הגדרת VPC Service Controls

נתמך ב:

במדריך הזה מוסבר איך להגדיר VPC Service Controls ל-Google Security Operations.

בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירות כדי להגן מפני זליגת נתונים. מגדירים את Google Security Operations באמצעות VPC Service Controls כדי ש-Google SecOps יוכל לגשת למשאבים ולשירותים מחוץ לגבולות גזרה לשירות.

מידע נוסף על VPC Service Controls זמין במאמר סקירה כללית על VPC Service Controls. אפשר גם לראות את הערך של Google Security Operations בטבלת המוצרים הנתמכים של VPC Service Controls.

לפני שמתחילים

  • מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
  • כדי להשתמש ב-Google SecOps עם VPC Service Controls, אפשר להשתמש רק בתכונות שתואמות ל-VPC Service Controls. ברשימה הבאה מפורטות תכונות שתואמות ל-VPC Service Controls:

    • ‫Google SecOps עם VPC Service Controls תומך רק ב Google Cloud אימות זהויות, ספקי זהויות של צד שלישי ואיחוד שירותי אימות הזהות של כוח העבודה.
    • כדי להשתמש ב-VPC Service Controls עם Google SecOps, צריך להפעיל את התכונה RBAC ב-Google SecOps.
    • ‫Google SecOps עם VPC Service Controls תומך רק בממשקי ה-API הציבוריים הבאים:

      • chronicle.googleapis.com
      • chronicleservicemanager.googleapis.com

      כדי להצטרף ל-VPC Service Controls, צריך להעביר את כל נקודות הקצה המתאימות אל chronicle.googleapis.com API.

    • ‫Google SecOps עם VPC Service Controls תומך בייצוא נתונים של Google SecOps Unified Data Model (UDM) רק לפרויקט BigQuery בניהול עצמי או באמצעות Advanced BigQuery Export.

    • VPC Service Controls תומך רק בלוחות בקרה של Google SecOps.

    • אפשר ליצור פידים של Cloud Storage רק עם סוג המקור GOOGLE_CLOUD_STORAGE_V2 באמצעות מחברים מגרסה 2.

    • כשיוצרים מינויים חדשים ל-Pub/Sub כש-Google SecOps מוגבל בתוך service perimeter של VPC Service Controls, ‏ Google SecOps דורש לכתוב יומנים ל-Cloud Storage ולהשתמש ב-GOOGLE_CLOUD_STORAGE_V2 או ב-GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN במקום בפידים של CLOUD_PUB_SUB.

  • אם אתם משתמשים במופע של Google SecOps עם מפתחות הצפנה בניהול הלקוח (CMEK), מומלץ מאוד לשמור את הפרויקט של Cloud Key Management Service באותו היקף כמו הפרויקט שמקושר ל-Google SecOps Google Cloud , או לשמור את המפתחות בתוך הפרויקט שמקושר ל-Google SecOps Google Cloud .

מגבלות

  • נקודת קצה ל-API של Google SecOps Chronicle‏ ImportPushLogs לא תומכת ב-VPC Service Controls. עם זאת, המגבלה הזו לא יוצרת סיכון של גניבת נתונים, כי נקודת הקצה ImportPushLogs משמשת רק להעברת נתונים למופע של Google SecOps, ולא לגישה לנתונים.

  • שירות Google SecOps עם VPC Service Controls לא תומך בלוחות בקרה של Looker.

  • ‫Google Cloud Pub/Sub לא תומך ביצירת מינוי חדש ל-Pub/Sub שמשתמש בנקודות הקצה של Chronicle API כדי להטמיע יומנים (Pub/Sub entry בטבלת המוצרים הנתמכים של VPC Service Controls). עם זאת, מינויים קיימים ל-Pub/Sub (שנוצרו לפני העברת פרויקט Google Cloud בתוך גבולות הגזרה של VPC Service Controls) ימשיכו להטמיע יומנים כצפוי.

  • ‫Google SecOps עם VPC Service Controls לא תומך ב-legacy cloud bucket ובמחברים של פידים של צד שלישי של API.

הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)

מגדירים כללים לתעבורת נתונים נכנסת ויוצאת על סמך ההגדרה של גבולות הגזרה לשירות. מידע נוסף זמין במאמר סקירה כללית על גבולות גזרה לשירות.

אם נתקלתם בבעיות ב-VPC Service Controls, אתם יכולים להשתמש בכלי לניתוח הפרות של VPC Service Controls כדי לנפות באגים ולנתח את הבעיה. מידע נוסף זמין במאמר אבחון של דחיית גישה בכלי לניתוח הפרות.

הגדרת כלל הכניסה ל-SOAR

בקטע הזה מוסבר איך להגדיר את VPC Service Controls בצד SOAR של הפלטפורמה.

מגדירים את כלל הכניסה הבא עבור חשבון המשתמש של Google Cloud שצוין בהגדרת Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud

הגדרת הכללים עבור SIEM

בקטע הזה מוסבר איך להגדיר את VPC Service Controls בצד ה-SIEM של הפלטפורמה.

כלל כניסה ל-Advanced BigQuery Export

אם אתם משתמשים בתכונה Advanced BigQuery Export, אתם צריכים להגדיר את הכלל הבא עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:

    - ingressFrom:
      identities:
      - serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
      - serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud

כלל לתעבורת נתונים נכנסת (ingress) לטבלאות נתונים

אם אתם משתמשים בטבלאות נתונים, צריך להגדיר את הכלל הבא עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:

  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: storage.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud

הגדרת הכללים ל-Google SecOps באמצעות Security Command Center

בקטע הזה מוסבר איך להגדיר את VPC Service Controls ל-Google SecOps באמצעות Security Command Center.

חשבונות השירות בכללים הבאים נוצרים רק במהלך הקצאת ההרשאות ב-Google SecOps, ולכן צריך להגדיר את הכללים של Security Command Center אחרי הקצאת ההרשאות, אבל לפני שמתחילים להשתמש ב-Security Command Center.

צריך לבצע את המשימות הבאות עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:

  1. מגדירים את כלל הכניסה הבא:

    - ingressFrom:
        identities:
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com
        sources:
        - accessLevel: "*"
      ingressTo:
        operations:
        - serviceName: chronicle.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: securitycenter.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: cloudasset.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: monitoring.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: iam.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: orgpolicy.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: serviceusage.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: dns.googleapis.com
          methodSelectors:
          - method: "*"
        resources:
        - projects/PROJECT_NUMBER
    

    מחליפים את מה שכתוב בשדות הבאים:

    • GOOGLE_ORGANIZATION_NUMBER: מספר הארגון Google Cloud
    • PROJECT_NUMBER: מספר הפרויקט שמקושר ל-Google SecOps Google Cloud
  2. מגדירים את כלל היציאה הבא:

    - egressTo:
        operations:
        - serviceName: pubsub.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: securitycenter.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: cloudasset.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: iam.googleapis.com
          methodSelectors:
          - method: "*"
        - serviceName: compute.googleapis.com
          methodSelectors:
          - method: "*"
        resources:
        - "*"
      egressFrom:
        identities:
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
        - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com
        sources:
        - resource: projects/PROJECT_NUMBER
    

    מחליפים את מה שכתוב בשדות הבאים:

    • GOOGLE_ORGANIZATION_NUMBER: מספר הארגון Google Cloud
    • PROJECT_NUMBER: מספר הפרויקט שמקושר ל-Google SecOps Google Cloud

הגדרת כלל הכניסה למפתחות הצפנה בניהול הלקוח (CMEK)

בקטע הזה מוסבר איך להגדיר את VPC Service Controls ל-Google SecOps עם מפתחות הצפנה בניהול הלקוח (CMEK). מפתחות CMEK הם מפתחות הצפנה שבבעלותכם, שאתם מנהלים ושאתם מאחסנים ב-Cloud Key Management Service.

מגדירים את כלל הכניסה הבא:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

מחליפים את מה שכתוב בשדות הבאים:

  • SECRET_MANAGER_PROJECT_NUMBER: הפרויקט שבו Google משתמשת כדי לאחסן סודות עבור חלק מהתכונות של העברת נתונים. אפשר לקבל את מספר הפרויקט הזה מנציג Google SecOps.
  • CMEK_PROJECT_NUMBER: מספר הפרויקט שבו מאוחסנים מפתחות ה-CMEK