为 Google Security Operations 配置 VPC Service Controls
支持的平台:
Google SecOps
Google Cloud 借助 VPC Service Controls,您可以设置服务边界以防范数据渗漏。使用 VPC Service Controls 配置 Google Security Operations,以便 Google SecOps 可以访问其服务边界之外的资源和服务。
准备工作
- 确保您拥有在组织级配置 VPC Service Controls 所需的角色。
限制
- VPC Service Controls 仅支持 Google Cloud 身份验证以及 Google SecOps 自带身份 (BYOID) 和员工身份联合。
- 必须启用 Google SecOps RBAC 功能才能使用 VPC Service Controls。
- VPC Service Controls 仅支持 Google SecOps
chronicle.googleapis.com和chronicleservicemanager.googleapis.comAPI。您可以继续使用其他 Google SecOps API,但可能需要配置特殊规则才能继续使用这些 API,并且使用这些其他 API 的数据和服务不受 VPC Service Controls 边界限制的保护。 - VPC Service Controls 仅支持将 Google SecOps 统一数据模型 (UDM) 数据导出到自行管理的 BigQuery 项目或使用高级 BigQuery 导出。您可以继续使用其他 Google SecOps 导出方法,但可能需要配置特殊规则才能继续使用这些方法,并且使用这些方法导出数据不受 VPC Service Controls 边界限制的保护。如需了解详情,请与您的 Google SecOps 代表联系。
- VPC Service Controls 不支持 Cloud Monitoring。不过,为防止不合规的访问,您可以撤消查看 Cloud Monitoring 数据的权限。您可以继续使用 Cloud Monitoring,但可能需要配置特殊规则才能继续使用,并且数据传输不受 VPC Service Controls 边界限制的保护。如需了解详情,请与您的 Google SecOps 代表联系。
- VPC Service Controls 不支持 Looker 信息中心。VPC Service Controls 仅支持 Google SecOps 信息中心。您可以继续使用 Looker 信息中心,但可能需要配置特殊规则才能继续使用,并且 Looker 信息中心不受 VPC Service Controls 边界限制的保护。
- VPC Service Controls 不支持旧版连接器和第三方连接器。您需要使用 v2 连接器创建来源类型为
GOOGLE_CLOUD_STORAGE_V2的 Cloud Storage Feed。您可以继续使用通过旧版连接器和第三方连接器创建的 Feed,但可能需要配置特殊规则才能继续使用这些 Feed,并且通过这些连接器创建的 Feed 的使用不受 VPC Service Controls 边界限制的保护。 - VPC Service Controls 不支持 Google SecOps 安全验证,因此您无法通过在 Google Cloud 环境中模拟攻击来测试安全性。您可以继续使用安全验证,但可能需要配置特殊规则才能继续使用,并且安全验证的使用不受 VPC Service Controls 边界限制的保护。
- VPC Service Controls 不支持 DataTap。
- 如果您使用客户管理的加密密钥 (CMEK),Google 强烈建议您将 Cloud Key Management Service 项目与 Google Cloud 项目保持在同一边界内,或者将密钥保留在 Google Cloud 项目本身内。如果您需要将 CMEK 和 Google Cloud 项目置于不同的 VPC Service Controls 边界内,请与您的 Google SecOps 代表联系。
配置入站和出站规则
根据服务边界配置,配置入站和出站规则。如需了解详情,请参阅服务边界概览。
如果您遇到 VPC Service Controls 问题,请使用 VPC Service Controls 违规分析器来调试和分析问题。如需了解详情,请参阅在违规分析器中诊断访问遭拒问题。
为 SOAR 配置规则
本部分介绍如何为平台的 SOAR 端配置 VPC Service Controls。
针对您在设置 Google SecOps 时指定的 Google Cloud 用户账号完成以下任务:
配置以下入站规则:
- ingressFrom: identityType: ANY_SERVICE_ACCOUNT sources: - accessLevel: "*" ingressTo: operations: - serviceName: secretmanager.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER - ingressFrom: identities: - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: binaryauthorization.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER替换以下内容:
PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
配置以下出站规则:
- egressTo: operations: - serviceName: binaryauthorization.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" resources: - projects/soar-infra-SOAR_REGION_ID egressFrom: identities: - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER替换以下内容:
SOAR_REGION_ID:Google 根据 SOAR 区域分配的代码,您可以从 Google SecOps 代表处获取此代码PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
为 SIEM 配置规则
本部分介绍如何为平台的 SIEM 端配置 VPC Service Controls。
为设置 Google SecOps 时指定的 Google Cloud 用户账号配置以下出站规则:
- egressTo:
operations:
- serviceName: pubsub.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/389186463911
egressFrom:
identities:
- user: "*"
sources:
- resource: PROJECT_NUMBER
替换以下内容:
PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
使用 Security Command Center 为 Google SecOps 配置规则
本部分介绍了如何通过 Security Command Center 为 Google SecOps 配置 VPC Service Controls。
针对您在设置 Google SecOps 时指定的 Google Cloud 用户账号完成以下任务:
配置以下入站规则:
- ingressFrom: identityType: ANY_IDENTITY sources: - accessLevel: "*" ingressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER替换以下内容:
PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
配置以下出站规则:
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER替换以下内容:
GOOGLE_ORGANIZATION_NUMBER:您的 Google Cloud 组织编号PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
为客户管理的加密密钥配置规则
本部分介绍了如何为 Google SecOps 配置 VPC Service Controls,并使用客户管理的加密密钥 (CMEK)。CMEK 是您拥有、管理和存储在 Cloud Key Management Service 中的加密密钥。
配置以下入站规则:
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
替换以下内容:
SECRET_MANAGER_PROJECT_NUMBER:Google 用于存储某些数据注入功能的密文的项目,您可以从 Google SecOps 代表处获取该项目PROJECT_NUMBER:您的 Google Cloud 自带项目 (BYOP) 项目编号
后续步骤
- 详细了解 VPC Service Controls。
- 请参阅 VPC Service Controls 支持的产品表中的 Google Security Operations 条目。