Mengonfigurasi Kontrol Layanan VPC untuk Google SecOps

Google Cloud Kontrol Layanan VPC memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Konfigurasi Google Security Operations dengan VPC Service Controls agar Google SecOps dapat mengakses resource dan layanan di luar perimeter layanannya.

Sebelum memulai

• Pastikan Anda memiliki peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC di tingkat organisasi.

Batasan

• VPC Service Controls hanya mendukung Google Cloud Autentikasi identitas, penyedia identitas pihak ketiga, dan Workforce Identity Federation.
• Fitur RBAC Google SecOps harus diaktifkan untuk menggunakan Kontrol Layanan VPC.
• Kontrol Layanan VPC hanya mendukung API chronicle.googleapis.com dan chronicleservicemanager.googleapis.com Google SecOps. Anda dapat terus menggunakan Google SecOps API lainnya, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan data serta layanan yang menggunakan API lainnya tersebut tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• VPC Service Controls hanya mendukung ekspor data Google SecOps Unified Data Model (UDM) ke project BigQuery yang dikelola sendiri atau menggunakan Ekspor BigQuery Lanjutan. Anda dapat terus menggunakan metode ekspor Google SecOps lainnya, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan mengekspor data menggunakan metode tersebut tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, hubungi perwakilan Google SecOps Anda.
• Kontrol Layanan VPC tidak mendukung Cloud Monitoring. Namun, untuk mencegah akses yang tidak mematuhi kebijakan, Anda dapat mencabut izin untuk melihat data Cloud Monitoring. Anda dapat terus menggunakan Cloud Monitoring, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan transmisi data tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, hubungi perwakilan Google SecOps Anda.
• Kontrol Layanan VPC tidak mendukung dasbor Looker. Kontrol Layanan VPC hanya mendukung Dasbor Google SecOps. Anda dapat terus menggunakan dasbor Looker, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan dasbor Looker tidak dilindungi oleh pembatasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung konektor feed API pihak ketiga dan bucket cloud lama. Anda harus membuat feed Cloud Storage dengan jenis sumber GOOGLE_CLOUD_STORAGE_V2 menggunakan konektor v2. Anda dapat terus menggunakan feed yang dibuat dengan konektor feed API pihak ketiga dan bucket cloud lama, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan penggunaan feed yang dibuat dengan konektor tersebut tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung Validasi Keamanan Google SecOps untuk menguji keamanan Anda dengan menyimulasikan serangan di lingkungan Google Cloud Anda. Anda dapat terus menggunakan Validasi Keamanan, tetapi Anda mungkin perlu mengonfigurasi aturan khusus untuk terus menggunakannya, dan penggunaan Validasi Keamanan tidak dilindungi oleh batasan perimeter Kontrol Layanan VPC.
• Kontrol Layanan VPC tidak mendukung DataTap.
• Jika Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK), Google sangat menyarankan agar Anda menyimpan project Cloud Key Management Service di perimeter yang sama dengan project Google Cloud Anda atau menyimpan kunci Anda di dalam project Google Cloud itu sendiri. Jika Anda memiliki persyaratan untuk menyimpan CMEK dan project Google Cloud Anda di perimeter Kontrol Layanan VPC yang berbeda, hubungi perwakilan SecOps Google Anda.

Mengonfigurasi aturan ingress dan egress

Konfigurasi aturan ingress dan egress berdasarkan konfigurasi perimeter layanan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan perimeter layanan.

Jika Anda mengalami masalah dengan Kontrol Layanan VPC, gunakan penganalisis pelanggaran Kontrol Layanan VPC untuk men-debug dan menganalisis masalah tersebut. Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis penolakan akses di penganalisis pelanggaran.

Mengonfigurasi aturan untuk SOAR

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk sisi SOAR platform.

Konfigurasi aturan ingress berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

  - ingressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - user:malachite-data-plane-api@prod.google.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: trafficdirector.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan nomor project Anda yang menggunakan project Anda sendiri (BYOP). Google Cloud

Mengonfigurasi aturan untuk SIEM

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk sisi SIEM platform.

Konfigurasi aturan berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

  - ingressFrom:
      identities:
      - serviceAccount:malachite-advanced-bq-exporter@system.gserviceaccount.com
      - serviceAccount:malachite-data-export-service@system.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: analyticshub.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: bigquery.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - ingressFrom:
      identities:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-chronicle.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: chronicle.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/PROJECT_NUMBER
  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan nomor project Google Cloud yang ditautkan ke Google SecOps.

Mengonfigurasi aturan untuk Google SecOps dengan Security Command Center

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps dengan Security Command Center.

Selesaikan tugas berikut untuk akun pengguna Google Cloud yang Anda tentukan saat menyiapkan Google SecOps:

1. Konfigurasi aturan ingress berikut:

   - ingressFrom:
       identities:
       - serviceAccount: service-PROJECT_NUMBER@gcp-sa-securitycenter.iam.gserviceaccount.com
       sources:
       - accessLevel: "*"
     ingressTo:
       operations:
       - serviceName: compute.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - projects/PROJECT_NUMBER
   

   Ganti PROJECT_NUMBER dengan nomor project Google Cloud yang ditautkan ke Google SecOps.

2. Konfigurasi aturan keluar berikut:

   - egressTo:
       operations:
       - serviceName: pubsub.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: securitycenter.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: cloudasset.googleapis.com
         methodSelectors:
         - method: "*"
       - serviceName: iam.googleapis.com
         methodSelectors:
         - method: "*"
       resources:
       - "*"
     egressFrom:
       identities:
       - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
       sources:
       - resource: projects/PROJECT_NUMBER
   

   Ganti kode berikut:

   • GOOGLE_ORGANIZATION_NUMBER: nomor organisasi Google Cloud Anda
   • PROJECT_NUMBER: nomor project yang ditautkan ke Google SecOps Google Cloud

Mengonfigurasi aturan untuk kunci enkripsi yang dikelola pelanggan (CMEK)

Bagian ini menjelaskan cara mengonfigurasi Kontrol Layanan VPC untuk Google SecOps dengan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK adalah kunci enkripsi yang Anda miliki, kelola, dan simpan di Cloud Key Management Service.

Konfigurasi aturan ingress berikut:

  - ingressFrom:
    identities:
    - serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
      sources:
      - accessLevel: "*"
    ingressTo:
      operations:
      - serviceName: secretmanager.googleapis.com
        methodSelectors:
        - method: "*"
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER 

Ganti kode berikut:

• SECRET_MANAGER_PROJECT_NUMBER: project yang digunakan Google untuk menyimpan rahasia untuk beberapa fitur penyerapan, yang bisa Anda dapatkan dari perwakilan SecOps Google Anda
• CMEK_PROJECT_NUMBER: nomor project yang menyimpan CMEK

Langkah berikutnya

• Pelajari lebih lanjut Kontrol Layanan VPC.
• Lihat entri Google Security Operations di tabel produk yang didukung Kontrol Layanan VPC.