Configurer VPC Service Controls pour Google SecOps

Ce guide explique comment configurer VPC Service Controls pour Google Security Operations.

VPC Service Controls vous permet de configurer un périmètre de service pour vous protéger contre l'exfiltration de données. Configurez Google Security Operations avec VPC Service Controls afin que Google SecOps puisse accéder aux ressources et services en dehors de son périmètre de service.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls. Vous pouvez également consulter l'entrée Google Security Operations dans le tableau des produits compatibles avec VPC Service Controls.

Avant de commencer

• Assurez-vous de disposer des rôles requis pour configurer VPC Service Controls au niveau de l'organisation.

• Pour utiliser Google SecOps avec VPC Service Controls, vous ne pouvez utiliser que les fonctionnalités compatibles avec VPC Service Controls. Voici la liste des fonctionnalités compatibles avec VPC Service Controls :

  • Google SecOps avec VPC Service Controls n'est compatible qu'avec l'authentification des identités Google Cloud , les fournisseurs d'identité tiers et la fédération des identités des employés.
  • La fonctionnalité RBAC de Google SecOps doit être activée pour utiliser VPC Service Controls avec Google SecOps.

  • Google SecOps avec VPC Service Controls n'est compatible qu'avec les API publiques suivantes :

    • chronicle.googleapis.com
    • chronicleservicemanager.googleapis.com

    Pour intégrer VPC Service Controls, vous devez migrer tous les points de terminaison correspondants vers l'API chronicle.googleapis.com.

  • Google SecOps avec VPC Service Controls n'est compatible avec l'exportation des données du modèle de données unifié (UDM) de Google SecOps que vers un projet BigQuery autogéré ou à l'aide de l'exportation BigQuery avancée.

  • VPC Service Controls n'est compatible qu'avec les tableaux de bord Google SecOps Dashboards.

  • Vous ne pouvez créer des flux Cloud Storage qu'avec le GOOGLE_CLOUD_STORAGE_V2 type de source à l'aide de connecteurs v2.

  • Lorsque vous créez de nouveaux abonnements Pub/Sub lorsque Google SecOps est limité dans un périmètre VPC Service Controls, Google SecOps vous demande d'écrire des journaux dans Cloud Storage et d'utiliser GOOGLE_CLOUD_STORAGE_V2 ou GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN au lieu de vos flux CLOUD_PUB_SUB.

• Pour une instance Google SecOps utilisant des clés de chiffrement gérées par le client (CMEK), Google vous recommande vivement de conserver votre projet Cloud Key Management Service dans le même périmètre que votre projet associé à Google SecOps Google Cloud ou de conserver vos clés dans le projet associé à Google SecOps Google Cloud lui-même.

Limites

• Le point de terminaison de l'API Google SecOps Chronicle ImportPushLogs n'est pas compatible avec VPC Service Controls. Toutefois, cette limite ne présente pas de risque d'exfiltration de données, car le point de terminaison ImportPushLogs n'est utilisé que pour envoyer des données à une instance Google SecOps, et non pour y accéder.

• Google SecOps avec VPC Service Controls n'est pas compatible avec les tableaux de bord Looker.

• Google Cloud Pub/Sub n'est pas compatible avec la création d'un abonnement Pub/Sub qui utilise les points de terminaison de l'API Chronicle pour ingérer des journaux (entrée Pub/Sub dans le tableau des produits compatibles avec VPC Service Controls). Toutefois, tous les abonnements Pub/Sub existants (créés avant le déplacement du projet dans le périmètre VPC Service Controls) continueront à ingérer les journaux comme prévu. Google Cloud

• Google SecOps avec VPC Service Controls n'est pas compatible avec les connecteurs de flux d'API tiers et de bucket cloud hérité.

Configurer les règles d'entrée et de sortie

Configurez les règles d'entrée et de sortie en fonction de la configuration du périmètre de service. Pour en savoir plus, consultez la présentation du périmètre de service.

Si vous rencontrez des problèmes avec VPC Service Controls, utilisez l'analyseur de cas de non-conformité de VPC Service Controls pour déboguer et analyser le problème. Pour en savoir plus, consultez Diagnostiquer un refus d'accès dans l'analyseur de cas de non-conformité.

Configurer la règle pour SOAR

Cette section explique comment configurer VPC Service Controls pour la partie SOAR de la plate-forme.

Configurez la règle d'entrée suivante pour le Google Cloud compte utilisateur que vous avez spécifié lors de la configuration de Google SecOps :

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Remplacez PROJECT_NUMBER par le numéro de votreprojet associé à Google SecOps Google Cloud .

Configurer la règle pour SIEM

Cette section explique comment configurer VPC Service Controls pour la partie SIEM de la plate-forme.

Si vous utilisez des tables de données, configurez la règle suivante pour le Google Cloud compte utilisateur que vous avez spécifié lors de la configuration de Google SecOps :

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Remplacez PROJECT_NUMBER par le numéro de votreprojet associé à Google SecOps Google Cloud .

Configurer les règles pour Google SecOps avec Security Command Center

Cette section explique comment configurer VPC Service Controls pour Google SecOps avec Security Command Center.

Les comptes de service des règles suivantes ne sont créés que lors du provisionnement de Google SecOps. Vous devez donc configurer les règles Security Command Center après le provisionnement, mais avant de commencer à utiliser Security Command Center.

Effectuez les tâches suivantes pour le Google Cloud compte utilisateur que vous avez spécifié lors de la configuration de Google SecOps :

1. Configurez la règle d'entrée suivante :

   - ingressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: chronicle.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: monitoring.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: orgpolicy.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: serviceusage.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: dns.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Remplacez les éléments suivants :

   • GOOGLE_ORGANIZATION_NUMBER: votre Google Cloud numéro d'organisation
   • PROJECT_NUMBER: numéro de votreprojet associé à Google SecOps Google Cloud

2. Configurez la règle de sortie suivante :

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Remplacez les éléments suivants :

   • GOOGLE_ORGANIZATION_NUMBER: votre Google Cloud numéro d'organisation
   • PROJECT_NUMBER: numéro de votreprojet associé à Google SecOps Google Cloud

Configurer la règle pour les clés de chiffrement gérées par le client (CMEK)

Cette section explique comment configurer VPC Service Controls pour Google SecOps avec des clés de chiffrement gérées par le client (CMEK). Les CMEK sont des clés de chiffrement que vous possédez, gérez et stockez dans Cloud Key Management Service.

Configurez la règle d'entrée suivante :

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Remplacez les éléments suivants :

• SECRET_MANAGER_PROJECT_NUMBER : projet que Google utilise pour stocker les secrets de certaines fonctionnalités d'ingestion, que vous pouvez obtenir auprès de votre représentant Google SecOps
• CMEK_PROJECT_NUMBER : numéro du projet stockant les CMEK