Esegui la migrazione di un'istanza Google SecOps a un progetto BYOP

Questa guida aiuta gli amministratori e gli ingegneri della sicurezza a eseguire la migrazione di un'istanza Google SecOps esistente, inclusi i relativi dati, a un progetto Google Cloud diverso utilizzando il modello Bring Your Own Project (BYOP). Google Cloud Questo processo ti aiuta a consolidare le risorse, riallineare la fatturazione o adattarti ai cambiamenti organizzativi preservando i dati di sicurezza e la configurazione dell'istanza.

Terminologia chiave

• Bring Your Own Project (BYOP): un modello in cui utilizzi il tuo progetto Google Cloud per ospitare e gestire l'istanza Google SecOps.
• Proof of concept (POC): un'istanza non di produzione utilizzata per la valutazione o i test.
• Punto di contatto tecnico (TPOC): la persona di contatto designata nella tua organizzazione per le comunicazioni tecniche relative alla migrazione.

Prima di iniziare

Prima di iniziare la migrazione, verifica che il progetto Google Cloud di destinazione soddisfi i seguenti requisiti:

• Autorizzazioni: per eseguire una migrazione self-service per un'istanza POC, devi disporre del ruolo IAM chroniclesm.admin, che include l'autorizzazione chroniclesm.projectLink.enable.

• Account di fatturazione: devi collegare l'istanza Google SecOps a un progetto BYOP di destinazione che utilizza lo stesso account di fatturazione Google Cloud del progetto originale. Verifica che l'abbonamento all'account di fatturazione sia attivo.

  • Trovare un ID account di fatturazione Cloud
  • Gestire l'account di fatturazione Cloud
  • Conferma lo stato dell'account di fatturazione Cloud collegato

• Disponibilità del progetto: puoi utilizzare un progetto Google Cloud esistente o nuovo come target:

  • Progetto esistente: conferma che sia un progetto Google Cloud valido e non sia già collegato a un'istanza Google SecOps attiva.
  • Nuovo progetto: configura il progetto come descritto in Configurare un progetto Google Cloud per Google SecOps.

• Policy dell'organizzazione: se il progetto Google Cloud corrente ha policy dell'organizzazione attive, come Controlli di servizio VPC, CMEK, FedRAMP o altri framework di conformità, contatta l'assistenza Google SecOps per ricevere assistenza prima di avviare la migrazione.

• API Chronicle: abilita l'API Chronicle nel progetto Google Cloud di destinazione. Per saperne di più, consulta Attivare l'API Chronicle.

• Autenticazione (solo BYOID): se la tua istanza utilizza Bring Your Own Identity (BYOID), configura il pool di forza lavoro nel progetto di destinazione. Per saperne di più, consulta Configurare un provider di identità di terze parti.

• Tempi di inattività: tieni presente che il processo di migrazione richiede tempi di inattività. Per mantenere l'integrità dei dati, l'istanza Google SecOps e le relative API non sono temporaneamente disponibili e restituiscono un errore HTTP 503. Anche l'importazione e i feed sono interessati.

Esegui la migrazione dell'istanza a un progetto BYOP

La procedura di migrazione dipende dalla migrazione di un'istanza POC o di un'istanza di produzione non POC.

Migrare un POC a un BYOP di produzione

Se stai passando da una POC a un ambiente di produzione completo, puoi avviare la migrazione autonomamente. Questa procedura inizia automaticamente all'inizio del nuovo contratto di produzione. Il TPOC designato riceve un'email di notifica dell'inizio del contratto con un link di configurazione.

Segui le istruzioni riportate in Collegare un'istanza Google SecOps a un nuovo abbonamento, in particolare la sottosezione Per collegare un'istanza Google SecOps POC esistente a un nuovo abbonamento.

Esegui la migrazione di un progetto non POC a un progetto BYOP

Per i progetti non POC, ad esempio per la ristrutturazione interna dell'organizzazione o le transizioni del fornitore di servizi gestiti (MSP), la migrazione viene gestita dall'assistenza Google SecOps.

1. Avvia la richiesta: apri un ticket di assistenza standard per richiedere la migrazione del progetto. Includi dettagli come se hai un nuovo abbonamento e vuoi modificare il progetto Google Cloud collegato per l'istanza Google SecOps.
2. Procedura di migrazione: l'aggiornamento viene attivato dall'assistenza Google SecOps. Non è richiesta alcuna azione da parte tua nella console. Man mano che la migrazione procede, vengono inviate email di stato automatiche al tuo team.

Durante il processo di migrazione

È necessario un breve periodo di manutenzione per spostare l'istanza nel progetto di destinazione e mantenere l'integrità dei dati.

• Durante la fase critica, la tua istanza Google SecOps e le relative API non sono temporaneamente disponibili e restituiscono un errore HTTP 503 (Servizio non disponibile). È previsto. Il servizio normale riprende automaticamente al termine dell'aggiornamento del progetto.
• Per saperne di più su come vengono interessati i feed di dati, consulta Impatto della modifica del progetto Cloud collegato sui feed di dati.

Completare le azioni post-migrazione

Dopo aver ricevuto l'email di notifica del completamento della migrazione, il tuo TPOC deve completare le seguenti azioni per ripristinare la piena funzionalità:

• Configura l'autorizzazione: configura tutte le regole di autorizzazione IAM richieste nel progetto di destinazione. Per saperne di più, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM.

• Ricrea feed di importazione specifici: Sebbene la maggior parte dei feed di importazione continui senza interruzioni, devi ricreare manualmente i seguenti feed nell'ambiente di destinazione. Segui i passaggi descritti in Azioni richieste per i clienti:

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• Verifica di altre importazioni: conferma che tutti gli altri meccanismi di importazione funzionino come previsto. Se riscontri problemi, contatta l'assistenza Google SecOps.

• Dati BigQuery: se memorizzi dati in BigQuery associati al progetto precedente, contatta l'assistenza Google SecOps per eseguire la migrazione di questi dati al progetto di destinazione.

• Aggiorna le automazioni: riconfigura eventuali automazioni o script esterni che si basano sull'API Chronicle. Aggiornali con l'ID progetto di destinazione, genera nuove chiavi API e crea tutti i service account necessari nel progetto di destinazione.

• Esegui la migrazione dei dati POC: se hai eseguito la migrazione di un'istanza POC esistente a un nuovo abbonamento, contatta l'assistenza Google SecOps o il tuo rappresentante di Google per ricevere assistenza per la migrazione dei dati POC dopo l'attivazione.

Risoluzione dei problemi

• Errore HTTP 503: questo errore è previsto durante la finestra di migrazione, come indicato nella sezione Durante il processo di migrazione. Il servizio dovrebbe essere ripristinato automaticamente al termine.
• Problemi con i feed: se i feed diversi da quelli elencati per la ricreazione manuale non funzionano dopo la migrazione, contatta l'assistenza Google SecOps.
• Errori di autorizzazione: controlla di nuovo i ruoli e le autorizzazioni IAM nel progetto di destinazione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.