Configura los Controles del servicio de VPC para Google SecOps

Google Cloud Los Controles del servicio de VPC te permiten configurar un perímetro de servicio para protegerte contra el robo de datos. Configura Google Security Operations con los Controles del servicio de VPC para que Google SecOps pueda acceder a recursos y servicios fuera de su perímetro de servicio.

Antes de comenzar

• Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.

Limitaciones

• Los Controles del servicio de VPC solo admiten la Google Cloud autenticación de identidad, los proveedores de identidad externos y la federación de identidades de personal.
• La función RBAC de Google SecOps debe estar habilitada para usar los Controles del servicio de VPC.
• Los Controles del servicio de VPC solo admiten las APIs de chronicle.googleapis.com y chronicleservicemanager.googleapis.com de Google SecOps. Puedes seguir usando otras APIs de SecOps de Google, pero es posible que debas configurar reglas especiales para seguir usándolas, y los datos y servicios que usan esas otras APIs no están protegidos por las restricciones del perímetro de los Controles del servicio de VPC.
• Los Controles del servicio de VPC admiten la exportación de datos del Modelo de datos unificado (UDM) de Google SecOps solo a un proyecto de BigQuery autoadministrado o con la Exportación avanzada de BigQuery. Puedes seguir usando otros métodos de exportación de Google SecOps, pero es posible que debas configurar reglas especiales para seguir usándolos, y la exportación de datos con esos métodos no está protegida por las restricciones del perímetro de los Controles del servicio de VPC. Para obtener más información, comunícate con tu representante de Google SecOps.
• Los Controles del servicio de VPC no son compatibles con Cloud Monitoring. Sin embargo, para evitar el acceso que no cumple con las normas, puedes revocar los permisos para ver los datos de Cloud Monitoring. Puedes seguir usando Cloud Monitoring, pero es posible que debas configurar reglas especiales para seguir usándolo, y la transmisión de datos no está protegida por las restricciones del perímetro de los Controles del servicio de VPC. Para obtener más información, comunícate con tu representante de Google SecOps.
• Los Controles del servicio de VPC no son compatibles con los paneles de Looker. Los Controles del servicio de VPC solo admiten los paneles de Google SecOps. Puedes seguir usando los paneles de Looker, pero es posible que debas configurar reglas especiales para seguir usándolos, y los paneles de Looker no están protegidos por las restricciones del perímetro de los Controles del servicio de VPC.
• Los Controles del servicio de VPC no admiten conectores heredados de bucket de Cloud ni feeds de API de terceros. Debes crear los feeds de Cloud Storage con el tipo de fuente GOOGLE_CLOUD_STORAGE_V2 usando conectores de la versión 2. Puedes seguir usando los feeds creados con el bucket de Cloud heredado y los conectores de feeds de API de terceros, pero es posible que debas configurar reglas especiales para seguir usándolos, y el uso de los feeds creados con ellos no está protegido por las restricciones del perímetro de los Controles del servicio de VPC.
• Los Controles del servicio de VPC no admiten la validación de seguridad de Google SecOps para probar tu seguridad simulando ataques en tu entorno de Google Cloud . Puedes seguir usando la Validación de seguridad, pero es posible que debas configurar reglas especiales para seguir usándola, y el uso de la Validación de seguridad no está protegido por las restricciones del perímetro de los Controles del servicio de VPC.
• Los Controles del servicio de VPC no son compatibles con DataTap.
• Si usas claves de encriptación administradas por el cliente (CMEK), Google recomienda que mantengas tu proyecto de Cloud Key Management Service en el mismo perímetro que tu proyecto Google Cloud o que mantengas tus claves dentro del proyecto Google Cloud . Si necesitas mantener las CMEK y tu proyecto de Google Cloud en diferentes perímetros de Controles del servicio de VPC, comunícate con tu representante de SecOps de Google.

Configura las reglas de entrada y salida

Configura las reglas de entrada y salida según la configuración del perímetro de servicio. Para obtener más información, consulta la Descripción general del perímetro de servicio.

Si tienes problemas con los Controles del servicio de VPC, usa el analizador de incumplimientos de los Controles del servicio de VPC para depurar y analizar el problema. Para obtener más información, consulta Diagnostica una denegación de acceso en el analizador de incumplimientos.

Configura las reglas para SOAR

En esta sección, se describe cómo configurar los Controles del servicio de VPC para el lado de SOAR de la plataforma.

Configura las siguientes reglas de entrada para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Reemplaza PROJECT_NUMBER por el número de tu proyecto de Google Cloud trae tu propio proyecto (BYOP).

Configura las reglas para la SIEM

En esta sección, se describe cómo configurar los Controles del servicio de VPC para el lado del SIEM de la plataforma.

Configura las siguientes reglas para la cuenta de usuario Google Cloud que especificaste cuando configuraste Google SecOps:

  - ingressFrom:
      identities:
      - serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
      - serviceAccount:malachite-data-export-service@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: analyticshub.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: chronicle.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud vinculado a Google SecOps.

Configura las reglas para Google SecOps con Security Command Center

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps con Security Command Center.

Completa las siguientes tareas para la cuenta de usuario de Google Cloud que especificaste cuando configuraste Google SecOps:

1. Configura la siguiente regla de entrada:

   - ingressFrom:
       identities:
       - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Reemplaza PROJECT_NUMBER por el número de proyecto de Google Cloud vinculado a Google SecOps.

2. Configura la siguiente regla de salida:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Reemplaza lo siguiente:

   • GOOGLE_ORGANIZATION_NUMBER: El número de tu organización Google Cloud
   • PROJECT_NUMBER: Es el número de tu proyecto de Google vinculado a SecOps. Google Cloud

Configura la regla para las claves de encriptación administradas por el cliente (CMEK)

En esta sección, se describe cómo configurar los Controles del servicio de VPC para Google SecOps con claves de encriptación administradas por el cliente (CMEK). Las CMEK son claves de encriptación que te pertenecen, que administras y que almacenas en Cloud Key Management Service.

Configura la siguiente regla de entrada:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Reemplaza lo siguiente:

• SECRET_MANAGER_PROJECT_NUMBER: Es el proyecto que Google usa para almacenar secretos de algunas funciones de transferencia, que puedes obtener de tu representante de Google SecOps.
• CMEK_PROJECT_NUMBER: Es el número del proyecto que almacena las CMEK.

¿Qué sigue?

• Obtén más información sobre los controles de servicio de VPC.
• Consulta la entrada de Google Security Operations en la tabla de productos compatibles con los Controles del servicio de VPC.