Configurer VPC Service Controls pour Google SecOps
Ce guide explique comment configurer VPC Service Controls pour Google Security Operations.
VPC Service Controls vous permet de configurer un périmètre de service pour vous protéger contre l'exfiltration de données. Configurez Google Security Operations avec VPC Service Controls pour que Google SecOps puisse accéder aux ressources et services en dehors de son périmètre de service.
Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls. Vous pouvez également consulter l'entrée Google Security Operations dans le tableau des produits compatibles avec VPC Service Controls.
Avant de commencer
- Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.
Pour utiliser Google SecOps avec VPC Service Controls, vous ne pouvez utiliser que les fonctionnalités compatibles avec VPC Service Controls. Vous trouverez ci-dessous la liste des fonctionnalités compatibles avec VPC Service Controls :
- Google SecOps avec VPC Service Controls n'est compatible qu'avec l'authentification des identités, les fournisseurs d'identité tiers et la fédération des identités des employés. Google Cloud
- La fonctionnalité RBAC de Google SecOps doit être activée pour utiliser VPC Service Controls avec Google SecOps.
Google SecOps avec VPC Service Controls n'est compatible qu'avec les API publiques suivantes :
chronicle.googleapis.comchronicleservicemanager.googleapis.com
Pour intégrer VPC Service Controls, vous devez migrer tous les points de terminaison correspondants vers l'API
chronicle.googleapis.com.Google SecOps avec VPC Service Controls permet d'exporter les données du modèle de données unifié (UDM) Google SecOps uniquement vers un projet BigQuery autogéré ou à l'aide de l'exportation BigQuery avancée.
VPC Service Controls n'est compatible qu'avec les tableaux de bord Google SecOps.
Vous ne pouvez créer des flux Cloud Storage qu'avec le type de source
GOOGLE_CLOUD_STORAGE_V2à l'aide des connecteurs v2.Lorsque vous créez des abonnements Pub/Sub lorsque Google SecOps est limité dans un périmètre VPC Service Controls, Google SecOps vous demande d'écrire des journaux dans Cloud Storage et d'utiliser GOOGLE_CLOUD_STORAGE_V2 ou GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN au lieu de vos flux CLOUD_PUB_SUB.
Pour une instance Google SecOps utilisant des clés de chiffrement gérées par le client (CMEK), Google vous recommande vivement de conserver votre projet Cloud Key Management Service dans le même périmètre que votre projet Google Cloud associé à Google SecOps ou de conserver vos clés dans le projet Google Cloud associé à Google SecOps lui-même.
Limites
Le point de terminaison de l'API Google SecOps Chronicle
ImportPushLogsn'est pas compatible avec VPC Service Controls. Toutefois, cette limitation ne présente pas de risque d'exfiltration de données, car le point de terminaisonImportPushLogsn'est utilisé que pour transférer des données vers une instance Google SecOps, et non pour y accéder.Google SecOps avec VPC Service Controls n'est pas compatible avec les tableaux de bord Looker.
Google Cloud Pub/Sub n'est pas compatible avec la création d'un abonnement Pub/Sub qui utilise les points de terminaison de l'API Chronicle pour ingérer des journaux (entrée Pub/Sub dans le tableau des produits compatibles avec VPC Service Controls). Toutefois, les abonnements Pub/Sub existants (créés avant le déplacement du projet Google Cloud dans le périmètre VPC Service Controls) continueront d'ingérer les journaux comme prévu.
Google SecOps avec VPC Service Controls n'est pas compatible avec les anciens connecteurs de flux d'API tiers et de buckets cloud.
Configurer les règles d'entrée et de sortie
Configurez les règles d'entrée et de sortie en fonction de la configuration du périmètre de service. Pour en savoir plus, consultez Présentation des périmètres de service.
Si vous rencontrez des problèmes avec VPC Service Controls, utilisez l'analyseur de cas de non-conformité de VPC Service Controls pour les déboguer et les analyser. Pour en savoir plus, consultez Diagnostiquer un refus d'accès dans l'analyseur de cas de non-respect.
Configurer la règle d'entrée pour SOAR
Cette section explique comment configurer VPC Service Controls pour la partie SOAR de la plate-forme.
Configurez la règle d'entrée suivante pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Remplacez PROJECT_NUMBER par le numéro de votre projet Google Cloud associé à Google SecOps.
Configurer les règles pour le SIEM
Cette section explique comment configurer VPC Service Controls pour le côté SIEM de la plate-forme.
Règle d'Ingress pour Advanced BigQuery Export
Si vous utilisez la fonctionnalité Advanced BigQuery Export, configurez la règle suivante pour le compte d'utilisateur Google Cloud que vous avez spécifié lorsque vous avez configuré Google SecOps :
- ingressFrom:
identities:
- serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
- serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Remplacez PROJECT_NUMBER par le numéro de votre projet Google Cloud associé à Google SecOps.
Règle d'Ingress pour les tables de données
Si vous utilisez des tables de données, configurez la règle suivante pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
Remplacez PROJECT_NUMBER par le numéro de votre projet Google Cloud associé à Google SecOps.
Configurer les règles pour Google SecOps avec Security Command Center
Cette section explique comment configurer VPC Service Controls pour Google SecOps avec Security Command Center.
Les comptes de service des règles suivantes ne sont créés que lors du provisionnement de Google SecOps. Vous devez donc configurer les règles Security Command Center après le provisionnement, mais avant de commencer à utiliser Security Command Center.
Effectuez les tâches suivantes pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :
Configurez la règle d'entrée suivante :
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERRemplacez les éléments suivants :
GOOGLE_ORGANIZATION_NUMBER: numéro de votre organisation Google CloudPROJECT_NUMBER: numéro de votre projet Google SecOps associé Google Cloud
Configurez la règle de sortie suivante :
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBERRemplacez les éléments suivants :
GOOGLE_ORGANIZATION_NUMBER: numéro de votre organisation Google CloudPROJECT_NUMBER: numéro de votre projet Google SecOps associé Google Cloud
Configurer la règle d'entrée pour les clés de chiffrement gérées par le client (CMEK)
Cette section explique comment configurer VPC Service Controls pour Google SecOps avec des clés de chiffrement gérées par le client (CMEK). Les CMEK sont des clés de chiffrement dont vous êtes propriétaire, que vous gérez et que vous stockez dans Cloud Key Management Service.
Configurez la règle d'entrée suivante :
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
Remplacez les éléments suivants :
SECRET_MANAGER_PROJECT_NUMBER: projet que Google utilise pour stocker les secrets de certaines fonctionnalités d'ingestion. Vous pouvez l'obtenir auprès de votre représentant Google SecOps.CMEK_PROJECT_NUMBER: numéro du projet stockant les CMEK.