Memigrasikan instance Google SecOps ke project BYOP

Panduan ini membantu administrator dan engineer keamanan untuk memigrasikan instance Google SecOps yang ada, termasuk datanya, ke project lain menggunakan model Bring Your Own Project (BYOP). Google Cloud Google Cloud Proses ini membantu Anda menggabungkan resource, menyelaraskan kembali penagihan, atau beradaptasi dengan perubahan organisasi sambil mempertahankan data keamanan dan konfigurasi instance Anda.

Terminologi utama

• Bawa Project Anda Sendiri (BYOP): Model tempat Anda menggunakan project Google Cloud Anda sendiri untuk menghosting dan mengelola instance Google SecOps.
• Bukti Konsep (POC): Instance non-produksi yang digunakan untuk evaluasi atau pengujian.
• Kontak Teknis (TPOC): Orang yang ditunjuk sebagai kontak di organisasi Anda untuk komunikasi teknis terkait migrasi.

Sebelum memulai

Sebelum memulai migrasi, pastikan project Google Cloud target memenuhi persyaratan berikut:

• Izin: Untuk melakukan migrasi layanan mandiri untuk instance POC, Anda harus memiliki peran IAM chroniclesm.admin, yang mencakup izin chroniclesm.projectLink.enable.

• Akun penagihan: Anda harus menautkan instance Google SecOps ke project BYOP target yang menggunakan Google Cloud akun penagihan yang sama dengan project asli. Pastikan langganan akun penagihan aktif.

  • Menemukan ID akun Penagihan Cloud
  • Mengelola akun Penagihan Cloud
  • Konfirmasi status akun Penagihan Cloud yang tertaut

• Ketersediaan project: Anda dapat menggunakan project yang sudah ada atau project baru Google Cloud sebagai target:

  • Project yang ada: Pastikan project Google Cloud valid dan belum ditautkan ke instance Google SecOps yang aktif.
  • Project baru: Konfigurasi project seperti yang dijelaskan dalam Mengonfigurasi project untuk Google SecOps. Google Cloud

• Kebijakan organisasi: Jika project saat ini memiliki kebijakan organisasi yang aktif, seperti VPC Service Controls, CMEK, FedRAMP, atau framework kepatuhan lainnya, hubungi Dukungan SecOps Google untuk mendapatkan bantuan sebelum memulai migrasi. Google Cloud

• Chronicle API: Aktifkan Chronicle API di project Google Cloud target. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Chronicle API.

• Autentikasi (khusus BYOID): Jika instance Anda menggunakan Bring Your Own Identity (BYOID), konfigurasi workforce pool di project target. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi penyedia identitas pihak ketiga.

• Periode nonaktif: Perhatikan bahwa proses migrasi memerlukan periode nonaktif. Untuk menjaga integritas data, instance Google SecOps dan API-nya tidak tersedia untuk sementara dan menampilkan error HTTP 503. Penyerapan dan feed juga terpengaruh.

Memigrasikan instance ke project BYOP

Proses migrasi bergantung pada apakah Anda memigrasikan instance POC atau instance produksi non-POC.

Memigrasikan POC ke BYOP produksi

Jika Anda berpindah dari POC ke lingkungan produksi penuh, Anda dapat memulai migrasi sendiri. Proses ini dimulai secara otomatis saat kontrak produksi baru Anda dimulai. TPOC yang Anda tunjuk akan menerima email notifikasi mulai kontrak dengan link penyiapan.

Ikuti petunjuk di Menautkan instance Google SecOps ke langganan baru, khususnya subbagian Untuk menautkan instance Google SecOps POC yang ada ke langganan baru.

Memigrasikan project non-POC ke BYOP

Untuk project non-POC, seperti untuk restrukturisasi organisasi internal atau transisi Penyedia Layanan Terkelola (MSP), Dukungan SecOps Google mengelola migrasi.

1. Mulai permintaan: Buka tiket dukungan standar untuk meminta migrasi project. Sertakan detail seperti apakah Anda memiliki langganan baru dan ingin mengubah project yang ditautkan Google Cloud untuk instance Google SecOps.
2. Proses migrasi: Dukungan Google SecOps memicu update. Anda tidak perlu melakukan tindakan apa pun di konsol. Email status otomatis dikirim ke tim Anda saat migrasi berlangsung.

Selama proses migrasi

Periode pemeliharaan singkat diperlukan untuk memindahkan instance Anda ke project target dan menjaga integritas data.

• Selama fase kritis, instance Google SecOps dan API-nya tidak tersedia untuk sementara dan menampilkan error HTTP 503 (Layanan Tidak Tersedia). Hal ini sudah diperkirakan. Layanan normal dilanjutkan secara otomatis saat update project selesai.
• Untuk mengetahui informasi selengkapnya tentang pengaruhnya terhadap feed data, lihat Dampak perubahan Project Cloud tertaut pada feed data.

Menyelesaikan tindakan pascamigrasi

Setelah Anda menerima email notifikasi penyelesaian migrasi, TPOC Anda harus menyelesaikan tindakan berikut untuk memulihkan fungsi penuh:

• Konfigurasi otorisasi: Siapkan semua aturan otorisasi IAM yang diperlukan di project target. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM.

• Buat ulang feed penyerapan tertentu: Meskipun sebagian besar feed penyerapan berlanjut tanpa gangguan, Anda harus membuat ulang feed berikut secara manual di lingkungan target. Ikuti langkah-langkah di Tindakan yang diperlukan untuk pelanggan:

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• Verifikasi penyerapan lainnya: Pastikan semua mekanisme penyerapan lainnya berfungsi seperti yang diharapkan. Hubungi Dukungan SecOps Google jika Anda mengalami masalah.

• Data BigQuery: Jika Anda menyimpan data di BigQuery yang terkait dengan project lama, hubungi Dukungan SecOps Google untuk membantu memigrasikan data ini ke project target.

• Perbarui otomatisasi: Konfigurasi ulang otomatisasi atau skrip eksternal yang mengandalkan Chronicle API. Perbarui dengan ID project target, buat kunci API baru, dan buat akun layanan yang diperlukan di project target.

• Memigrasikan data POC: Jika Anda memigrasikan instance POC yang ada ke langganan baru, hubungi Dukungan SecOps Google atau perwakilan Google Anda untuk mendapatkan bantuan terkait migrasi data POC setelah aktivasi.

Pemecahan masalah

• Error HTTP 503: Error ini diperkirakan terjadi selama periode migrasi, seperti yang disebutkan di bagian Selama proses migrasi. Layanan akan dipulihkan secara otomatis setelah selesai.
• Masalah feed: Jika feed selain yang tercantum untuk pembuatan ulang manual tidak berfungsi setelah migrasi, hubungi Dukungan Google SecOps.
• Error izin: Periksa kembali peran dan izin IAM di project target.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.