Configura los Controles del servicio de VPC para Google Security Operations

Compatible con:

Google Cloud Los Controles del servicio de VPC te permiten configurar un perímetro de servicio para protegerte contra el robo de datos. Configura Google Security Operations con los Controles del servicio de VPC para que Google SecOps pueda acceder a recursos y servicios fuera de su perímetro de servicio.

Antes de comenzar

Limitaciones

  • Los Controles del servicio de VPC solo admiten la autenticación de identidades de Google Cloud y la federación de identidades de personal y Bring Your Own Identity (BYOID) de Google SecOps.
  • La función RBAC de Google SecOps debe estar habilitada para usar los Controles del servicio de VPC.
  • Los Controles del servicio de VPC solo admiten las APIs de chronicle.googleapis.com y chronicleservicemanager.googleapis.com de Google SecOps. Puedes seguir usando otras APIs de SecOps de Google, pero es posible que debas configurar reglas especiales para seguir usándolas, y los datos y servicios que usan esas otras APIs no están protegidos por las restricciones del perímetro de los Controles del servicio de VPC.
  • Los Controles del servicio de VPC admiten la exportación de datos del Modelo de datos unificado (UDM) de Google SecOps solo a un proyecto de BigQuery autoadministrado o con la Exportación avanzada de BigQuery. Puedes seguir usando otros métodos de exportación de Google SecOps, pero es posible que debas configurar reglas especiales para seguir usándolos, y la exportación de datos con esos métodos no está protegida por las restricciones del perímetro de los Controles del servicio de VPC. Para obtener más información, comunícate con tu representante de Google SecOps.
  • Los Controles del servicio de VPC no son compatibles con Cloud Monitoring. Sin embargo, para evitar el acceso que no cumple con las normas, puedes revocar los permisos para ver los datos de Cloud Monitoring. Puedes seguir usando Cloud Monitoring, pero es posible que debas configurar reglas especiales para seguir usándolo, y la transmisión de datos no estará protegida por las restricciones del perímetro de los Controles del servicio de VPC. Para obtener más información, comunícate con tu representante de Google SecOps.
  • Los Controles del servicio de VPC no son compatibles con los paneles de Looker. Los Controles del servicio de VPC solo admiten los paneles de Google SecOps. Puedes seguir usando los paneles de Looker, pero es posible que debas configurar reglas especiales para seguir usándolos, y los paneles de Looker no están protegidos por las restricciones del perímetro de los Controles del servicio de VPC.
  • Los Controles del servicio de VPC no admiten feeds de Xenon. Debes crear los feeds de Cloud Storage con el tipo de fuente GOOGLE_CLOUD_STORAGE_V2. Puedes seguir usando feeds de Xenon, pero es posible que debas configurar reglas especiales para seguir usándolos, y el uso de feeds de Xenon no está protegido por las restricciones del perímetro de los Controles del servicio de VPC.
  • Los Controles del servicio de VPC no admiten la validación de seguridad de Google SecOps para probar tu seguridad simulando ataques en tu entorno de Google Cloud . Puedes seguir usando la Validación de seguridad, pero es posible que debas configurar reglas especiales para seguir usándola, y el uso de la Validación de seguridad no está protegido por las restricciones del perímetro de los Controles del servicio de VPC.
  • Los Controles del servicio de VPC no son compatibles con DataTap.
  • Si usas claves de encriptación administradas por el cliente (CMEK), Google recomienda que mantengas tu proyecto de Cloud Key Management Service en el mismo perímetro que tu proyecto Google Cloud o que mantengas tus claves dentro del proyecto Google Cloud .

Configura las reglas de entrada y salida

Configura las reglas de entrada y salida según la configuración del perímetro de servicio. Para obtener más información, consulta la Descripción general del perímetro de servicio.

Si tienes problemas con los Controles del servicio de VPC, usa el analizador de incumplimientos de los Controles del servicio de VPC para depurar y analizar el problema. Para obtener más información, consulta Diagnostica una denegación de acceso en el analizador de incumplimientos.

Configura reglas para SOAR

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps SOAR.

Completa las siguientes tareas para la cuenta de usuario de Google Cloud que especificaste cuando configuraste Google SecOps:

  1. Configura las siguientes reglas de entrada:

    - ingressFrom:
    identityType: ANY_SERVICE_ACCOUNT
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER
- ingressFrom:
    identities:
    - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: Es el número de tu proyecto de Google Cloud SOAR, que puedes obtener de tu representante de Google SecOps.

  2. Configura la siguiente regla de salida:

    - egressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/soar-infra-SOAR_REGION_ID
  egressFrom:
    identities:
      - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Reemplaza lo siguiente:

    • SOAR_REGION_ID: Es el código que Google asigna según la región de SOAR, que puedes obtener de tu representante de Google SecOps.
    • PROJECT_NUMBER: El número de tu proyecto Google Cloud trae tu propio proyecto (BYOP)

Configura una regla para el SIEM de Google SecOps

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps SIEM.

Configura la siguiente regla de salida para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Reemplaza lo siguiente:

  • PROJECT_NUMBER: El número de tu proyecto Google Cloud , que puedes obtener de tu representante de Google SecOps

Configura reglas para Google SecOps con Security Command Center

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps con Security Command Center.

Completa las siguientes tareas para la cuenta de usuario de Google Cloud que especificaste cuando configuraste Google SecOps:

  1. Configura la siguiente regla de entrada:

    - ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Reemplaza lo siguiente:

    • PROJECT_NUMBER: El número de tu proyecto Google Cloud , que puedes obtener de tu representante de Google SecOps

  2. Configura la siguiente regla de salida:

    - egressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: securitycenter.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
  egressFrom:
    identities:
    - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Reemplaza lo siguiente:

    • GOOGLE_ORGANIZATION_NUMBER: El número de tu organización Google Cloud
    • PROJECT_NUMBER: El número de tu proyecto Google Cloud , que puedes obtener de tu representante de Google SecOps

Configura la regla cuando la clave de encriptación administrada por el cliente proviene de un proyecto diferente

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps si usas una clave de encriptación administrada por el cliente (CMEK) de un proyecto diferente. Las CMEK son claves de encriptación que te pertenecen, que administras y que almacenas en Cloud Key Management Service.

Configura la siguiente regla de salida para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Reemplaza lo siguiente:

  • PROJECT_NUMBER: El número de tu proyecto Google Cloud , que puedes obtener de tu representante de Google SecOps
  • CMEK_PROJECT_NUMBER: Es el número del proyecto del proyecto diferente.

¿Qué sigue?