Migrar uma instância do Google SecOps para um projeto BYOP

Este guia ajuda administradores e engenheiros de segurança a migrar uma instância do Google SecOps, incluindo os dados dela, para um projeto Google Cloud diferente usando o modelo BYOP (Bring Your Own Project). Google Cloud Esse processo ajuda a consolidar recursos, realinhar o faturamento ou se adaptar a mudanças organizacionais, preservando os dados de segurança e a configuração da instância.

Terminologia importante

• Traga seu próprio projeto (BYOP): um modelo em que você usa seu próprio projeto Google Cloud para hospedar e gerenciar a instância do Google SecOps.
• Prova de conceito (PoC): uma instância não relacionada à produção usada para avaliação ou teste.
• Ponto de contato técnico (TPOC): a pessoa de contato designada na sua organização para comunicações técnicas sobre a migração.

Antes de começar

Antes de iniciar a migração, confirme se o projeto de destino Google Cloud atende aos seguintes requisitos:

• Permissões: para realizar uma migração de autoatendimento de uma instância de POC, você precisa ter o papel do IAM chroniclesm.admin, que inclui a permissão chroniclesm.projectLink.enable.

• Conta de faturamento: você precisa vincular a instância do Google SecOps a um projeto BYOP de destino que use a mesma Google Cloud conta de faturamento do projeto original. Confirme se a assinatura da conta de faturamento está ativa.

  • Encontrar um ID da conta do Cloud Billing
  • Gerenciar sua conta do Cloud Billing
  • Confirmar o status da conta do Cloud Billing vinculada

• Disponibilidade do projeto: você pode usar um projeto do Google Cloud existente ou novo como destino:

  • Projeto atual: confirme se é um projeto Google Cloud válido e se ainda não está vinculado a uma instância ativa do Google SecOps.
  • Novo projeto: configure o projeto conforme descrito em Configurar um projeto do Google Cloud para o Google SecOps.

• Políticas da organização: se o projeto Google Cloud atual tiver políticas da organização ativas, como VPC Service Controls, CMEK, FedRAMP ou outras estruturas de compliance, entre em contato com o suporte do Google SecOps para receber ajuda antes de iniciar a migração.

• API Chronicle: ative a API Chronicle no projeto Google Cloud de destino. Para mais informações, consulte Ativar a API Chronicle.

• Autenticação (somente BYOID): se a instância usa o recurso Bring Your Own Identity (BYOID), configure o pool de força de trabalho no projeto de destino. Para mais informações, consulte Configurar um provedor de identidade de terceiros.

• Tempo de inatividade: o processo de migração requer tempo de inatividade. Para manter a integridade dos dados, a instância do Google SecOps e as APIs dela ficam temporariamente indisponíveis e retornam um erro HTTP 503. A ingestão e os feeds também são afetados.

Migrar a instância para um projeto BYOP

O processo de migração depende se você está migrando uma instância de prova de conceito ou uma instância de produção que não é de prova de conceito.

Migrar uma PoC para um BYOP de produção

Se você estiver migrando de uma POC para um ambiente de produção completo, poderá iniciar a migração por conta própria. Esse processo começa automaticamente quando seu novo contrato de produção é iniciado. O TPOC designado recebe um e-mail de notificação de início do contrato com um link de configuração.

Siga as instruções em Vincular uma instância do Google SecOps a uma nova assinatura, especificamente a subseção Para vincular uma instância do Google SecOps de POC a uma nova assinatura.

Migrar um projeto não POC para um BYOP

Para projetos que não são de POC, como reestruturações organizacionais internas ou transições de provedores de serviços gerenciados (MSPs, na sigla em inglês), o suporte do Google SecOps gerencia a migração.

1. Inicie a solicitação: abra um tíquete de suporte padrão para pedir a migração do projeto. Inclua detalhes como se você tem uma nova assinatura e quer mudar o projeto Google Cloud vinculado à instância do Google SecOps.
2. Processo de migração: o suporte do Google SecOps aciona a atualização. Não é preciso fazer nada no console. E-mails automáticos de status são enviados à sua equipe à medida que a migração avança.

Durante o processo de migração

É necessária uma breve janela de manutenção para mover a instância para o projeto de destino e manter a integridade de dados.

• Durante a fase crítica, sua instância do Google SecOps e as APIs ficam temporariamente indisponíveis e retornam um erro HTTP 503 (Serviço indisponível). Isso já é esperado. O serviço normal é retomado automaticamente quando a atualização do projeto é concluída.
• Para mais informações sobre como os feeds de dados são afetados, consulte Impacto da mudança do projeto do Google Cloud vinculado nos feeds de dados.

Concluir as ações pós-migração

Depois de receber o e-mail de notificação de conclusão da migração, seu TPOC precisa concluir as seguintes ações para restaurar a funcionalidade completa:

• Configure a autorização: defina todas as regras de autorização do IAM necessárias no projeto de destino. Para mais informações, consulte Configurar o controle de acesso a recursos usando o IAM.

• Recrie feeds de ingestão específicos: Embora a maioria dos feeds de ingestão continue sem interrupção, é necessário recriar manualmente os seguintes feeds no ambiente de destino. Siga as etapas em Ações necessárias para clientes:

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

• Verifique outras ingestões: confirme se todos os outros mecanismos de ingestão estão funcionando como esperado. Entre em contato com o suporte do Google SecOps se tiver problemas.

• Dados do BigQuery: se você armazenar dados no BigQuery associados ao projeto antigo, entre em contato com o suporte do Google SecOps para migrar esses dados para o projeto de destino.

• Atualize as automações: reconfigure todas as automações ou scripts externos que dependem da API Chronicle. Atualize-os com o ID do projeto de destino, gere novas chaves de API e crie as contas de serviço necessárias no projeto de destino.

• Migrar dados de POC: se você migrou uma instância de POC para uma nova assinatura, entre em contato com o suporte do Google SecOps ou com seu representante do Google para receber ajuda na migração dos dados de POC após a ativação.

Solução de problemas

• Erro HTTP 503: esse erro é esperado durante a janela de migração, conforme mencionado na seção Durante o processo de migração. O serviço será restaurado automaticamente após a conclusão.
• Problemas com feeds: se feeds que não sejam os listados para recriação manual não estiverem funcionando após a migração, entre em contato com o suporte do Google SecOps.
• Erros de permissão: verifique novamente os papéis e as permissões do IAM no projeto de destino.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.