VPC Service Controls für Google Security Operations konfigurieren

Unterstützt in:

Google Cloud Mit VPC Service Controls können Sie einen Dienstperimeter einrichten, der vor Daten-Exfiltration schützt. Konfigurieren Sie Google Security Operations mit VPC Service Controls, damit Google SecOps auf Ressourcen und Dienste außerhalb des Dienstperimeters zugreifen kann.

Hinweise

Beschränkungen

  • VPC Service Controls unterstützt nur die Google Cloud Identitätsauthentifizierung sowie Google SecOps Bring Your Own Identity (BYOID) und die Mitarbeiteridentitätsföderation.
  • Die RBAC-Funktion von Google SecOps muss aktiviert sein, damit VPC Service Controls verwendet werden können.
  • VPC Service Controls unterstützt nur die Google SecOps-APIs chronicle.googleapis.com und chronicleservicemanager.googleapis.com. Sie können weiterhin andere Google SecOps-APIs verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin verwenden zu können. Die Daten und Dienste, die diese anderen APIs verwenden, sind nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
  • VPC Service Controls unterstützt den Export von Daten des Google SecOps Unified Data Model (UDM) nur in ein selbstverwaltetes BigQuery-Projekt oder über den erweiterten BigQuery-Export. Sie können weiterhin andere Google SecOps-Exportmethoden verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin nutzen zu können. Der Export von Daten mit diesen Methoden ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt. Weitere Informationen erhalten Sie von Ihrem Google SecOps-Ansprechpartner.
  • VPC Service Controls unterstützt Cloud Monitoring nicht. Um nicht konformen Zugriff zu verhindern, können Sie jedoch Berechtigungen zum Aufrufen von Cloud Monitoring-Daten widerrufen. Sie können Cloud Monitoring weiterhin verwenden, müssen aber möglicherweise spezielle Regeln konfigurieren. Die Datenübertragung ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt. Weitere Informationen erhalten Sie von Ihrem Google SecOps-Ansprechpartner.
  • Looker-Dashboards werden nicht von VPC Service Controls unterstützt. VPC Service Controls unterstützt nur Google SecOps-Dashboards. Sie können Looker-Dashboards weiterhin verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, damit Sie sie weiterhin nutzen können. Außerdem sind Looker-Dashboards nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
  • VPC Service Controls unterstützt keine Xenon-Feeds. Sie müssen die Cloud Storage-Feeds mit dem Quelltyp GOOGLE_CLOUD_STORAGE_V2 erstellen. Sie können Xenon-Feeds weiterhin verwenden, müssen aber möglicherweise spezielle Regeln konfigurieren. Die Verwendung von Xenon-Feeds ist nicht durch die Perimeter-Einschränkungen von VPC Service Controls geschützt.
  • VPC Service Controls unterstützt nicht Security Validation von Google SecOps, um Ihre Sicherheit zu testen, indem Angriffe in Ihrer Google Cloud Umgebung simuliert werden. Sie können die Sicherheitsvalidierung weiterhin verwenden. Möglicherweise müssen Sie jedoch spezielle Regeln konfigurieren, um sie weiterhin nutzen zu können. Die Verwendung der Sicherheitsvalidierung ist nicht durch die Perimeterbeschränkungen von VPC Service Controls geschützt.
  • VPC Service Controls unterstützt DataTap nicht.
  • Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden, empfiehlt Google dringend, dass Sie Ihr Cloud Key Management Service-Projekt im selben Perimeter wie Ihr Google Cloud -Projekt oder Ihre Schlüssel im Google Cloud -Projekt selbst speichern.

Regeln für ein- und ausgehenden Traffic konfigurieren

Konfigurieren Sie Regeln für ein- und ausgehenden Traffic basierend auf der Dienstperimeterkonfiguration. Weitere Informationen finden Sie unter Übersicht über Dienstperimeter.

Wenn Probleme mit VPC Service Controls auftreten, können Sie das Analysetool für Verstöße gegen VPC Service Controls verwenden, um das Problem zu beheben und zu analysieren. Weitere Informationen finden Sie unter Zugriffsverweigerung im Analysetool für Verstöße diagnostizieren.

Regeln für SOAR konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps SOAR konfigurieren.

Führen Sie die folgenden Aufgaben für das Nutzerkonto Google Cloud aus, das Sie bei der Einrichtung von Google SecOps angegeben haben:

  1. Konfigurieren Sie die folgenden Regeln für eingehenden Traffic:

    - ingressFrom:
    identityType: ANY_SERVICE_ACCOUNT
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER
- ingressFrom:
    identities:
    - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: Ihre Google Cloud SOAR-Projektnummer, die Sie von Ihrem Google SecOps-Ansprechpartner erhalten

  2. Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

    - egressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/soar-infra-SOAR_REGION_ID
  egressFrom:
    identities:
      - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Ersetzen Sie Folgendes:

    • SOAR_REGION_ID: Der Code, den Google basierend auf der SOAR-Region zuweist. Sie erhalten ihn von Ihrem Google SecOps-Ansprechpartner.
    • PROJECT_NUMBER: Ihre Projektnummer für das Projekt „Bring Your Own Project“ (BYOP) Google Cloud

Regel für Google SecOps SIEM konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps SIEM konfigurieren.

Konfigurieren Sie die folgende Regel für ausgehenden Traffic für das Google Cloud -Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Ersetzen Sie Folgendes:

  • PROJECT_NUMBER: Ihre Google Cloud Projektnummer, die Sie von Ihrem Google SecOps-Ansprechpartner erhalten

Regeln für Google SecOps mit Security Command Center konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps mit Security Command Center konfigurieren.

Führen Sie die folgenden Aufgaben für das Nutzerkonto Google Cloud aus, das Sie bei der Einrichtung von Google SecOps angegeben haben:

  1. Konfigurieren Sie die folgende Regel für eingehenden Traffic:

    - ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: Ihre Google Cloud Projektnummer, die Sie von Ihrem Google SecOps-Ansprechpartner erhalten

  2. Konfigurieren Sie die folgende Regel für ausgehenden Traffic:

    - egressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: securitycenter.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
  egressFrom:
    identities:
    - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Ersetzen Sie Folgendes:

    • GOOGLE_ORGANIZATION_NUMBER: Ihre Google Cloud Organisationsnummer
    • PROJECT_NUMBER: Ihre Google Cloud Projektnummer, die Sie von Ihrem Google SecOps-Ansprechpartner erhalten

Regel konfigurieren, wenn der vom Kunden verwaltete Verschlüsselungsschlüssel aus einem anderen Projekt stammt

In diesem Abschnitt wird beschrieben, wie Sie VPC Service Controls für Google SecOps konfigurieren, wenn Sie einen CMEK (vom Kunden verwalteten Verschlüsselungsschlüssel) aus einem anderen Projekt verwenden. CMEKs sind Verschlüsselungsschlüssel, die Sie besitzen, verwalten und in Cloud Key Management Service speichern.

Konfigurieren Sie die folgende Regel für ausgehenden Traffic für das Google Cloud -Nutzerkonto, das Sie beim Einrichten von Google SecOps angegeben haben:

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Ersetzen Sie Folgendes:

  • PROJECT_NUMBER: Ihre Google Cloud Projektnummer, die Sie von Ihrem Google SecOps-Ansprechpartner erhalten
  • CMEK_PROJECT_NUMBER: die Projektnummer des anderen Projekts

Nächste Schritte