VPC Service Controls für Google SecOps konfigurieren

In dieser Anleitung wird beschrieben, wie Sie VPC Service Controls für Google Security Operations konfigurieren.

Mit VPC Service Controls können Sie einen Dienstperimeter einrichten, um sich vor Daten-Exfiltration zu schützen. Konfigurieren Sie Google Security Operations mit VPC Service Controls, damit Google SecOps auf Ressourcen und Dienste außerhalb des Dienstperimeters zugreifen kann.

Weitere Informationen zu VPC Service Controls finden Sie unter Überblick über VPC Service Controls. Sie finden den Eintrag zu Google Security Operations auch in der Tabelle der von VPC Service Controls unterstützten Produkte.

Hinweis

• Sie benötigen die erforderlichen Rollen, um VPC Service Controls zu konfigurieren auf Organisationsebene.

• Wenn Sie Google SecOps mit VPC Service Controls verwenden möchten, können Sie nur VPC Service Controls-konforme Funktionen verwenden. Die folgenden Funktionen sind VPC Service Controls-konform:

  • Google SecOps mit VPC Service Controls unterstützt nur die Identitätsauthentifizierung, Identitätsanbieter von Drittanbietern und die Mitarbeiteridentitätsföderation. Google Cloud
  • Die RBAC-Funktion von Google SecOps muss aktiviert sein, um VPC Service Controls mit Google SecOps zu verwenden.

  • Google SecOps mit VPC Service Controls unterstützt nur die folgenden öffentlich zugänglichen APIs:

    • chronicle.googleapis.com
    • chronicleservicemanager.googleapis.com

    Wenn Sie VPC Service Controls verwenden möchten, müssen Sie alle entsprechenden Endpunkte zur chronicle.googleapis.com-API migrieren.

  • Google SecOps mit VPC Service Controls unterstützt den Export von Daten des Unified Data Model (UDM) von Google SecOps nur in ein selbstverwaltetes BigQuery-Projekt oder über den erweiterten BigQuery-Export.

  • VPC Service Controls unterstützt nur Google SecOps Dashboards.

  • Sie können Cloud Storage-Feeds nur mit dem GOOGLE_CLOUD_STORAGE_V2 Quelltyp und Connectors der Version 2 erstellen.

  • Wenn Sie neue Pub/Sub-Abos erstellen, während Google SecOps innerhalb eines VPC Service Controls-Perimeters eingeschränkt ist, müssen Sie Logs in Cloud Storage schreiben und GOOGLE_CLOUD_STORAGE_V2 oder GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN anstelle Ihrer CLOUD_PUB_SUB-Feeds verwenden.

• Für eine Google SecOps-Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) empfiehlt Google dringend, dass Sie entweder Ihr Cloud Key Management Service-Projekt im selben Perimeter wie Ihr mit Google SecOps verknüpftes Google Cloud Projekt belassen oder Ihre Schlüssel im mit Google SecOps verknüpften Google Cloud Projekt selbst speichern.

Beschränkungen

• Der Google SecOps Chronicle API-Endpunkt ImportPushLogs unterstützt VPC Service Controls nicht. Diese Einschränkung stellt jedoch kein Risiko für die Daten-Exfiltration dar, da der Endpunkt ImportPushLogs nur zum Übertragen von Daten an eine Google SecOps-Instanz und nicht für den Zugriff auf Daten verwendet wird.

• Google SecOps mit VPC Service Controls unterstützt keine Looker-Dashboards.

• Google Cloud Mit Pub/Sub kann kein neues Pub/Sub-Abo erstellt werden, das die Chronicle API-Endpunkte zum Erfassen von Logs verwendet (Pub/Sub-Eintrag in der Tabelle der von VPC Service Controls unterstützten Produkte). Vorhandene Pub/Sub-Abos (die vor dem Verschieben des Projekts in den VPC Service Controls-Perimeter erstellt wurden) erfassen jedoch weiterhin Logs wie erwartet. Google Cloud

• Google SecOps mit VPC Service Controls unterstützt keine Legacy-Cloud-Bucket- und API-Feed-Connectors von Drittanbietern.

Regeln für ein- und ausgehenden Traffic konfigurieren

Konfigurieren Sie Regeln für ein- und ausgehenden Traffic basierend auf der Konfiguration des Dienstperimeters. Weitere Informationen finden Sie in der Übersicht über Dienstperimeter.

Wenn Probleme mit VPC Service Controls auftreten, verwenden Sie die VPC Service Controls-Verstoßanalyse, um das Problem zu beheben und zu analysieren. Weitere Informationen finden Sie unter Zugriff verweigert in der Verstoßanalyse diagnostizieren.

Regeln für SOAR konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SOAR-Seite der Plattform konfigurieren.

Konfigurieren Sie die folgenden Regeln für eingehenden Traffic für das Google Cloud Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die Nummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.

Regel für SIEM konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SIEM-Seite der Plattform konfigurieren.

Wenn Sie Datentabellen verwenden, konfigurieren Sie die folgende Regel für das Google Cloud Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die Nummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.

Regeln für Google SecOps mit Security Command Center konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit Security Command Center konfigurieren.

Die Dienstkonten in den folgenden Regeln werden nur während der Google SecOps-Bereitstellung erstellt. Daher sollten Sie die Security Command Center-Regeln nach der Bereitstellung, aber vor der Verwendung von Security Command Center konfigurieren.

Führen Sie die folgenden Aufgaben für das Google Cloud Nutzerkonto aus, das Sie beim Einrichten von Google SecOps angegeben haben:

1. Konfigurieren Sie die folgende Regel für eingehenden Traffic:

   - ingressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: chronicle.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: orgpolicy.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: serviceusage.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: dns.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ersetzen Sie Folgendes:

   • GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud Organisationsnummer
   • PROJECT_NUMBER: Ihre mit Google SecOps verknüpfte Google Cloud Projektnummer

2. Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ersetzen Sie Folgendes:

   • GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud Organisationsnummer
   • PROJECT_NUMBER: Ihre mit Google SecOps verknüpfte Google Cloud Projektnummer

Regel für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) konfigurieren. CMEKs sind Verschlüsselungsschlüssel, die Ihnen gehören, von Ihnen verwaltet und in Cloud Key Management Service gespeichert werden.

Konfigurieren Sie die folgende Regel für eingehenden Traffic:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Ersetzen Sie Folgendes:

• SECRET_MANAGER_PROJECT_NUMBER: Das Projekt, in dem Google Secrets für einige Erfassungsfunktionen speichert. Sie erhalten diese Nummer von Ihrem Google SecOps-Ansprechpartner.
• CMEK_PROJECT_NUMBER: Die Projektnummer, unter der die CMEKs gespeichert sind