VPC Service Controls für Google SecOps konfigurieren

Google Cloud Mit VPC Service Controls können Sie einen Dienstperimeter einrichten, der vor Daten-Exfiltration schützt. Konfigurieren Sie Google Security Operations mit VPC Service Controls, damit Google SecOps auf Ressourcen und Dienste außerhalb des Dienstperimeters zugreifen kann.

Hinweis

• Sie benötigen die erforderlichen Rollen zum Konfigurieren von VPC Service Controls auf Organisationsebene.

Beschränkungen

• VPC Service Controls unterstützt nur die Google Cloud Identitätsauthentifizierung, externe Identitätsanbieter und die Mitarbeiteridentitätsföderation.
• Die RBAC-Funktion von Google SecOps muss aktiviert sein, damit Sie VPC Service Controls verwenden können.
• VPC Service Controls unterstützt nur die Google SecOps-APIs chronicle.googleapis.com und chronicleservicemanager.googleapis.com. Sie können weiterhin andere Google SecOps-APIs verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin verwenden zu können. Die Daten und Dienste, die diese anderen APIs verwenden, sind nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
• VPC Service Controls unterstützt den Export von Daten des Google SecOps Unified Data Model (UDM) nur in ein selbstverwaltetes BigQuery-Projekt oder über den erweiterten BigQuery-Export. Sie können weiterhin andere Google SecOps-Exportmethoden verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin nutzen zu können. Der Export von Daten mit diesen Methoden ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt. Weitere Informationen erhalten Sie von Ihrem Google SecOps-Ansprechpartner.
• VPC Service Controls unterstützt Cloud Monitoring nicht. Um nicht konformen Zugriff zu verhindern, können Sie jedoch Berechtigungen zum Aufrufen von Cloud Monitoring-Daten widerrufen. Sie können Cloud Monitoring weiterhin verwenden, müssen aber möglicherweise spezielle Regeln konfigurieren. Die Datenübertragung ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt. Weitere Informationen erhalten Sie von Ihrem Google SecOps-Ansprechpartner.
• Looker-Dashboards werden nicht von VPC Service Controls unterstützt. VPC Service Controls unterstützt nur Google SecOps-Dashboards. Sie können Looker-Dashboards weiterhin verwenden, müssen aber möglicherweise spezielle Regeln konfigurieren. Außerdem sind Looker-Dashboards nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
• VPC Service Controls unterstützt keine Legacy-Cloud-Bucket- und Drittanbieter-API-Feed-Connectors. Sie müssen die Cloud Storage-Feeds mit dem Quelltyp GOOGLE_CLOUD_STORAGE_V2 mit V2-Connectors erstellen. Sie können weiterhin Feeds verwenden, die mit Legacy-Cloud-Bucket- und Drittanbieter-API-Feed-Connectors erstellt wurden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin verwenden zu können. Die Verwendung von Feeds, die mit diesen Connectors erstellt wurden, ist nicht durch VPC Service Controls-Perimeterbeschränkungen geschützt.
• VPC Service Controls unterstützt nicht Security Validation von Google SecOps, um Ihre Sicherheit zu testen, indem Angriffe in Ihrer Google Cloud Umgebung simuliert werden. Sie können die Sicherheitsvalidierung weiterhin verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin nutzen zu können. Die Verwendung der Sicherheitsvalidierung ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
• VPC Service Controls unterstützt DataTap nicht.
• Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden, empfiehlt Google dringend, dass Sie Ihr Cloud Key Management Service-Projekt im selben Perimeter wie Ihr Google Cloud -Projekt oder Ihre Schlüssel im Google Cloud -Projekt selbst speichern. Wenn Sie CMEKs und Ihr Google Cloud -Projekt in verschiedenen VPC Service Controls-Perimetern aufbewahren müssen, wenden Sie sich bitte an Ihren Google SecOps-Ansprechpartner.

Regeln für ein- und ausgehenden Traffic konfigurieren

Konfigurieren Sie Regeln für ein- und ausgehenden Traffic basierend auf der Dienstperimeterkonfiguration. Weitere Informationen finden Sie unter Übersicht über Dienstperimeter.

Wenn Probleme mit VPC Service Controls auftreten, können Sie das Analysetool für Verstöße gegen VPC Service Controls verwenden, um das Problem zu beheben und zu analysieren. Weitere Informationen finden Sie unter Zugriffsverweigerung im Analysetool für Verstöße diagnostizieren.

Regeln für SOAR konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SOAR-Seite der Plattform konfigurieren.

Konfigurieren Sie die folgenden Regeln für eingehenden Traffic für das Google Cloud -Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres BYOP-Projekts (Bring Your Own Project). Google Cloud

Regeln für SIEM konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für die SIEM-Seite der Plattform konfigurieren.

Konfigurieren Sie die folgenden Regeln für das Google Cloud Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - ingressFrom:
      identities:
      - serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
      - serviceAccount:malachite-data-export-service@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: analyticshub.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: chronicle.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.

Regeln für Google SecOps mit Security Command Center konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit Security Command Center konfigurieren.

Führen Sie die folgenden Aufgaben für das Nutzerkonto Google Cloud aus, das Sie bei der Einrichtung von Google SecOps angegeben haben:

1. Konfigurieren Sie die folgende Regel für eingehenden Traffic:

   - ingressFrom:
       identities:
       - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ersetzen Sie PROJECT_NUMBER durch die Projektnummer Ihres mit Google SecOps verknüpften Google Cloud Projekts.

2. Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ersetzen Sie Folgendes:

   • GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud Organisationsnummer
   • PROJECT_NUMBER: Ihre Google SecOps-Projektnummer Google Cloud

Regel für kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit kundenverwalteten Verschlüsselungsschlüsseln (CMEKs) konfigurieren. CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern.

Konfigurieren Sie die folgende Regel für eingehenden Traffic:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Ersetzen Sie Folgendes:

• SECRET_MANAGER_PROJECT_NUMBER: Das Projekt, das Google zum Speichern von Secrets für einige Aufnahmefunktionen verwendet. Sie können es von Ihrem Google SecOps-Ansprechpartner erhalten.
• CMEK_PROJECT_NUMBER: die Projektnummer, in der die CMEKs gespeichert sind

Nächste Schritte

• VPC Service Controls
• Weitere Informationen finden Sie im Eintrag zu Google Security Operations in der Tabelle der von VPC Service Controls unterstützten Produkte.