הגדרת VPC Service Controls
במדריך הזה מוסבר איך להגדיר VPC Service Controls ל-Google Security Operations.
בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירות כדי להגן מפני זליגת נתונים. מגדירים את Google Security Operations באמצעות VPC Service Controls כדי ש-Google SecOps יוכל לגשת למשאבים ולשירותים מחוץ לגבולות גזרה לשירות.
מידע נוסף על VPC Service Controls זמין במאמר סקירה כללית על VPC Service Controls. אפשר גם לראות את הערך של Google Security Operations בטבלת המוצרים הנתמכים של VPC Service Controls.
לפני שמתחילים
- מוודאים שיש לכם את התפקידים הנדרשים להגדרת VPC Service Controls ברמת הארגון.
כדי להשתמש ב-Google SecOps עם VPC Service Controls, אפשר להשתמש רק בתכונות שתואמות ל-VPC Service Controls. ברשימה הבאה מפורטות תכונות שתואמות ל-VPC Service Controls:
- Google SecOps עם VPC Service Controls תומך רק ב Google Cloud אימות זהויות, ספקי זהויות של צד שלישי ואיחוד שירותי אימות הזהות של כוח העבודה.
- כדי להשתמש ב-VPC Service Controls עם Google SecOps, צריך להפעיל את התכונה RBAC ב-Google SecOps.
Google SecOps עם VPC Service Controls תומך רק בממשקי ה-API הציבוריים הבאים:
chronicle.googleapis.comchronicleservicemanager.googleapis.com
כדי להצטרף ל-VPC Service Controls, צריך להעביר את כל נקודות הקצה המתאימות אל
chronicle.googleapis.comAPI.Google SecOps עם VPC Service Controls תומך בייצוא נתונים של Google SecOps Unified Data Model (UDM) רק לפרויקט BigQuery בניהול עצמי או באמצעות Advanced BigQuery Export.
VPC Service Controls תומך רק בלוחות בקרה של Google SecOps.
אפשר ליצור פידים של Cloud Storage רק עם סוג המקור
GOOGLE_CLOUD_STORAGE_V2באמצעות מחברים מגרסה 2.כשיוצרים מינויים חדשים ל-Pub/Sub כש-Google SecOps מוגבל בתוך service perimeter של VPC Service Controls, Google SecOps דורש לכתוב יומנים ל-Cloud Storage ולהשתמש ב-GOOGLE_CLOUD_STORAGE_V2 או ב-GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN במקום בפידים של CLOUD_PUB_SUB.
אם אתם משתמשים במופע של Google SecOps עם מפתחות הצפנה בניהול הלקוח (CMEK), מומלץ מאוד לשמור את הפרויקט של Cloud Key Management Service באותו היקף כמו הפרויקט שמקושר ל-Google SecOps Google Cloud , או לשמור את המפתחות בתוך הפרויקט שמקושר ל-Google SecOps Google Cloud .
מגבלות
נקודת קצה ל-API של Google SecOps Chronicle
ImportPushLogsלא תומכת ב-VPC Service Controls. עם זאת, המגבלה הזו לא יוצרת סיכון של גניבת נתונים, כי נקודת הקצהImportPushLogsמשמשת רק להעברת נתונים למופע של Google SecOps, ולא לגישה לנתונים.שירות Google SecOps עם VPC Service Controls לא תומך בלוחות בקרה של Looker.
Google Cloud Pub/Sub לא תומך ביצירת מינוי חדש ל-Pub/Sub שמשתמש בנקודות הקצה של Chronicle API כדי להטמיע יומנים (Pub/Sub entry בטבלת המוצרים הנתמכים של VPC Service Controls). עם זאת, מינויים קיימים ל-Pub/Sub (שנוצרו לפני העברת פרויקט Google Cloud בתוך גבולות הגזרה של VPC Service Controls) ימשיכו להטמיע יומנים כצפוי.
Google SecOps עם VPC Service Controls לא תומך ב-legacy cloud bucket ובמחברים של פידים של צד שלישי של API.
הגדרת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)
מגדירים כללים לתעבורת נתונים נכנסת ויוצאת על סמך ההגדרה של גבולות הגזרה לשירות. מידע נוסף זמין במאמר סקירה כללית על גבולות גזרה לשירות.
אם נתקלתם בבעיות ב-VPC Service Controls, אתם יכולים להשתמש בכלי לניתוח הפרות של VPC Service Controls כדי לנפות באגים ולנתח את הבעיה. מידע נוסף זמין במאמר אבחון של דחיית גישה בכלי לניתוח הפרות.
הגדרת כלל הכניסה ל-SOAR
בקטע הזה מוסבר איך להגדיר את VPC Service Controls בצד SOAR של הפלטפורמה.
מגדירים את כלל הכניסה הבא עבור חשבון המשתמש של Google Cloud שצוין בהגדרת Google SecOps:
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud
הגדרת הכללים עבור SIEM
בקטע הזה מוסבר איך להגדיר את VPC Service Controls בצד ה-SIEM של הפלטפורמה.
כלל כניסה ל-Advanced BigQuery Export
אם אתם משתמשים בתכונה Advanced BigQuery Export, אתם צריכים להגדיר את הכלל הבא עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:
- ingressFrom:
identities:
- serviceAccount:malachite-bq-export-entity-graph-batch-adv-bq@system.gserviceaccount.com
- serviceAccount:malachite-customer-monitoring-exporter@system.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud
כלל לתעבורת נתונים נכנסת (ingress) לטבלאות נתונים
אם אתם משתמשים בטבלאות נתונים, צריך להגדיר את הכלל הבא עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
מחליפים את PROJECT_NUMBER במספר הפרויקט שמקושר ל-Google SecOps. Google Cloud
הגדרת הכללים ל-Google SecOps באמצעות Security Command Center
בקטע הזה מוסבר איך להגדיר את VPC Service Controls ל-Google SecOps באמצעות Security Command Center.
חשבונות השירות בכללים הבאים נוצרים רק במהלך הקצאת ההרשאות ב-Google SecOps, ולכן צריך להגדיר את הכללים של Security Command Center אחרי הקצאת ההרשאות, אבל לפני שמתחילים להשתמש ב-Security Command Center.
צריך לבצע את המשימות הבאות עבור Google Cloud חשבון המשתמש שציינתם כשביצעתם את ההגדרה של Google SecOps:
מגדירים את כלל הכניסה הבא:
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBERמחליפים את מה שכתוב בשדות הבאים:
-
GOOGLE_ORGANIZATION_NUMBER: מספר הארגון Google Cloud -
PROJECT_NUMBER: מספר הפרויקט שמקושר ל-Google SecOps Google Cloud
-
מגדירים את כלל היציאה הבא:
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBERמחליפים את מה שכתוב בשדות הבאים:
-
GOOGLE_ORGANIZATION_NUMBER: מספר הארגון Google Cloud -
PROJECT_NUMBER: מספר הפרויקט שמקושר ל-Google SecOps Google Cloud
-
הגדרת כלל הכניסה למפתחות הצפנה בניהול הלקוח (CMEK)
בקטע הזה מוסבר איך להגדיר את VPC Service Controls ל-Google SecOps עם מפתחות הצפנה בניהול הלקוח (CMEK). מפתחות CMEK הם מפתחות הצפנה שבבעלותכם, שאתם מנהלים ושאתם מאחסנים ב-Cloud Key Management Service.
מגדירים את כלל הכניסה הבא:
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
מחליפים את מה שכתוב בשדות הבאים:
-
SECRET_MANAGER_PROJECT_NUMBER: הפרויקט שבו Google משתמשת כדי לאחסן סודות עבור חלק מהתכונות של העברת נתונים. אפשר לקבל את מספר הפרויקט הזה מנציג Google SecOps. -
CMEK_PROJECT_NUMBER: מספר הפרויקט שבו מאוחסנים מפתחות ה-CMEK