Configurar o VPC Service Controls para o Google Security Operations

Google Cloud O VPC Service Controls permite configurar um perímetro de serviço para evitar a exfiltração de dados. Configure o Google Security Operations com o VPC Service Controls para que o Google SecOps possa acessar recursos e serviços fora do perímetro de serviço.

Antes de começar

• Verifique se você tem os papéis necessários para configurar o VPC Service Controls no nível da organização.

Limitações

• O VPC Service Controls é compatível apenas com a autenticação de identidade Google Cloud e o Bring Your Own Identity (BYOID) do Google SecOps e a federação de identidade de colaboradores.
• O recurso RBAC do Google SecOps precisa estar ativado para usar o VPC Service Controls.
• O VPC Service Controls é compatível apenas com as APIs chronicle.googleapis.com e chronicleservicemanager.googleapis.com do Google SecOps. Você pode continuar usando outras APIs do Google SecOps, mas talvez seja necessário configurar regras especiais para continuar usando-as. Além disso, os dados e serviços que usam essas outras APIs não são protegidos pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls só aceita a exportação de dados do modelo unificado de dados (UDM, na sigla em inglês) do Google SecOps para um projeto autogerenciado do BigQuery ou usando a exportação avançada do BigQuery. Você pode continuar usando outros métodos de exportação do Google SecOps, mas talvez seja necessário configurar regras especiais para continuar usando esses métodos. Além disso, a exportação de dados usando esses métodos não é protegida pelas restrições de perímetro do VPC Service Controls. Para mais informações, entre em contato com seu representante do Google SecOps.
• O VPC Service Controls não é compatível com o Cloud Monitoring. No entanto, para evitar o acesso sem compliance, é possível revogar as permissões de visualização dos dados do Cloud Monitoring. Você pode continuar usando o Cloud Monitoring, mas talvez seja necessário configurar regras especiais para continuar usando o serviço, e a transmissão de dados não é protegida pelas restrições de perímetro do VPC Service Controls. Para mais informações, entre em contato com seu representante do Google SecOps.
• O VPC Service Controls não é compatível com painéis do Looker. O VPC Service Controls é compatível apenas com os painéis do Google SecOps. Você pode continuar usando os painéis do Looker, mas talvez seja necessário configurar regras especiais para isso. Além disso, os painéis do Looker não são protegidos pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com feeds do Xenon. É necessário criar os feeds do Cloud Storage com o tipo de fonte GOOGLE_CLOUD_STORAGE_V2. Você pode continuar usando feeds do Xenon, mas talvez seja necessário configurar regras especiais para isso. Além disso, o uso de feeds do Xenon não é protegido pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com a validação de segurança do Google SecOps para testar sua segurança simulando ataques no ambiente Google Cloud . Você pode continuar usando a validação de segurança, mas talvez seja necessário configurar regras especiais para isso. Além disso, o uso da validação de segurança não é protegido pelas restrições de perímetro do VPC Service Controls.
• O VPC Service Controls não é compatível com o DataTap.
• Se você usa chaves de criptografia gerenciadas pelo cliente (CMEK), o Google recomenda manter o projeto do Cloud Key Management Service no mesmo perímetro do projeto Google Cloud ou manter as chaves no próprio projeto Google Cloud .

Configurar as regras de entrada e saída

Configure regras de entrada e saída com base na configuração do perímetro de serviço. Para mais informações, consulte Visão geral do perímetro de serviço.

Se você tiver problemas com o VPC Service Controls, use o analisador de violações para depurar e analisar o problema. Para mais informações, consulte Diagnosticar uma negação de acesso no analisador de violações.

Configurar regras para o SOAR

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps SOAR.

Conclua as tarefas a seguir para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

1. Configure as seguintes regras de entrada:

   - ingressFrom:
       identityType: ANY_SERVICE_ACCOUNT
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: secretmanager.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   - ingressFrom:
       identities:
       - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Substitua:

   • PROJECT_NUMBER: o número do seu projeto Google Cloud SOAR, que você pode receber do representante do Google SecOps

2. Configure a seguinte regra de saída:

   - egressTo:
       operations:
       - serviceName: binaryauthorization.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/soar-infra-SOAR_REGION_ID
     egressFrom:
       identities:
         - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Substitua:

   • SOAR_REGION_ID: o código que o Google atribui com base na região do SOAR, que você pode receber do seu representante do Google SecOps
   • PROJECT_NUMBER: o número do seu projeto Google Cloud bring your own project (BYOP)

Configurar regra para o SIEM do Google SecOps

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps SIEM.

Configure a seguinte regra de saída para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Substitua:

• PROJECT_NUMBER: o número do seu projeto Google Cloud , que você pode receber do representante do Google SecOps

Configurar regras para o Google SecOps com o Security Command Center

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps com o Security Command Center.

Conclua as tarefas a seguir para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

1. Configure a seguinte regra de entrada:

   - ingressFrom:
       identityType: ANY_IDENTITY
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Substitua:

   • PROJECT_NUMBER: o número do seu projeto Google Cloud , que você pode receber do representante do Google SecOps

2. Configure a seguinte regra de saída:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Substitua:

   • GOOGLE_ORGANIZATION_NUMBER: o número da sua organização Google Cloud
   • PROJECT_NUMBER: o número do seu projeto Google Cloud , que você pode receber do representante do Google SecOps

Configurar regra quando a chave de criptografia gerenciada pelo cliente é de um projeto diferente

Nesta seção, descrevemos como configurar o VPC Service Controls para o Google SecOps se você usar uma chave de criptografia gerenciada pelo cliente (CMEK) de um projeto diferente. As CMEKs são chaves de criptografia que você possui, gerencia e armazena no Cloud Key Management Service.

Configure a seguinte regra de saída para a conta de usuário Google Cloud especificada ao configurar o Google SecOps:

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Substitua:

• PROJECT_NUMBER: o número do seu projeto Google Cloud , que você pode receber do representante do Google SecOps
• CMEK_PROJECT_NUMBER: o número do projeto diferente.

A seguir

• Saiba mais sobre o VPC Service Controls.
• Consulte a entrada do Google Security Operations na tabela de produtos compatíveis com o VPC Service Controls.