為 Google Security Operations 設定 VPC Service Controls

Google Cloud VPC Service Controls 可讓您設定服務範圍，防範資料遭竊。使用 VPC Service Controls 設定 Google Security Operations，讓 Google SecOps 存取服務範圍外的資源和服務。

事前準備

• 確認您在組織層級具備設定 VPC Service Controls 的必要角色。

限制

• VPC Service Controls 僅支援 Google Cloud 身分驗證和 Google SecOps 自帶身分 (BYOID) 與員工身分聯盟。
• 如要使用 VPC Service Controls，必須啟用 Google SecOps 功能 RBAC。
• VPC Service Controls 僅支援 Google SecOps chronicle.googleapis.com 和 chronicleservicemanager.googleapis.com API。您仍可繼續使用其他 Google SecOps API，但可能需要設定特殊規則才能繼續使用，且使用這些其他 API 的資料和服務不會受到 VPC Service Controls 範圍限制保護。
• VPC Service Controls 僅支援將 Google SecOps 統一資料模型 (UDM) 資料匯出至自行管理的 BigQuery 專案，或使用進階 BigQuery 匯出功能。您仍可使用其他 Google SecOps 匯出方法，但可能需要設定特殊規則才能繼續使用，且透過這些方法匯出資料時，不會受到 VPC Service Controls 範圍限制保護。如需更多資訊，請與您的 Google SecOps 代表聯絡。
• VPC Service Controls 不支援 Cloud Monitoring。不過，如要避免不符規定的存取行為，您可以撤銷查看 Cloud Monitoring 資料的權限。您可以繼續使用 Cloud Monitoring，但可能需要設定特殊規則才能繼續使用，且資料傳輸不會受到 VPC Service Controls 範圍限制保護。如需更多資訊，請洽詢 Google SecOps 代表。
• VPC Service Controls 不支援 Looker 資訊主頁。VPC Service Controls 僅支援 Google SecOps 資訊主頁。您仍可繼續使用 Looker 資訊主頁，但可能需要設定特殊規則才能繼續使用，且 Looker 資訊主頁不受 VPC Service Controls 範圍限制保護。
• VPC Service Controls 不支援舊版和第三方連結器。您需要使用第 2 版連接器，以 GOOGLE_CLOUD_STORAGE_V2 來源類型建立 Cloud Storage 動態饋給。您仍可繼續使用透過舊版和第三方連結器建立的動態饋給，但可能需要設定特殊規則才能繼續使用，且透過這類連結器建立的動態饋給不受 VPC Service Controls 邊界限制保護。
• VPC Service Controls 不支援 Google SecOps Security Validation，因此無法在 Google Cloud 環境中模擬攻擊來測試安全性。您可以繼續使用安全性驗證，但可能需要設定特殊規則才能繼續使用，且安全性驗證的使用不受 VPC Service Controls perimeter 限制保護。
• VPC Service Controls 不支援 DataTap。
• 如果您使用客戶管理的加密金鑰 (CMEK)，Google 強烈建議您將 Cloud Key Management Service 專案與 Google Cloud 專案放在同一週邊，或將金鑰放在 Google Cloud 專案內。如需將 CMEK 和 Google Cloud 專案放在不同的 VPC Service Controls 範圍內，請與 Google SecOps 代表聯絡。

設定輸入和輸出規則

根據服務範圍設定，設定輸入和輸出規則。詳情請參閱「Service perimeter 總覽」。

如果遇到 VPC Service Controls 相關問題，請使用 VPC Service Controls 違規分析工具進行偵錯和分析。詳情請參閱「在違規分析工具中診斷存取遭拒問題」。

設定 SOAR 規則

本節說明如何為平台的 SOAR 端設定 VPC Service Controls。

請為設定 Google SecOps 時指定的使用者帳戶完成下列工作： Google Cloud

1. 設定下列輸入規則：

   - ingressFrom:
       identityType: ANY_SERVICE_ACCOUNT
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: secretmanager.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   - ingressFrom:
       identities:
       - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   更改下列內容：

   • PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

2. 設定下列輸出規則：

   - egressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/soar-infra-SOAR_REGION_ID
     egressFrom:
       identities:
         - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   更改下列內容：

   • SOAR_REGION_ID：Google 根據 SOAR 區域指派的代碼，您可以向 Google SecOps 代表索取
   • PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

設定 SIEM 規則

本節說明如何為平台的 SIEM 端設定 VPC Service Controls。

為設定 Google SecOps 時指定的 Google Cloud 使用者帳戶設定下列輸出規則：

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

更改下列內容：

• PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

使用 Security Command Center 設定 Google SecOps 規則

本節說明如何透過 Security Command Center，為 Google SecOps 設定 VPC Service Controls。

請為設定 Google SecOps 時指定的使用者帳戶完成下列工作： Google Cloud

1. 設定下列輸入規則：

   - ingressFrom:
       identityType: ANY_IDENTITY
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   更改下列內容：

   • PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

2. 設定下列輸出規則：

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   更改下列內容：

   • GOOGLE_ORGANIZATION_NUMBER：您的 Google Cloud 機構編號
   • PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

設定客戶自行管理的加密金鑰規則

本節說明如何為 Google SecOps 設定 VPC Service Controls，並使用客戶自行管理的加密金鑰 (CMEK)。CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 的加密金鑰。

設定下列輸入規則：

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
        - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER  

更改下列內容：

• SECRET_MANAGER_PROJECT_NUMBER：Google 用來儲存部分擷取功能密鑰的專案，您可以向 Google SecOps 代表索取
• PROJECT_NUMBER：您 Google Cloud 自備專案 (BYOP) 的專案編號

後續步驟

• 進一步瞭解 VPC Service Controls。
• 請參閱「VPC Service Controls 支援的產品表」中的 Google Security Operations 項目。