Configurer VPC Service Controls pour Google Security Operations

Compatible avec :

Google Cloud VPC Service Controls vous permet de configurer un périmètre de service pour vous protéger contre l'exfiltration de données. Configurez Google Security Operations avec VPC Service Controls pour que Google SecOps puisse accéder aux ressources et services en dehors de son périmètre de service.

Avant de commencer

Limites

  • VPC Service Controls n'est compatible qu'avec l'authentification des identités et la fédération d'identité Google SecOps Bring Your Own Identity (BYOID) et Workforce Identity. Google Cloud
  • La fonctionnalité RBAC de Google SecOps doit être activée pour utiliser VPC Service Controls.
  • VPC Service Controls n'est compatible qu'avec les API chronicle.googleapis.com et chronicleservicemanager.googleapis.com de Google SecOps. Vous pouvez continuer à utiliser d'autres API Google SecOps, mais vous devrez peut-être configurer des règles spéciales pour continuer à les utiliser. De plus, les données et les services utilisant ces autres API ne sont pas protégés par les restrictions de périmètre de VPC Service Controls.
  • VPC Service Controls n'accepte l'exportation des données du modèle de données unifié (UDM) Google SecOps que vers un projet BigQuery autogéré ou à l'aide de l'exportation BigQuery avancée. Vous pouvez continuer à utiliser d'autres méthodes d'exportation Google SecOps, mais vous devrez peut-être configurer des règles spéciales pour continuer à les utiliser. De plus, l'exportation de données à l'aide de ces méthodes n'est pas protégée par les restrictions de périmètre VPC Service Controls. Pour en savoir plus, contactez votre représentant Google SecOps.
  • VPC Service Controls n'est pas compatible avec Cloud Monitoring. Toutefois, pour éviter tout accès non conforme, vous pouvez révoquer les autorisations permettant d'afficher les données Cloud Monitoring. Vous pouvez continuer à utiliser Cloud Monitoring, mais vous devrez peut-être configurer des règles spéciales pour continuer à l'utiliser. De plus, la transmission des données n'est pas protégée par les restrictions de périmètre de VPC Service Controls. Pour en savoir plus, contactez votre représentant Google SecOps.
  • VPC Service Controls n'est pas compatible avec les tableaux de bord Looker. VPC Service Controls n'est compatible qu'avec les tableaux de bord Google SecOps. Vous pouvez continuer à utiliser les tableaux de bord Looker, mais vous devrez peut-être configurer des règles spéciales pour continuer à les utiliser. De plus, les tableaux de bord Looker ne sont pas protégés par les restrictions de périmètre de VPC Service Controls.
  • VPC Service Controls n'est pas compatible avec les flux Xenon. Vous devez créer les flux Cloud Storage avec le type de source GOOGLE_CLOUD_STORAGE_V2. Vous pouvez continuer à utiliser les flux Xenon, mais vous devrez peut-être configurer des règles spéciales pour continuer à les utiliser. De plus, l'utilisation des flux Xenon n'est pas protégée par les restrictions de périmètre de VPC Service Controls.
  • VPC Service Controls n'est pas compatible avec la validation de la sécurité Google SecOps, qui permet de tester votre sécurité en simulant des attaques dans votre environnement Google Cloud . Vous pouvez continuer à utiliser la validation de la sécurité, mais vous devrez peut-être configurer des règles spéciales pour continuer à l'utiliser. De plus, l'utilisation de la validation de la sécurité n'est pas protégée par les restrictions de périmètre de VPC Service Controls.
  • VPC Service Controls n'est pas compatible avec DataTap.
  • Si vous utilisez des clés de chiffrement gérées par le client (CMEK), Google vous recommande vivement de conserver votre projet Cloud Key Management Service dans le même périmètre que votre projet Google Cloud ou de conserver vos clés dans le projet Google Cloud lui-même.

Configurer les règles d'entrée et de sortie

Configurez les règles d'entrée et de sortie en fonction de la configuration du périmètre de service. Pour en savoir plus, consultez Présentation des périmètres de service.

Si vous rencontrez des problèmes avec VPC Service Controls, utilisez l'analyseur de cas de non-conformité de VPC Service Controls pour les déboguer et les analyser. Pour en savoir plus, consultez Diagnostiquer un refus d'accès dans l'analyseur de cas de non-respect.

Configurer des règles pour SOAR

Cette section explique comment configurer VPC Service Controls pour Google SecOps SOAR.

Effectuez les tâches suivantes pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :

  1. Configurez les règles d'entrée suivantes :

    - ingressFrom:
    identityType: ANY_SERVICE_ACCOUNT
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER
- ingressFrom:
    identities:
    - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Remplacez les éléments suivants :

    • PROJECT_NUMBER : numéro de votre projet Google Cloud SOAR, que vous pouvez obtenir auprès de votre représentant Google SecOps

  2. Configurez la règle de sortie suivante :

    - egressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/soar-infra-SOAR_REGION_ID
  egressFrom:
    identities:
      - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Remplacez les éléments suivants :

    • SOAR_REGION_ID : code que Google attribue en fonction de la région SOAR. Vous pouvez l'obtenir auprès de votre représentant Google SecOps.
    • PROJECT_NUMBER : numéro de votre projet Google Cloud Bring Your Own Project (BYOP)

Configurer une règle pour Google SecOps SIEM

Cette section explique comment configurer VPC Service Controls pour Google SecOps SIEM.

Configurez la règle de sortie suivante pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Remplacez les éléments suivants :

  • PROJECT_NUMBER : numéro de votre projet Google Cloud , que vous pouvez obtenir auprès de votre représentant Google SecOps

Configurer des règles pour Google SecOps avec Security Command Center

Cette section explique comment configurer VPC Service Controls pour Google SecOps avec Security Command Center.

Effectuez les tâches suivantes pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :

  1. Configurez la règle d'entrée suivante :

    - ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    Remplacez les éléments suivants :

    • PROJECT_NUMBER : numéro de votre projet Google Cloud , que vous pouvez obtenir auprès de votre représentant Google SecOps

  2. Configurez la règle de sortie suivante :

    - egressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: securitycenter.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
  egressFrom:
    identities:
    - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    Remplacez les éléments suivants :

    • GOOGLE_ORGANIZATION_NUMBER : numéro de votre organisation Google Cloud
    • PROJECT_NUMBER : numéro de votre projet Google Cloud , que vous pouvez obtenir auprès de votre représentant Google SecOps

Configurer une règle lorsque la clé de chiffrement gérée par le client provient d'un autre projet

Cette section explique comment configurer VPC Service Controls pour Google SecOps si vous utilisez une clé de chiffrement gérée par le client (CMEK) provenant d'un autre projet. Les CMEK sont des clés de chiffrement dont vous êtes propriétaire, que vous gérez et que vous stockez dans Cloud Key Management Service.

Configurez la règle de sortie suivante pour le compte utilisateur Google Cloud que vous avez spécifié lors de la configuration de Google SecOps :

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

Remplacez les éléments suivants :

  • PROJECT_NUMBER : numéro de votre projet Google Cloud , que vous pouvez obtenir auprès de votre représentant Google SecOps
  • CMEK_PROJECT_NUMBER : numéro du projet différent

Étapes suivantes