העברה של מכונת Google SecOps לפרויקט BYOP
המדריך הזה עוזר לאדמינים ולמהנדסי אבטחה להעביר מופע קיים של Google SecOps, כולל הנתונים שלו, לפרויקט אחר Google Cloud באמצעות המודל Bring Your Own Project (BYOP). Google Cloud התהליך הזה עוזר לכם לאחד משאבים, לשנות את החיוב או להתאים את עצמכם לשינויים בארגון, תוך שמירה על נתוני האבטחה והגדרות המופע.
מונחים חשובים
- מודל Bring Your Own Project (BYOP): מודל שבו אתם משתמשים ב Google Cloud פרויקט משלכם כדי לארח ולנהל את מופע Google SecOps.
- הוכחת היתכנות (POC): מופע שאינו מיועד לייצור ומשמש להערכה או לבדיקה.
- איש קשר טכני (TPOC): איש הקשר שמוגדר בארגון שלכם לתקשורת טכנית בנוגע למיגרציה.
לפני שמתחילים
לפני שמתחילים בהעברה, צריך לוודא שפרויקט היעד Google Cloud עומד בדרישות הבאות:
הרשאות: כדי לבצע העברה בשירות עצמי למופע POC, צריך להיות לכם תפקיד IAM
chroniclesm.admin, שכולל את ההרשאהchroniclesm.projectLink.enable.חשבון לחיוב: חובה לקשר את מופע Google SecOps לפרויקט BYOP יעד שמשתמש באותו Google Cloud חשבון לחיוב כמו הפרויקט המקורי. מוודאים שהמינוי בחשבון לחיוב פעיל.
זמינות הפרויקט: אפשר להשתמש בפרויקט קיים או בפרויקט חדש של Google Cloud :
- פרויקט קיים: מוודאים שמדובר בפרויקט תקף Google Cloud ושאין לו קישור למכונת Google SecOps פעילה.
- פרויקט חדש: מגדירים את הפרויקט כמו שמתואר במאמר הגדרת פרויקט Google Cloud ל-Google SecOps.
מדיניות ארגונית: אם בפרויקט הנוכחי Google Cloud יש מדיניות ארגונית פעילה, כמו VPC Service Controls, CMEK, FedRAMP או מסגרות תאימות אחרות, צריך לפנות אל צוות התמיכה של Google SecOps לקבלת עזרה לפני התחלת ההעברה.
Chronicle API: מפעילים את Chronicle API בפרויקט היעד Google Cloud . מידע נוסף זמין במאמר הפעלת Chronicle API.
אימות (רק ב-BYOID): אם המופע שלכם משתמש ב-Bring Your Own Identity (BYOID), צריך להגדיר את מאגר זהויות כוח העבודה בפרויקט היעד. מידע נוסף מופיע במאמר הגדרת ספק זהויות של צד שלישי.
זמן השבתה: חשוב לדעת שתהליך ההעברה דורש זמן השבתה. כדי לשמור על תקינות הנתונים, המופע של Google SecOps וממשקי ה-API שלו לא זמינים באופן זמני ומחזירים שגיאת HTTP 503. גם תהליך ההטמעה והפידים מושפעים.
העברת המופע לפרויקט BYOP
תהליך המיגרציה משתנה בהתאם לסוג המיגרציה – מיגרציה של מופע POC או מיגרציה של מופע ייצור שאינו POC.
העברה של POC ל-BYOP בסביבת ייצור
אם אתם עוברים מסביבת POC לסביבת ייצור מלאה, אתם יכולים להתחיל את ההעברה בעצמכם. התהליך הזה מתחיל אוטומטית כשהחוזה החדש שלכם להפקת תוכן מתחיל. ה-TPOC שצוין יקבל הודעת אימייל על תחילת החוזה עם קישור להגדרה.
פועלים לפי ההוראות במאמר קישור מכונת Google SecOps למינוי חדש, במיוחד לפי ההוראות שבסעיף המשנה קישור מכונת Google SecOps קיימת מסוג POC למינוי חדש.
העברה של פרויקט שאינו POC ל-BYOP
בפרויקטים שאינם POC, כמו ארגון מחדש פנימי או מעברים של ספקי שירותים מנוהלים (MSP), צוות התמיכה של Google SecOps מנהל את המיגרציה.
- שולחים בקשה: פותחים כרטיס תמיכה רגיל כדי לבקש את העברת הפרויקט. צריך לכלול פרטים כמו אם יש לכם מינוי חדש ואם אתם רוצים לשנות את הפרויקט המקושר Google Cloud למכונת Google SecOps.
- תהליך ההעברה: צוות התמיכה של Google SecOps מפעיל את העדכון. לא צריך לבצע פעולה כלשהי במסוף. אימיילים אוטומטיים עם סטטוס נשלחים לצוות שלכם ככל שההעברה מתקדמת.
במהלך תהליך ההעברה
כדי להעביר את המכונה לפרויקט היעד ולשמור על תקינות הנתונים, נדרש חלון זמן לתחזוקה קצר.
- במהלך השלב הקריטי, המופע של Google SecOps והממשקי ה-API שלו לא זמינים באופן זמני, ומוחזרת שגיאה HTTP 503 (השירות לא זמין). זה תקין. השירות הרגיל יחזור לפעול אוטומטית כשהעדכון של הפרויקט יסתיים.
- מידע נוסף על ההשפעה על פידים של נתונים זמין במאמר ההשפעה של שינוי הפרויקט המקושר ב-Cloud על פידים של נתונים.
השלמת פעולות אחרי ההעברה
אחרי שתקבלו את האימייל על השלמת המיגרציה, איש הקשר הטכני שלכם יצטרך לבצע את הפעולות הבאות כדי לשחזר את הפונקציונליות המלאה:
הגדרת הרשאות: מגדירים את כל כללי ההרשאות הנדרשים ב-IAM בפרויקט היעד. מידע נוסף זמין במאמר הגדרת בקרת גישה לפיצ'רים באמצעות IAM.
יצירה מחדש של פידים ספציפיים להעלאת נתונים: רוב הפידים להעלאת נתונים ימשיכו לפעול ללא הפרעה, אבל תצטרכו ליצור מחדש באופן ידני את הפידים הבאים בסביבת היעד. צריך לפעול לפי השלבים שמפורטים במאמר פעולות שנדרשות מלקוחות:
אימות של קליטה אחרת: מוודאים שכל מנגנוני הקליטה האחרים פועלים כמצופה. אם נתקלים בבעיות, פונים אל התמיכה של Google SecOps.
נתוני BigQuery: אם אתם מאחסנים נתונים ב-BigQuery שמשויכים לפרויקט הישן, פנו אל התמיכה של Google SecOps כדי לקבל עזרה בהעברת הנתונים האלה לפרויקט היעד.
עדכון אוטומציות: צריך להגדיר מחדש את כל האוטומציות או הסקריפטים החיצוניים שמסתמכים על Chronicle API. צריך לעדכן אותם עם מזהה פרויקט היעד, ליצור מפתחות API חדשים וליצור את כל חשבונות השירות הנדרשים בפרויקט היעד.
העברת נתונים של POC: אם העברתם מופע POC קיים למינוי חדש, פנו לתמיכה של Google SecOps או לנציג Google שלכם כדי לקבל עזרה בהעברת נתוני ה-POC אחרי ההפעלה.
פתרון בעיות
- שגיאת HTTP 503: השגיאה הזו צפויה במהלך חלון ההעברה, כפי שצוין בקטע במהלך תהליך ההעברה. השירות אמור לחזור לפעול אוטומטית בסיום התהליך.
- בעיות בפידים: אם פידים שלא מופיעים ברשימה של פידים שאפשר ליצור מחדש באופן ידני לא פועלים אחרי ההעברה, צריך לפנות אל התמיכה של Google SecOps.
- שגיאות הרשאה: צריך לבדוק שוב את תפקידי ה-IAM וההרשאות בפרויקט היעד.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.