery associées à l'ancien projet, contactez l'assistance Google SecOps pour vous aider à migrer ces données vers le projet cible.

• Mettez à jour les automatisations : reconfigurez les automatisations ou scripts externes qui s'appuient sur l'API Chronicle. Mettez-les à jour avec l'ID du projet cible, générez de nouvelles clés API et créez les comptes de service nécessaires dans le projet cible.

• Migrer les données du POC : si vous avez migré une instance de POC existante vers un nouvel abonnement, contactez l'assistance Google SecOps ou votre représentant Google pour obtenir de l'aide concernant la migration des données du POC après l'activation.

Dépannage

• Erreur HTTP 503 : cette erreur est attendue pendant la période de migration, comme indiqué dans la section Pendant le processus de migration. Le service devrait être rétabli automatiquement une fois l'opération terminée.
• Problèmes liés aux flux : si des flux autres que ceux listés pour la recréation manuelle ne fonctionnent pas après la migration, contactez l'assistance Google SecOps.
• Erreurs d'autorisation : vérifiez les rôles et autorisations IAM dans le projet cible.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.